Pfadanalyse für das IAM

Identity- und Access-Management
Pfadanalyse für das IAM
geschrieben von Detlef Sturm und Axel Kern sind bei Beta Systems tätig, www.betasystems.com./jos am 13.03.2015
Die derzeitige IAM-Landschaft setzt sich hauptsächlich aus dem klassischen Identity-Management (IdM) und Business-orientierter Access Governance zusammen. Hatte IdM bisher mehr den Single-Point-of-Administration-Ansatz einschließlich Provisioning im Fokus, konzentriert sich Access Governance dagegen auf die Einbindung der Fachabteilungen in die Vergabe der Berechtigungen und nutzt dafür beispielsweise Antrags- und Genehmigungs-Workflows sowie Rezertifizierungsprozesse.

Seite 1 / 6

Zunehmend besteht jedoch der Bedarf, die Berechtigungsstrukturen vielseitig bezüglich deren Qualität, aber auch im Hinblick auf Compliance-Anforderungen zu untersuchen. Beta Systems liefert mit dem Garancy Access Intelligence Manager einen Business-Intelligence-basierenden Ansatz (BI), der die bisherige IAM-Landschaft mit umfangreichen und leistungsfähigen Analysefähigkeiten ergänzen soll.
Ein separates Access-Intelligence-System liegt darin begründet, dass leistungsfähige Analysemethoden Datenstrukturen erfordern, die sich wesentlich von den Datenstrukturen in den operativen Systemen unterscheiden. Die Überführung der Daten aus den operativen Systemen in ein BI-orientiertes Data Warehouse bedingt zudem eine spezielle Datenaufbereitung. Neben den bekannten Auswertungsanforderungen lassen sich aufgrund der aufbereiteten Daten neuartige Analysemethoden entwickeln. Eine dieser neuen Methoden ist die Berechtigungspfadanalyse, die komplexe Berechtigungsstrukturen in einzelne Pfade zerlegt und damit effektive Analysemöglichkeiten bereitstellt. Es ist sinnvoll, die Berechtigungspfadanalyse zu betrachten und zwei darauf aufbauende Untersuchungen im Detail zu betrachten.
 
Neue Analysemöglichkeiten für das Berechtigungs-Management
Viele Unternehmen sind von einer heterogenen Systemlandschaft geprägt, die aus der Sicht des Berechtigungs-Managements unterschiedliche Berechtigungskonzepte nutzt. Das Ziel aller Berechtigungskonzepte besteht darin, den Anwendern die für ihre Arbeit notwendigen Zugriffsrechte auf Ressourcen zu vergeben. Eine dazu notwendige Benutzer- und Berechtigungsadministration kann sich als enorm komplex und zeitaufwändig erweisen. Eine Ursache dafür ist die hohe Anzahl an Benutzern und die zu schützenden Ressourcen sowie die unterschiedlichen Zugriffsrechte. Abhängig von den jeweiligen Systemen haben sich unterschiedliche Techniken in Form von verschiedenen Security-Objekten (beispielsweise: Ressourcengruppen, Berechtigungsprofile, Benutzergruppen, Rollenmodelle) herausgebildet. Das Grundprinzip aller dieser Security-Objekte ist Kapselung: Anstelle der Zuweisung von einzelnen Zugangsrechten werden Objekte in Gruppen zusammengefasst und entsprechend zugewiesen. Dies führt einerseits zur gewollten Vereinfachung der Berechtigungsadministration, andererseits erhöht sich dadurch aber auch die Komplexität der Berechtigungsstrukturen.

Seite 1 / 6



Eigene Bewertung: Keine Durchschnitt: 5 (2 Bewertungen)