Identity-Management mit Regeln und Rollen
Profilgestütztes Provisioning
Identity-Management erhöht im Idealfall sowohl die Produktivität als auch die Sicherheit im Unternehmen. Regel- und rollengestützte Ansätze allein sind dabei aber noch nicht der Weisheit letzter Schluss, da beide Modelle systembedingte Nachteile haben. Ein kombinierter, profilbasierter Ansatz kann die Schwächen ausgleichen.
Provisioning-Systeme erteilen Zugriffsrechte. Durch Automation und einen zentralen Zugang zu allen IT-Systemen können die typischen Verzögerungen, die manuelle Prozesse mit sich bringen, auf wenige Minuten reduziert werden. Dazu kommt eine erhöhte Sicherheit. Mit einem Identity-Management-Ansatz (IdM) werden die User-IDs von Mitarbeitern, die das Unternehmen verlassen, automatisch gesperrt. Unerlaubte Zugriffe sind nicht möglich. Auch Zugriffsrechte, die ein Mitarbeiter durch einen Aufgabenwechsel nicht mehr benötigt, können automatisch gelöscht werden. Missbrauch wird so verhindert.
Bisher waren IdM-Lösungen entweder rollenbasiert oder regelbasiert. Beide Methoden führen zum Ziel, aber sie haben ihre eigenen Stärken und Schwächen. Welche Vor- und Nachteile haben beide Ansätze?
Regelbasiertes Identity-Management
Beim regelbasierten Identity-Management können Security-Administratoren durch die Zuordnung von Regeln des Typs "Wenn a, dann b" den Provisioning-Prozess vereinfachen. Beispielsweise könnte eine Regel so aussehen: "Wenn Standort = Hamburg, dann Exchange Server = HH02". Ein Vorteil dieses Ansatzes ist, dass der Anfang dazu sehr schnell gemacht ist. Zudem können Regeln leicht geändert werden und bis in die untersten Stufen operieren. Die "Wenn-Dann-Logik" ist allen Anwendern bekannt und lässt sich deshalb leicht intuitiv anwenden. Wenn man aber den gesamten Zyklus des Benutzermanagements betrachtet, bereiten genau diese Vorteile in der Praxis Schwierigkeiten. Ein Nachteil regelbasierter Systeme kann unkontrollierter Regelwildwuchs sein: Gerade weil Regeln leicht zu ändern sind, werden sie häufig abgewandelt und erweitert. Nach Erteilung der Rechte "weiß" das System nicht mehr, welche Regeln zur Erteilung geführt haben. Will man einen entsprechenden Prozess rückgängig machen - womöglich erst Monate später - kann das sehr schwierig sein. Erschwerend kommen Regelkonflikte hinzu: Gültige Regeln können in Widerspruch zueinander stehen. Diese Konflikte werden meist dadurch gelöst, dass die erste Regel verwendet wird oder die restriktivste. Das Ergebnis ist nicht immer passend.
Es kann mitunter recht kompliziert sein, festzustellen, mit welchen anderen Regeln eine Regel potenziell in Konflikt gerät. Bei regelbasierten IdM-Systemen ist es außerdem oft schwierig, zusätzliche Systeme einzubinden oder bestehende zu entfernen. Unter Umständen müssen alle Regeln überprüft und an die neuen Anforderungen angepasst werden.
Rollenbasiertes Identity-Management
Die Alternative zu regelbasiertem IdM ist rollenbasiertes IdM. Unter einer Rolle versteht man eine Gruppe von Zugriffsrechten, die von den Aufgaben der Mitarbeiter im Unternehmen abhängig ist. Zum Beispiel benötigt ein Marketingassistent andere Rechte als eine Kreditorenbuchhalterin. Bei diesem Ansatz geht es darum, die Rechte passend zur Aufgabe zu gestalten. Die Vorteile liegen darin, dass rollenbasiertes IdM sich an Geschäftsaufgaben orientiert: Die Geschäftsprozesse stellen verschiedene Rollen dar. Rollenbasiertes IdM vereinfacht zudem die Kontrolle. Ein Mitarbeiter bekommt nur die Rechte, die nötig sind - nicht mehr und nicht weniger. Dieser Ansatz ist hilfreich, wenn gesetzliche Anforderungen erfüllt werden müssen. Stichworte hier sind Basel II, Datenschutz oder Sarbanes-Oxley. Scheidet der Mitarbeiter aus oder ändern sich seine Zuständigkeiten, können die alten Zugriffsrechte leicht entfernt und gegen neue ausgetauscht werden. Da Benutzergruppen miteinander verbunden werden - etwa innerhalb einer Abteilung - sind auch Massenänderungen leicht vorzunehmen. Mit der Rollenverteilung erhalten alle Gruppenmitglieder die gleichen Rechte.
