Enterprise Identity & Access Management

Ein Enterprise Identity und Access Management (IAM) System kümmert sich um die zentrale Verwaltung von Identitäten und Zugriffsberechtigungen für das gesamte Unternehmen. Wiederkehrende Abläufe in lokalen und Cloud basierten Anwendungen werden mit einer übergeordneten Provisionierung und den entsprechenden Workflows automatisiert und kontrolliert ausgeführt. Somit sind die Daten der Anwendungen und die der Benutzer jederzeit geschützt und entsprechen den notwendigen Compliance Anforderungen. Die Geschäftsprozesse werden dadurch strickt eingehalten und es kommt somit zu keinen Prozess Verstößen wie z.B. einer Interessenkollision zwischen Organisationseinheiten. Dies wird mit einer sogenannten Funktionstrennung (Segregation of Duties – SOD) vermieden.

Identity Lifecycle Management

Identity Lifecycle Management umfasst den kompletten Zyklus eines Mitarbeiters auf kritische Business Daten, Applikationen und Tools zugreifen zu müssen um seine Aufgaben zu erledigen zu können. Dies betrifft die automatischen Prozesse wie Eintritt und Austritt eines Mitarbeiters, sowie den Wechsel in eine neue Organisation oder einen Wechsel innerhalb einer Organisation. Somit werden die Kosten reduziert und gleichzeitig die Sicherheit erhöht. Durch ein rollenbasiertes Berechtigungsmodell wird den Mitarbeitern nur ein Minimum an Berechtigungen zugewiesen. 

SECURITY COMPLIANCE

Die Security Compliance übersetzt Tausende von komplexen regulatorischen Anforderungen in umsetzbare Best Practices für die Sicherheit. Die Durchsetzung dieser Compliance Richtlinien unterstützen bei der Erreichung von Sicherheitsstandards. Sie sollen somit Abweichungen im Betrieb frühzeitig erkennen und Risiken unmittelbar und wirkungsvoll abwenden. Weiterhin sollen alle Aktivitäten detailliert für die Sicherstellung der lückenlosen Nachvollziehbarkeit protokolliert werden.

Role Base Access Control

Role Based Access Control (RBAC, rollenbasierte automatisierte Zugriffskontrolle) ist eine Methode, den Zugriff auf IT-Ressourcen (Computer, Applikationen, Dateien etc.) auf Basis der Rolle des einzelnen Nutzers innerhalb des Unternehmens zu regulieren. Die Rollen werden z.B. Anhand der Position des Mitarbeiters im Unternehmen festgelegt, oder auch auf Basis der Hierarchieebene, der Verantwortlichkeit oder der Abteilungszugehörigkeit. Da die Rechte dynamisch zugewiesen und flexibel auf Basis von Funktionen und Beziehungen geregelt werden können, ist es den Benutzern möglich eine weit aus größere Anzahl an Aufgaben auszuführen. Dies ist der größte Vorteil gegenüber dem herkömmlichen starren, objektorientierten Verfahren der Zugriffskontrolle. 

Identity & Access Governance

Identity & Access Governance umfasst einen einmal etablierten und hochwertigen Zustand der Benutzer und deren Berechtigungen auch nachhaltig auf diesem Bestand zu halten. Hierzu sind Vorgaben für Standards und Konventionen zu Rollen und Berechtigungen ebenso wichtig, wie die Definition von Prozessen und der Verantwortlichkeiten zur Pflege der Benutzer und Rollen. Dies wiederum erfordert das die Zuordnung von Rollen, die Pflege von Rollen und Berechtigungen, der Lebenszyklus von Identitäten, sowie die Integration von Kontrollen für eine angemessene Überwachung von Benutzern und Berechtigungen umgesetzt werden.

Workflows

Komplexe und sehr zeitaufwendige Prozesse wie das Anlegen, Ändern und Löschen von User-Accounts und deren Berechtigungen (wie z.B. Eintritt eines neuen Mitarbeiters oder den Abteilungswechsel eines Mitarbeiters) lassen sich mit Workflows komplett automatisieren. Wobei das darauf aufsetzende Provisioning dann die Berechtigungen auf die entsprechenden Zielsysteme verteilt. Das Workflow-Management bietet zusätzlich User-Interaktionen (wie z.B. bei der Antragsstellung etc.) mit den entsprechenden Entscheidern an. Sollte an einer Stelle der Workflow nicht wie geplant ablaufen, so tritt ein Eskalationsmechanismus in Kraft, welcher z.B. eine Delegation auslösen kann. Idealerweise docken sich Workflows an bestehende Personalprozesse an, um z.B. festzustellen ob ein Mitarbeiter eingestellt, versetzt oder entlassen wurde. 

