Identity & Access Management: Warum und wie?
01.06.2017
Neben den eigenen Angestellten müssen oft auch die Mitarbeiter von Partnerfirmen, Kunden oder Cloud-Providern auf die Ressourcen des Unternehmens zugreifen. Berücksichtigt man dazu den steigenden Einsatz mobiler Geräte oder den globalen Zugriff auf Cloud-Infrastrukturen, wird klar, warum an das Einrichten und Verwalten von Usern und deren Rechten immer höhere Anforderungen gestellt werden. Neben geringen Kosten und niedrigem Arbeitsaufwand ist vor allem ein hohes Maß an Transparenz und Struktur erwünscht.
In Unternehmen existiert meist ein Compliance Framework – eine Sammlung von Prozessen und Richtlinien, die sich nach geltenden Gesetzen und Unternehmensphilosophien richten – nach denen eine Organisation agiert. Die Einhaltung dieser Richtlinien sollte nicht nur bei in- und externen Audits nachgewiesen, sondern kontinuierlich überprüft werden. Nur so lassen sich der Missbrauch von vertraulichen Daten, mögliche Schadensersatzklagen und ein Imageschaden für das Unternehmen vermeiden. Identity & Access Management stellt nun einen möglichen Lösungsansatz zur Einhaltung dieser Richtlinien und Vorgaben dar.
Identity & Access Management (IAM) ist dabei kein konkretes Produkt, sondern ein Lösungsansatz um effizient und nachvollziehbar User zu verwalten, zu authentifizieren, Zugriffe zu autorisieren, die dazu notwendigen Zugriffsrechte zu verwalten und diesen Prozess zu überwachen. Man spricht hierbei auch oft von den vier A's – Administration, Authentifizierung, Autorisierung und Auditing.
Zur Umsetzung eines so umfassenden Lösungsansatzes ist der Einsatz verschiedener Softwareprodukte und Technologien, die über definierte Schnittstellen miteinander kommunizieren, notwendig.
Um Informationen und Zugriffe nur autorisierten Benutzern zu gewähren, muss sichergestellt werden, dass es sich bei der Entität, die sich am System anmeldet, auch wirklich um die Person handelt, für die sie sich ausgibt. In einer zentralen Datenbank, dem Meta-Directory, speichern Unternehmen deshalb alle Zugangsinformationen eines Users. Wie bei allen nachfolgenden Schritten wird hier ersichtlich, dass ein definierter und kontinuierlicher Prozess dafür sorgen muss, dass Änderungen an diese Datenbank übertragen werden.
Neben den Daten neuer Mitarbeiter, oder der Information welche Mitarbeiter aus dem Unternehmen ausgeschieden sind, können solche Änderungen, auch geänderte Passwörter oder eine neue Smartcard für die Zutrittsberechtigung, zu entsprechend abgesicherten Räumlichkeiten sein.
Ist die Authentifizierung des Nutzers erfolgt, muss dieser Zugriff auf Systeme bzw. Daten erhalten, um seine Aufgaben im Unternehmen erfüllen zu können. Beim Zugriff auf eine solche Ressource wird überprüft, ob er berechtigt ist diese zu nutzen. Werden diese Berechtigungen für jeden Mitarbeiter einzeln vergeben, ist die Nachvollziehbarkeit nicht mehr gegeben und es entsteht Fehlerpotential. Um die Granularität der Zuweisungen zu verringern, werden Berechtigungen in Gruppen zusammengefasst. Die Nutzer werden in Businessrollen organisiert. Das Entwerfen der Berechtigungsgruppen und Businessrollen – auch anhand des Compliance Frameworks – ist ein essentieller Bestandteil eines IAMs.
Wurden Rollen und Gruppen definiert, nutzt man ein Enterprise Authorization Management (EAM), um Nutzer und die ihnen zugewiesenen Rollen zu verwalten. Der etablierte Ansatz hierbei ist die rollenbasierte Zugriffskontrolle (Role Based Access Control – RBAC). Entsprechend der Zuordnung erhalten die Nutzer die Rechte/ Rechtegruppen, die ein Mitglied der Rolle laut Design benötigt, um seine Aufgaben im Unternehmen wahrnehmen zu können.
Im Schritt der Provisionierung wird dann sichergestellt, dass auf allen Systemen, deren Zugriffe durch das IAM verwaltet werden, die entsprechenden Informationen verteilt werden. Hierbei müssen alle Systeme über entsprechend zu definierende Schnittstellen die Änderungen von Berechtigungen empfangen können.
Auf diese Weise können je nach Unternehmensgröße mehrere Personen bzw. Abteilungen an der Vergabe von Berechtigungen beteiligt sein. Während die Personalabteilung den Nutzer anlegt und ihm eine Organisationseinheit (OE) zuweist, verwaltet ein Mitarbeiter die Nutzer seiner OE und weist ihnen Businessrollen zu. Die Bereitstellung von Anwendungen, Systemen, Berechtigungen und Berechtigungsgruppen erfolgt hingegen durch die IT.
Durch eine einheitliche Struktur und zentrale Steuerung lässt sich die Einhaltung des Compliance Frameworks nachvollziehen und dokumentieren, weshalb ein IAM weniger eine Investition in die IT, sondern vielmehr in das Risk-Management darstellt.