Rollenbasiertes IdM ist zweckmäßig, aber auch umfangreich und weitreichend; genaue Prozess- und Rollendefinitionen sind unerlässlich und nicht immer vorhanden. Oft ist es sehr schwierig, eine Rolle genau zu definieren. Auch bei einer exakten Planung rollenbasierter Systeme machen unternehmensspezifische Prozesse eine 100-prozentige Rollenfestlegung nicht immer möglich. Schwierig ist es außerdem, Ausnahmen innerhalb der Rollen zu handhaben.
Profilbasiertes Provisioning
Obwohl beide Ansätze zu einer erfolgreichen Implementierung führen, bietet eine Verbindung entscheidende Vorteile. Der kombinierte Weg, der beispielsweise in Control SA von BMC verwirklicht wurde, heißt "profilbasiertes Provisioning". Auf der Basis einiger Standardrollen erlaubt die dynamische Anwendung von Regeln eine sehr flexible Lösung zur Vergabe von Zugriffsrechten. Zum Beispiel erhält ein Buchhalter in Hamburg ein auf ihn zugeschnittenes Profil und bekommt darüber Zugriffsrechte zugeteilt: Rolle = Buchhalter, zusammen mit der Regel "Wenn Standort = Hamburg, dann …".
Eine der Stärken des profilbasierten Provisionings ist die einfache Implementierung: Damit die mitunter schwierige Definition von Rollen einer schnellen Einführung nicht im Wege steht, kann der Anfang über einfache Regeln gemacht werden. Die Regeln werden im Laufe der Zeit zu Rollen migriert, wodurch ihre Anzahl überschaubar bleibt.
Während mithilfe von Regeln Standortwechsel, Ausnahmen oder andere Änderungen leicht zu handhaben sind, bieten Rollen eine gute Kontrolle. An dieser Stelle lässt sich auch ein Vier-Augen-Prinzip einführen, das die Einhaltung von gesetzlichen Anforderungen sowie der Security Policy des jeweiligen Unternehmens vereinfacht. Scheiden Mitarbeiter aus, werden ihre digitalen Identitäten gelöscht und ihnen ausnahmslos alle Rechte entzogen. Gefährliche Phantomkonten gehören somit der Vergangenheit an.
Natürlich existieren auch beim profilbasierten Provisioning noch Rollen und Regeln, die definiert werden müssen. Aber deren Anzahl reduziert sich drastisch. Der Planungs- und Pflegeaufwand einer Profil-basierten IdM-Lösung kann durch den "Sowohl-als-auch"-Ansatz angenehm und durchaus spürbar minimiert werden. Starke Kontrollen unter Beibehaltung einer hohen Flexibilität - also die Stärken beider Methoden - bieten Vorteile sowohl bei der Erstimplementierung als auch bei der laufenden Pflege.
Was die Erteilung der Zugriffrechte betrifft, ist der erste Arbeitstag eines neuen Mitarbeiters dann wirklich Routine - zumindest aus Sicht der Rechteverwaltung. Seine digitale Identität ist von Anfang an festgelegt, sodass er uneingeschränkt auf alle benötigten IT-Ressourcen zugreifen kann. Somit unterstützt das IdM-System Mitarbeiter effizient und stellt sicher, dass Geschäftsprozesse reibungslos und ohne Verzögerung ablaufen. Letztendlich gibt es ja keine reinen IT-Projekte, sondern lediglich von der Technik unterstützte Geschäftsprojekte.
Lesen Sie mehr zum Thema
