User Life Cycle Management mit der intension Identity und Access Management Suite
User Life Cycle Management, auch bekannt als Identity Life Cycle Management (ILM), ist ein Sammelbegriff und beschreibt den kompletten Lebenszyklus von Identitäten: Von der Erstellung, über die Verwaltung bis zur Limitierung und Beendigung des Zugriffs auf Daten, Systeme und Anwendungen.
Am einfachsten kann man sich einen User Life Cycle prozedural vorzustellen: Er beginnt, wenn jemand eingestellt wird, einen Account erhält und sich zum ersten Mal in die zugewiesenen Systeme und Anwendungen einloggt. Es geht weiter, wenn sich der Anwender mittels eines Identity und Access Management Systems einloggt und auf Unternehmensinformationen zugreift. Der Zugriff wird solange gewährt, bis der Anwender eine neue Aufgabe im Unternehmen erfüllt und neue Berechtigungen erhält, oder er das Unternehmen verlässt und dann sichergestellt werden muss, dass am Tag des Austritts der Account inkl. aller Berechtigungen gelöscht wird.
User Life Cycle Management umfasst alle Geschäftsprozesse, in denen Mitarbeiter auf Geschäftsdaten, Anwendungen und Systeme zugreifen müssen, um ihre Aufgaben erfüllen zu können. Dazu gehört auch, dass Mitarbeiter zu verschiedenen Zeiten, über verschiedene Geräte und von verschiedenen Orten aus Zugriff haben. Um die Unternehmenssicherheit zu gewährleisten und Compliance Anforderungen zu erfüllen, müssen Zugriffe protokolliert, überwacht und bei Bedarf eingeschränkt werden – nur so können unternehmenskritische Daten, Anwendungen und Systeme geschützt werden.
User Life Cycle Management automatisiert Prozesse und senkt die Kosten
Neue Mitarbeiter werden in der Regel in Personaldatenbanken, wie bspw. SAP® HR angelegt. Tritt ein neuer Mitarbeiter in ein Unternehmen ein, ist der administrative Aufwand für das Einrichten des entsprechenden Benutzerprofils einschließlich aller Zugriffsberechtigungen in der Regel sehr hoch.
Mit einem zentralen Identity und Access Management System kann der Prozess des User-Provisioning deutlich vereinfacht und automatisiert werden. Mittels definierter und im Identity und Access Management System hinterlegter Kriterien und Algorithmen erhalten alle benötigten Systeme und Applikationen die für den neuen Mitarbeiter vorgesehenen Berechtigungen – automatisiert, fehlerfrei und zu jeder Zeit nachvollziehbar („Onboarding“).
Dabei ist es unerheblich, ob ein Mitarbeiter etwa vom Erdgeschoss in die zweite Etage, von München nach Shanghai oder von der Buchhaltung in den Vertrieb wechselt. Die Automatisierung aller Prozesse erleichtert das Identity und Access Management überall dort, wo es benötigt wird. Alle Identitäten werden anwendungs- und systemübergreifend an einer zentralen Stelle konsolidiert und verwaltet. Über eine webbasierte Oberfläche lassen sich mit wenigen „Klicks“ neue Identitäten anlegen sowie bestehende Zugriffsberechtigungen ändern.
Identity und Access Management automatisiert Routineaufgaben
Ein User Life Cycle Workflow für Identitäten und Ressourcen automatisiert den Freigabeprozess des Unternehmens. Selbst Verwaltungsaufgaben, die sich (noch) nicht vollständig automatisieren lassen, können auf diese Weise schnell, einfach und sicher durchgeführt werden – beispielsweise um Mitgliedern einer temporären Arbeitsgruppe die benötigten Ressourcen zuzuweisen.
Das Identity und Access Management System erkennt, wenn Mitarbeiter bei internen Wechseln oder Änderungen in der Funktion neue Zugriffsrechte benötigen, und schlägt die entsprechenden Änderungen vor. Ebenso werden Benutzerprofile von Mitarbeitern, die das Unternehmen verlassen haben, automatisch gelöscht („Offboarding“). Ohne dieses Verfahren müssen IT-Administratoren die von Nutzern angeforderten Ressourcen nach Bewilligung manuell für jedes System und für jede Anwendung zuweisen.
Ein positiver Nebeneffekt: Die intension Identity und Access Management Suite protokolliert alle Änderungen. Durch diese lückenlose Dokumentation aller Änderungen können Sie auf „Knopfdruck“ nachweisen, welche Identität zu welchem Zeitpunkt welche Rechte hatte – eine wichtige Säule bei der Erfüllung von Compliance- und Datenschutzanforderungen gemäß der EU-DSGVO.
Eine Identity und Access Management Lösung kümmert sich automatisch um die vormals genutzten Zugänge und räumt diese unmittelbar nach dem Austritt auf, sodass Sie sicher vor unerlaubten Zugriffen sind. Dies alles entlastet die IT-Abteilung: Sie kann sich auf den IT-Betrieb konzentrieren. Denn durch ein zentrales Identity Management stehen auch während der aktiven Zeit User Self Services mit automatisierten Prozessen für eine Rücksetzung des Zugangspasswortes oder für die Bestellung von Systemzugängen von Nutzern zur Verfügung.
User Life Cycle Management / Identity Life Cycle Management mit der intension Identity und Access Management Suite
User Life Cycle Management über verschiedene Systeme hinweg
In vielen Unternehmen werden Benutzeridentitäten in einer ganzen Reihe von Systemen dezentral verwaltet: Von SAP® HR, über Fachapplikationen bis hin zu Active Directory und LDAP. Dies führt häufig dazu, dass der gleiche Benutzer in vielen Systemen redundant angelegt und verwaltet werden muss. Wechselt ein Benutzer bspw. die Abteilung, müssen die Benutzerberechtigungen, Gruppenzugehörigkeiten usw. in diversen Systemen (manuell) nachgezogen werden. Dies führt zu höheren Kosten, mehr Fehlern und längeren Bearbeitungszeiten.