Provisioning

Durch das Provisioning im Zusammenspiel mit den Workflows lassen sich zeitaufwändige Tätigkeiten wie  z.B. das Anlegen eines neuen Users in allen Systemen automatisiert und schnell ausführen. Im Provisioning werden alle entsprechenden Prozesse in Regeln und Rollen abgebildet und im IDM System hinterlegt. Werden diese dann angetriggert, so stehen die angeschlossenen Systeme wie SAP, Mail-Konto, Datenbanken etc. dem neuen Mitarbeiter, ohne weiteren Eingriff der IT-Abteilung bzw. deren Administratoren, zur Verfügung. Ebenso werden Abteilungswechsel, Umzüge, Projektmitgliedschaften oder Löschungen wegen Firmenaustritt nur einmal ausgelöst und laufen vollkommen automatisiert ab. Dies erspart einen enormen zeitlichen administrativen Aufwand. Es ist sogar möglich das alle Prozesse direkt aus dem Personalverwaltungssystem direkt angestoßen werden. 

Single Sign-On

Mit einem Single Sign-On (SSO) System müssen sich Mitarbeiter nur einmal einloggen, wobei das SSO-System dann alle notwendigen Anmeldungen bei den eingebundenen Applikation nach bestimmten im System hinterlegten Regeln ausführt. Dies erspart den Benutzern enorme Tipparbeit sowie das merken aller Passwörter für die unterschiedlichsten Applikationen. Zur Erhöhung der Sicherheit kann das SSO-System mit bestimmten Passwortregeln versehen werden. Zudem kann ein SSO-System mit einer 2-Faktor-Authentisierung ergänzt werden. Dies kann mittels einer Smartcard oder eines Biometrie-Verfahrens erreicht werden. So kann auch das Gesamt-Abmelde, also „Single Log-Out“ Verfahren, gesteuert werden, so dass der Benutzer bei allen Applikationen durch einmaligen Log-Out abgemeldet wird. So kann auch sein Account bei verlassen des Arbeitsplatzes nicht missbraucht werden. Das Single Sign-On Verfahren lässt sich mit einer Passwort-Synchronisation, Web-SSO (Cloud-SSO) oder Enterprise-SSO weiter vereinfachen und auf alle Applikationen abbilden.

User Self-Service

In vielen Unternehmen werden die User-Help-Desks mit einer Flut von Standard Aufgaben wie vergessene Passwörter, entsperren von Accounts, bestellen von zusätzlichen Berechtigungen teilweise überlastet. Zur Entlastung der Help-Desks und den Administratoren gibt es den User-Self-Service, der die Wartezeiten des Users z.B. beim entsperren seines Accounts enorm verkürzt, in dem der User die Entsperrung über entsprechende Webseiten selbst vornimmt ohne den Support zu kontaktieren. Ebenso kann er sich über diese Self-Service-Webportale auch 24/7 und auch ohne Unterstützung des Help-Desks ein neuen Passwort ausstellen lassen.

Möchte ein User einen Zugang zu einer weiteren Applikation oder eine weitere Berechtigung innerhalb einer seiner Applikationen, so kann er diese über das Self-Service Webportal ebenso beantragen. Er stößt damit einen vordefinierten Ablauf mit diversen Freigaben an, welche er dann Online auch „tracken“ kann und somit immer den Überblick über den aktuellen Status seiner Berechtigungen hat. Treten Schwierigkeiten auf sieht er auch an welcher Stelle er sein Anliegen eskalieren kann.

Ihre Anforderungen, unser KnowHow

Die SYSM ist Ihr kompetenter Ansprechpartner wenn es um Enterprise IAM Lösungen geht. Wir bieten Ihnen umfassende Dienstleistungen und Produkte für die Planung, Umsetzung und Betreuung rund um die Themen einer kompletten Enterprise IAM Lösung an. Unser höchstes Ziel ist es den maximalen Mehrwert für Sie zu erzielen und somit gemeinsam Ihre Projekte zum Erfolg zu führen. Dafür stehen wir Ihnen mit unseren IAM Experten zur Verfügung.

Testen Sie unser KnowHow im Bereich Enterprise Identity & Access Management (IAM). Wir stellen Ihnen unsere IAM Experten gerne zur Verfügung.

Michael Schwab Geschäftsführer