Provisioning-Systeme entlasten die IT-Administration mittelständischer Unternehmen und sorgen für die sichere Verwaltung von Zugriffsrechten

Infrastruktur ausbauen, Sicherheitskonzepte entwickeln, externe Standorte anbinden und neue Systeme implementieren: IT-Administratoren mangelt es nicht an wichtigen Aufgaben, doch viele dieser Arbeiten fressen Ressourcen, weil ihre Prozesse sehr zeitaufwendig sind. Provisioning-Systeme entlasten die Administration bei der Versorgung von Mitarbeitern mit IT-Diensten und Zugriffsberechtigungen von Routineaufgaben und erhöhen zudem das Sicherheitsniveau. Doch der Mittelstand scheut sich nicht zu Unrecht vor der Einführung solcher Systeme: Sie sind üblicherweise für den Einsatz in Großunternehmen konzipiert und bekannt dafür, in unüberschaubaren Projekten mit ausufernden Kosten zu enden. Was bieten also spezielle Identity und Access Management-Lösungen für den Mittelstand und wie können sie der IT-Administration Arbeit abnehmen?  

Die Administratoren in mittleren und kleineren Unternehmen setzen für die Abarbeitung von Standardaufgaben, wie dem Anlegen neuer Mitarbeiter in den Systemen, meist mehrere unterschiedliche Microsoft-Tools für die einzelnen aufeinander folgenden Aufgaben ein. Durch den hohen Anteil an Handarbeit entstehen bei einem derartigen Vorgehen nicht selten Fehleingaben, und Nachfragen sind an der Tagesordnung. Ein hohes Fehlerrisiko entsteht auch dadurch, dass mittelständisches IT-Personal oftmals mit zu vielen Rechten, wie beispielsweise Domain-Administrationsrechten, in den Zielsystemen arbeitet. Schnell ist hier statt einem einzelnen User eine ganze Organisationseinheit mit vielen Gruppen und hunderten von Nutzern gelöscht. Grundsätzliche Prinzipien für die Rechtevergabe wie „Least Privilege“ und „Right Access to the Right People at the Right Time“ werden im Alltagsgeschäft leider oft ignoriert.

Automatisch den Überblick behalten

Mit einem Provisioning-System lassen sich unterschiedlichste Standard-Administrationstätigkeiten von User- über Mail- bis hin zu Filemanagement über eine Oberfläche erledigen. Das gilt für die vielen täglichen Änderungsanfragen und Aufgaben wie das Anlegen von Dateiablagen und die dazugehörige Vergabe und Verwaltung von Zugriffsrechten genauso wie für das Anlegen neuer Mitarbeiter in den Systemen. Die aufeinander folgenden Aufgaben sind in Prozessketten zusammengefasst und laufen nach bestimmten Vorgaben, die einmal definiert werden, regelbasiert und unter Zuhilfenahme von Metadaten automatisiert ab. Außerdem sind sie jederzeit in identischer Qualität reproduzierbar.

Wird zum Beispiel ein neuer Mitarbeiter bei der Anlage im Provisioning-System einer Abteilung – also ein User-Stammdatensatzes einem hierarchischen Strukturierungs-Objekt – zugewiesen, ermittelt das System automatisch verschiedene Zugehörigkeiten. So „berechnet“ das Provisioning-System die Mitgliedschaft des Users in den Default-Gruppen, welche dieser Abteilung zugeordnet sind. Auch die Organisationseinheit im Active Directory, in der dieses Benutzerobjekt erstellt wird, sowie der zugehörige Exchange-Server für die Mailbox-Anlage werden ermittelt. Die Provisioning-Lösung setzt dementsprechend die erforderlichen Änderungen in den Zielsystemen um und nimmt damit dem Administrator die Arbeit ab. Das bedeutet: Abhängig von Fachgruppe oder Abteilung wird für den neuen Mitarbeiter vom System ein Account erstellt und in die richtigen Gruppen eingetragen. Zudem wird der Mitarbeiter automatisch mit entsprechend festgelegten Services versorgt, er erhält beispielsweise eine Exchange Mailbox und eine E-Mail-Adresse nach den unternehmensüblichen Namenskonventionen. Gleichzeitig wird jeder Zielsystem-Account einem Mitarbeiter zugeordnet. Unpersönliche Benutzerobjekte – Active Directory user objects, für die keine Zuständigkeit ermittelt werden kann, gehören damit der Vergangenheit an. Dies gilt für jedes zu provisionierende Objekt – damit erhöht sich die Transparenz erheblich.

Ausweg aus dem Rechte-Chaos

Mit einer geeigneten und auf die Anforderungen des jeweiligen Unternehmens angelegten Provisioning-Lösung kann der mittelständische Administrator mit deutlich weniger direkten Rechten auf die Zielsysteme arbeiten. Das Provisioning-System selbst, in dem er sich anmeldet, besitzt für jede Operation die entsprechenden Rechte, nicht mehr und nicht weniger.

 

„cMatrix SMB Schema“
Mit einem fest definierten Umfang an Funktionen und Objekten und dem Einsatz bewährter Best Practices wird Identity Management auch für mittelständische Unternehmen erschwinglich und beherrschbar.  Bildupload

Da die Prozesse nach definierten Regeln ausgeführt und unter Zuhilfenahme von Metadaten umgesetzt werden, erfordern sie lediglich ein Minimum an Eingaben. Das gestattet auch technisch ungeschulten Mitarbeitern wie beispielsweise HR-Personal nach Erfassung der Stammdaten neuer Mitarbeiter gleich das Anlegen von Benutzer-Accounts und zugehöriger Exchange Mailbox. Eine Batterie von Administrations-Tools müssen sie dabei nicht bedienen, Expertenwissen in Sachen Active Directory ist auch nicht notwenig. Da sich die Mitarbeiter gegenüber der Provisioning-Lösung authentifizieren, benötigen sie keine direkten Rechte in den Zielsystemen. Die sichere Delegation von Standard-Administrationstätigkeiten schafft dem qualifizierten IT-Personal erhebliche Freiräume für komplexere Aufgaben, während der administrative Standardprozess zum Verwaltungsprozess wird.

Über die Einführung von Self-Service Workflows kann das IT-Personal weiter entlastet werden. Mit diesen Workflows beantragen Mitarbeiter IT-Dienste und Berechtigungen: Wird ein solcher Antrag vom zugehörigen Verantwortlichen in der Fachabteilung genehmigt, setzt das Provisioning-System die Änderungen automatisch in den Zielsystemen um. Diese standardisierten Genehmigungs-Workflows mit Mehr-Augen-Prinzip steigern das Sicherheitsniveau, indem sie helfen, die Umgehung der Richtlinien zur Rechtevergabe und unkontrollierte Freigaben zu verhindern.

• Verwandte Themen
• Giesecke & Devrient Smart Card Lösung zur Prüfung von Personenidentitäten erfüllen Standard der US-Regierung
• Cyber-Ark stellt neue Privileged-Identity-Management-Suite vor