Besser weil effizienter wäre es, alle Benutzeridentitäten in einem Identity und Access Management System unternehmensweit zentral zu verwalten. Was offensichtliche Vorteile bringen würde, stellt die Verantwortlichen in der Praxis oft vor große Probleme. Die Daten liegen in verschiedenen Formaten und tlw. unvollständig vor, die Namenskonventionen sind verschieden, es gibt verschiedene Zugriffsprotokolle u.v.m.
Mit der intension Identity und Access Management Suite können beliebige, identitätsverwaltende Systeme integriert werden, Identitäten validiert, vereinheitlicht und anschließend (in ein zentrales System) synchronisiert werden.
Die Abgleichregeln können sowohl im Batch als auch bei Online-Abfragen angewandt werden.
Die Datenstrukturen zwischen Quell- und Ziel-System(en) können völlig unterschiedlich sein.
Durch die Normalisierung der abzugleichenden Daten kann ein Abgleich sowohl n:1, 1:n als auch n:m erfolgen.
IMS Data Integration Engine
Die intension Identity und Access Management Suite nutzt iDome, um Regeln für einen Datenabgleich zwischen verschiedenen Systemen von Datenobjekten auf generische Art zu formulieren. Dabei spielt es keine Rolle, ob die Daten von einer Online-Schnittstelle (bspw. über REST) übernommen und in eine relationale Datenbank geschrieben werden, oder aus einer Datenbank in ein LDAP Verzeichnis, oder ob ein Massendaten-Import aus einer CSV-Datei, oder ein Export in eine JSON-Datei durchgeführt werden soll. Für jegliche Kombination aus Quell- und Zielsystem kann derselbe Mechanismus verwendet werden. Über diese generischen Vorschriften lässt sich ein Datenabgleich zwischen ganz unterschiedlichen Datenstrukturen formulieren: Sicher, einfach und kosteneffizient.
Die Daten können in unterschiedlichsten Strukturen vorliegen:
„Flach“, wobei bspw. jeder Eintrag Informationen zu Person, Standort-Adresse und Organisationseinheit vereint.
In mehr oder weniger normalisierter, relationaler Form.
Hierarchisch, wobei je nach Fokus der Datenhaltung ganz unterschiedliche Hierarchien entstehen können.
[Objektbasiert, indem Datenobjekte verschiedener Art über Referenzen miteinander verbunden sind (bspw. über REST-Schnittstellen).
Konnektoren integrieren gängige Systeme
Über Standard Konnektoren zu gängigen identitätsverwaltenden Systemen wie SAP® HR, Microsoft® Active Directory, Microsoft® SQL Server, LDAP, Oracle®, MySQL u.v.m. wird der Zugriff auf diese dort verwalteten Identitäten ermöglicht. Im nächsten Schritt werden die Daten in ein einheitliches Objekt-Modell übertragen und stehen als Objekte zur Verfügung.
Beispiele für einen Datenabgleich:
Übernahme von Personaldaten aus HR-Systemen.
Übernahme von Daten zur Organisationsstruktur und/oder Kostenstellen, wobei diese mit den Personaldaten abgeglichen und zusammengeführt werden müssen.
Übernahme von Daten aus Drittsystemen, in denen weitere Personal- oder Organisationsdaten verwaltet oder generiert werden (bspw. bei externen Mitarbeitern oder Partnern).
Anlage, Änderung und Löschung von Accounts in einem Active Directory.
Provisionierung und Deprovisionierung von Accounts über Online-Schnittstellen in Drittsystemen.
Bereitstellung der Daten über einen LDAP Verzeichnisdienst, REST- oder SCIM-Schnittstellen.
Massendatenexport zur Befüllung weiterer Systeme.
ARCHITEKTUR
Unsere Produkte und Lösungen basieren auf dem Java Framework iDome und unterstützen Unternehmen beim Identitätsmanagement, Zugriffs- sowie Zugangsmanagement, Single Sign On (SSO), Nachverfolgung von Identitäten, Einhaltung von Compliance Richtlinien sowie bei der Verwaltung von Objekten in Directory Services. Unsere Produkte und Lösungen sind modular aufgebaut, verfügen über eine klar strukturierte und einfach nutzbare API und eignen sich so ideal für Unternehmen, die eine schlanke, skalierbare und agile IAM-Plattform benötigen.
Die Architektur der Identity und Access Management Suite
Fazit und Ausblick
Frithard Meyer zu Uptrup, Geschäftsführer intension GmbH
„Moderne Unternehmen setzen verstärkt auf neue Technologien und Arbeitsmodelle. Die zentrale Verwaltung sicherer Zugänge zu den Unternehmens-Anwendungen und -Daten ist dafür die notwendige Voraussetzung.
Für ein unternehmensweites User Life Cycle Management müssen verschiedene, identitätsverwaltende Systeme sicher integriert werden können.
Unsere Produkte unterstützen alle relevanten Systeme und Standards und werden seit vielen Jahren u.a. von Deutschlands größtem IT-Dienstleister eingesetzt. Erfahren Sie weitere Details in unserem Referenzbericht mit T-Systems.“
intension IAM-Suite bei der Deutschen Telekom
Lesen Sie HIER, wie die Deutsche Telekom auf die skalierbare und hochverfügbare IAM-Lösung von intension setzt.
Fragen? Wir haben Antworten!
Wir freuen uns auf Ihre Nachricht.
Autor: summ-it Unternehmensberatung
powered by Borlabs Cookie