Identity und Access-Management (IAM) ist die Verwaltung von Benutzeridentitäten, Zugriffsrechten und Berechtigungen in einem Informationssystem oder einer Organisation. Das Ziel von IAM ist es, zu kontrollieren und zu organisieren, wer auf welche Ressourcen innerhalb oder von außerhalb der Organisation zugreifen kann und welche Aktionen diese Personen ausführen dürfen. 

IAM-Systeme sollen die Benutzerverwaltung auch in komplexen Strukturen ermöglichen und dabei mehrere Anforderungen erfüllen. 

Wir wollen in diesem Beitrag die wesentlichen Anforderungen und Herausforderungen, sowie die Planung solcher Systeme betrachten. 

IAM umfasst typischerweise mehrere Komponenten, darunter die Verwaltung von Benutzerkonten und Zugriffsrechten, die Implementierung von Zugriffskontrollen und Richtlinien, die Überwachung von Benutzeraktivitäten und die Durchsetzung von Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung. 

Die Implementierung von IAM hilft Organisationen dabei, die Sicherheit ihrer Systeme zu verbessern, Compliance-Anforderungen zu erfüllen, das Risiko von Datenverlust oder unbefugtem Zugriff zu reduzieren und die Effizienz bei der Bereitstellung und Verwaltung von IT-Ressourcen zu steigern. 

Ein Blick in Vergangenheit und Zukunft 

Beginnt man mit einem Blick auf klassische IAM-Systeme, so sehen wir interne Zugänge. Meist spielt dort meistens das Active Directory (AD) die zentrale Rolle. Aber auch hier gibt es schon zahlreiche Herausforderungen, denn es einen Mitarbeiter eben nicht nur im AD, sondern in ganz vielen Systemen. Er wird in einem Personalmanagementsystem angelegt, benötigt Zugriff auf Türen, hat einen Telefonanschluss und natürlich Zugriff auf unterschiedliche Softwarelösungen. Häufig haben wir hier eine Verknüpfung von vielen Konten. 

Mit der Cloud kommen weitere Entitäten dazu. Zum einen gibt es auch in der Cloud ein Äquivalent zum AD (Entry ID), zum anderen gibt es häufig verteilte ADs. Je nach Standort oder Sicherheit möchte man überhaupt nicht alle Entitäten im Gesamtzugriff haben. Rollen können auch sehr unterschiedlich sein. Nur weil jemand Administrator in einem Standort oder Teilunternehmen ist, heißt es nicht, dass er auf alles zugreifen darf. 

Dazu kommen dann verschiedenste Softwareprodukte. Verschiedene Lösungen decken die gleichen Aufgaben in verschiedenen Standorten ab. Die Informationen aus Personalmanagement, CRM, AD, Türkontrolle und Telefonanlage sollen irgendwie zusammenkommen, aber sich gegenseitig nicht negativ beeinflussen. Bestimmte Informationen dürfen an einem Standort oder in einer Sicherheitsdomain offen sichtlich sein, dürfen aber nicht woandershin synchronisiert werden. 

Die Frage ist, wie ein solches Identity- und ein Accessmanagement-System aufgebaut werden kann. 

Identitätsmanagement der Zukunft 

Zuerst wollen wir uns mit möglichen Anforderungen befassen, die eine IAM-Lösung erfüllen muss. 

