Ungleiche Partner: Rollenmanagement, User Provisioning, Access Certification und Berechtigungsmanagement
Auf den ersten Blick scheint Identity Management für Unternehmen nur einen einzigen Zweck zu erfüllen. Bei genauerem Hinsehen zeigt sich jedoch, dass Identity Management eine Vielzahl von Konzepten umfasst, die wiederum eine Reihe unterschiedlicher Vorteile bieten. Access Certification, Rollenmanagement, User Provisioning und Berechtigungsmanagement sind vier zusammenhängende Teilbereiche.
Einer der reifsten Märkte im Identity-Management-Bereich ist das User Provisioning. Es bedient die administrativen Aspekte des “Wer hat Zugang zu was”. Die Tools des User Provisioning erzeugen, löschen und aktualisieren Anwenderkonten in den betreffenden IT-Systemen. Sie bieten auch Workflow-Funktionalitäten, welche die notwendigen Berechtigungen für den Zugang sammeln können und so die Geschäftsprozesse widerspiegeln. Durch Automatisierung der Dateneingabe verhindern die Tools des User Provisioning mögliche Fehler bei der Eingabe und verringern den Verwaltungsaufwand für das Unternehmen. Mit diesen Tools können Unternehmen die Effizienz beim Ein- und Ausstellungsprozess von Mitarbeitern steigern. User Provisioning ermöglicht es, Richtlinien, welche die Nutzung der Anwenderkonten und der damit verbundenen Rechte innerhalb des Systems steuern, zu implementieren und so die Kontrolle des Access Managements effizienter zu gestalten.
Obwohl User Provisioning die Effizienz steigern kann, wird dieser Effekt ausgehebelt, wenn jede Person und ihre Rechte im Zielsystem getrennt verwaltet werden. Tools für Rollenmanagement bieten weitere Effizienzsteigerungen: Sie sammeln einander ähnliche Personen – auf Grundlage von Konzepten wie Arbeitsplatzverantwortlichkeit, Standort und Projektzuordnung – und ordnen diese gemeinsamen Rechtegruppen im Zielsystem zu. Diese Einordnung kann nur teilweise automatisiert werden und erfordert, um erfolgreich zu sein, die Kooperation von IT und Geschäftszweigen. Durch Untersuchung des “Wer” und des “Was” im Unternehmen machen Rollenmanagement-Systeme die Muster gemeinsamer Rechte und Verantwortlichkeiten aus, die, wenn sie aufeinander abgestimmt sind, die Effizienz des Identitätsmanagement-Prozesses erheblich steigern können. Darüber hinaus ermöglichen Rollenmanagementtools, diese Gemeinsamkeiten in einem Workflow zu untersuchen, der die Berechtigungen sammelt und dokumentiert sowie die Informationen anderen Komponenten des Identity Management wie beispielsweise User Provisioning übermittelt.
Access Certification wird verwendet, um Anforderungen zu erfüllen, die auf gesetzlichen Vorschriften und verschiedenen Kontrollrahmen beruhen. Auch als “Attestation” bekannt, ist unter Access Certification der laufende Überprüfungs- und Zertifizierungsprozess des “Wer hat Zugang zu was?” zu verstehen. Access Certification Tools verteilen Momentaufnahmen an Abteilungsleiter, Anwendungs- und Dateneigner. Diese können dann überprüfen und bestätigen, dass die Zugangsberechtigung einer Person auch korrekt ist. Stellt ein Manager fest, dass eine Person über einen unzulässigen Zugang verfügt, kann der Zugang mit diesen Tools über die Integration mit den User Provisioning- und Helpdesk-Systemen gesperrt werden. Auf diese Weise erfüllt die Access Certification nicht nur gesetzliche Vorschriften, sie trägt auch wesentlich dazu bei, Zugangsrisiken für das Unternehmen zu begrenzen.
Der Begriff “Berechtigungsmanagement” hat heute im Markt zwei verschiedene Verwendungen. Zum einen beschreibt er den administrativen Prozess, zum anderen ist darunter ein Runtime Service zu verstehen. Während sich die Tools für User Provisioning, Rollenmanagement und Access Certification sowohl mit dem “Wer” als auch mit dem “Was” befassen, ist das Berechtigungsmanagement eine Disziplin, die sich hauptsächlich auf letzteres konzentriert. Einfach gesagt, sind unter Berechtigungen bestimmte Rechte zu verstehen, die einem Anwender innerhalb eines Systems gewährt werden. Eine Berechtigung wie in einer Active-Directory-Gruppe ist ein Objekt im Sicherheitsmodell eines Systems, das gewährt oder einem Anwenderkonto zugeordnet werden kann, damit dieses Konto eine Reihe von Aktionen ausführen kann.