Identity & Access Management

Es gibt verschiedene Komponenten in einer Identity & Access Management Architektur:

• Provisionierung (oder On-Boarding)
• Kontenverwaltung
• Identity Governance
• Identifizierung (oder Authentifizierung)
• Zugangskontrolle (oder Autorisierung) und
• Identitätsföderation.

Identity & Access Management ist ein weites Feld, daher können diese Komponenten weiter in bestimmte Teilkomponenten unterteilt werden. So konzentriert sich beispielsweise die Bereitstellung allein auf die Inbound-/Outbound-Bereitstellung von Benutzerkonten, Just-in-Time-Bereitstellung, Genehmigungs-Workflows, während die Kundenverwaltung über privilegierte Kontenverwaltung, Berechtigungsverwaltung, Benutzer/Gruppen/Rollenmanagement spricht.

Das Fundament des Identitäts- und Zugriffsmanagements

Beim Aufbau eines Identitäts-Repositories kann eine Reihe von Problemen auftreten, wie bspw. die Festlegung eines zu komplexen Modells, die Anwendung eines rein technischen Ansatzes oder auch die Mischung von benutzer- Daten und rechtedefinierten Daten. Bevor Sie mit einem solchen Projekt beginnen, ist es wichtig, einen Ansatz zu verwenden, der es Ihnen ermöglicht, eine einfache Datenstruktur und robuste Prozesse während der Implementierung zu definieren.

Warum ein einheitliches Identitäts-Repository unerlässlich ist

Wir empfehlen Ihnen ein Datenmodell zu wählen, bei dem Sie die Informationen über die „Identitäten“ von den Informationen über die „Zugriffsrechte“ trennen können. Dies gilt gleichermaßen für den Prozess zur Erstellung dieser Informationen.

Synchronisationsrichtlinie

Diese Richtlinie ermöglicht die Anwendung der folgenden Regeln:

• Regeln für die Konsolidierung einer Identität aus mehreren Datensätzen; identitätsbezogene Daten können sich in verschiedenen Repositories befinden.
• Regeln für den Abgleich im Falle von Dateninkonsistenzen
• Regeln für das Anlegen oder Löschen von Daten eines Benutzers
• Regeln für die Verwaltung der Schwellenwerte, die eine Änderung des Identitäts-Repository verhindern, falls die Datenquellen beschädigt sind.

Die Synchronisation kann sowohl im Batch als auch online erfolgen. Überschreitet die Anzahl der auszuführenden Vorgänge einen definierten Schwellwert, wird die Verarbeitung nicht durchgeführt sondern ein Administrator benachrichtigt. Beschädigte Quellen bzw. Daten können dann korrigiert und die Verarbeitung kann neu gestartet werden.

Damit die bestehende Lösung dauerhaft wartungsfähig ist, ist es sinnvoll, Authentifizierungsdaten von den Zugriffsdaten zu separieren. Obwohl die Abgleichmechanismen für beide Datentypen gleich sind, unterliegen sie nicht den gleichen Regeln:

• Die Abgleichregeln für Authentifizierungsdaten hängen vom Grad des Vertrauens oder der Zuverlässigkeit ab, der mit jedem Datensatz verbunden ist. Wenn die Telefonnummer eines Benutzers in zwei Verzeichnissen unterschiedlich ist, müssen Sie nur eine Regel zur Ermittlung der Referenzdaten definieren.
• Die Abgleichregeln für Zugriffsdaten vergleichen die realen Daten auf einem Zielsystem mit dem Wert, den sie gemäß der Access Policy haben sollten. Sie müssen daher mit der Policy Engine verbunden werden. Das Ergebnis eines Abgleichs zugunsten der Ist-Daten kann eine Änderung der Access Policy sein.

Eine integrierte Lösung für die unternehmensweite Synchronisation von Identitätsdaten

Es gibt zwei Möglichkeiten, Identitäts-Repositories zu nutzen:

• Entweder stand-alone und nicht synchronisiert oder
• Eine integrierte, unternehmensweit nutzbare Komplettlösung.

Die zweite Option ermöglicht es Ihnen, die 4 Grundpfeiler des Identity und Access Managements sofort zu managen:

• Identitäten: Identifizieren und verwalten Sie zunächst die Benutzer, die auf das Informationssystem zugreifen können; nicht nur Mitarbeiter, sondern auch Subunternehmer, Partner, vielleicht sogar Kunden (Customer Identity und Access Management).
• Zugriff: Wenden Sie schließlich die für Identitäten definierte und über Prozesse auf Zielsystemen validierte Sicherheitsrichtlinie an und überprüfen Sie diese. Ermöglichen Sie jedem Benutzer selbst die Verwaltung seiner Konten.
• Policy: Definieren und aktualisieren Sie die ermittelten Identitätsrechte und verwalten Sie deren Weiterentwicklung.
• Prozesse: Ermöglichen Sie Ihren Benutzern die Teilnahme am Rights Lifecycle Management durch die Implementierung von geschäftsorientierten Workflow-Prozessen.