  • Vereinigung von Online- und Offline-Welten ohne Grenzen. Daten müssen synchronisiert werden können, bestimmte Informationen dürfen aber ggf. nicht übermittelt oder ausgetauscht werden. 
  • Kundendaten sollen direkt in der Emailsoftware, einem Unternehmenstelefonbuch und der Telefonanlage abrufbar sein, ohne dass man die aktuellen Daten aus einem CRM holen muss. Das gilt auch dann, wenn Kunden mit unterschiedlichen Bereichen oder Standorten telefonieren. 
  • Die Informationen müssen ständig abrufbar sein und Änderungen sollen möglichst Just-in-time übertragen werden. 
  • Kollaboration zwischen allen Mitarbeitern soll möglich sein. 
  • Daten sollen nicht mehrfach erfasst werden. Das gilt auch für die Synchronisation. Personaldaten müssen teilweise ins AD einfließen, Telefondaten in AD und wieder in die Personalverwaltung. Das bedeutet, dass nur eine einmalige Anlage- und Erfassung notwendig sein darf. 
  • Daten zwischen Standorten müssen ggf. je nach Sicherheitslage ganz, teilweise oder gar nicht ausgetauscht werden. Das gleiche gilt auch für Domänen verschiedener Sicherheitsklassen. 
  • Der Ausfall des IAM darf nicht die Arbeitsweise an sich negativ beeinflussen. Alle Systeme müssen (dann ggf. kurzeitig mit alten Daten) weiterarbeiten können. 
  • Die zentrale Verwaltung von Mitarbeitern ist oftmals sinnfrei. Es kostet Geld und Zeit, wenn eine Abteilung sich an den Support und der sich an die Administration wenden muss. Daher sind unterschiedliche Rollen bei der Verwaltung sinnvoll, damit in einer Abteilung ein Kollege direkt die notwendigen Zugriffe erhalten kann. 
  • Rechte müssen ggf. temporär oder durch Abteilungszugehörigkeit automatisch gegeben und genommen werden können. 
  • Eine einzelne Zentrale Oberfläche für alle Daten an einer Identität ist wichtig. 
  • Die Daten sollten jedoch nicht zentral, sondern im entsprechenden System abgespeichert werden. Bei Aufrufen einer Identität muss das IAM dann diese Informationen zusammengetragen darstellen. 
  • Prozesse und Anbindung beliebiger Schnittstellen müssen möglich sein. 

Herangehensweise 

Bei kleinen Unternehmen mit nur einer AD-Struktur (ggf. mit verschiedenen Teilbäumen mit unterschiedlichen Sicherheitsleveln) ist das Vorgehen relativ einfach. 

  • Identifikation der erforderlichen Daten je Entität. 
  • Bestimmung aller beteiligten Anwendungen, die eigene Daten speichern und verwalten. 
  • Festlegung der Sichtbarkeit und Vertraulichkeit von Informationen. 
  • Identifikation des Anlageweges und Skizzierung des Prozesses der Datenanlage, -verwaltung- und -löschung. 

Ein IAM kann dabei auch partiell eingeführt werden, bevor alle Systeme angeschlossen werden, da eine schrittweise Einführung helfen kann, den initialen Aufwand zu senken und bereits das Vertrauen in das System herstellen kann. 

Bei Unternehmen mit komplexen AD-Strukturen, verschiedenen Standorten mit eigener Infrastruktur oder Firmengruppen bzw. -verbänden, ist das Vorgehen komplexer. 

Hierbei sind unter anderem zu berücksichtigen 

  • wo liegt je nach Datenart die Informationsquelle und an welcher Stelle dürfen Änderungen vorgenommen werden, 
  • welche Teile aus der AD-Struktur innerhalb eines Bereichs zu verbleiben haben, 
  • welche Teile synchronisiert werden z.B., um Mitarbeitern überall den Zugriff auf das WLAN oder Ressourcen zu ermöglichen, 
  • welche Schutzklassen es für Informationen gibt, 
  • welche unterschiedlichen Systeme die gleichen Informationen benötigen und welches im Zweifelsfall das führende Systeme ist, 
  • in welchen Richtungen Daten übertragen werden, falls es Konflikte geben sollte, 
  • wie die Prozesse je Unternehmen, Standort, Sicherheitsklasse gestaltet sind und inwieweit diese aufeinander abgestimmt werden können. 

Aus den ermittelten Daten ergeben sich zum einen die Anforderungen an eine IAM-Lösung, zum anderen, Regeln für den Umgang mit Daten und ein Vorgehen zur Umsetzung. 

Vorgehen 

In Workshops werden die Anforderungen an eine IAM-Lösung ermittelt. Darüber hinaus ist es sinnvoll, den derzeitigen Reifegrad des Identitäts- und Accessmanagement festzuhalten. Daraus ergeben sich Maßnahmen und Anforderungen, die in die Konzeption einfließen. 

Neben dem Konzept ergeben sich daraus ein Maßnahmenkatalog, ein Vorgehen zur Einführung, Richtlinien und OnePager für die Mitarbeiter, um den Prozess ihnen einfach näherzubringen. 

Haben Sie weitere Fragen zur Konzeption oder zur Implementierung? Die HOLAGIL freut sich darauf, Ihre Fragen beantworten zu dürfen und unterstützt Sie gerne dabei, mit den nächsten Schritten fortzufahren. Nehmen Sie jetzt Kontakt zu uns auf, um ab sofort zu finden statt zu suchen.

Folgendes könnte Ihnen auch gefallen