Anwendungen – Apps, Fachartikel

IAM 2.0 – von festen Hierarchien zur Verwaltung von Beziehungen im Kontext

IAM 2.0 – von festen Hierarchien zur Verwaltung von Beziehungen im Kontext

Stefan Schaffner, CEO, VERO CERTUS GmbH

Ein Großteil der Organisationen, Konzerne und KMUs in Europa haben die Zeichen der Zeit erkannt und in den vergangenen 15 Jahren das Thema IAM auf die Agenda gehoben. Somit wurden Identity und Access Management Systeme eingeführt, die oftmals auf unterschiedlichen Ansätzen beruhen. Sei es auf Basis der zentralen Berechtigungsverwaltung in Mainframe Systemen wie RACF, ACF2 oder auch ähnlichen Ansätzen über die SAP-zentrische Sicht, die ein Netweaver Identity Management erforderlich macht, bis hin zu IDM-Systemen deren Datenhaltung auf einem Verzeichnisdienst basiert.

Doch etwas haben all diese Ansätze gemeinsam: Sie orientieren  sich - mehr oder weniger eng - an der Abbildung einer hierarchischen Organisationsstruktur. Begleitet wird diese Struktur durch ein starres Rollenmodell, das die Verwaltung der Berechtigungen erleichtern sollte - eigentlich.

IAM 1.0 – die alte Ordnung

Rollenmodelle und Organisationspyramiden haben eine für das Identity Management sehr unangenehme Eigenschaft: Sie erweisen sich als nicht halb so beständig wie der Wandel, dem selbst kleinere Organisationen und Firmen in der heutigen Zeit unterliegen. Es werden neue Abteilungen geschaffen, alte Prozesse durch Neue abgelöst - wie beispielsweise neue Cloud-Anwendungen, die althergebrachte Mainframe Tools ersetzen, weil der Anbieter eine API zum Import der Daten aus dem RACF zur Verfügung stellt. Die zur Automatisierung von Admin-Tätigkeiten angeschafften und konfigurierten IAM Werkzeuge der ersten Stunde strecken hier schnell die Waffen. Die rasche  Veränderung von Strukturen und Zuordnungen erweist sich als Gift für die mühsam analysierten, dokumentierten und im IAM Tool fest verdrahteten Prozesse des Workflows. Der hier zu leistende Governance-Aufwand für Anpassungen in allen Varianten, steht in keinem Verhältnis  zum Nutzen. Und dabei ist noch nicht einmal die Prüfung auf kritische Kombinationen (Segregation of Duty) berücksichtigt. 

IAM 1.1 – der Governance Ansatz

Die von vielen Herstellern wie Aveksa oder Sailpoint als die „2. Generation“ gepriesenen Werkzeuge der Identity Governance, weisen jedoch immer noch eine Vielzahl an Schwachstellen auf. Beispielsweise lässt sich eine volle Integration der Provisierungsfunktion nur schwierig umsetzen. Die Konsequenz ist: Der Regelkreis  von „SOLL – IST – ÄNDERN“  –  ist schwer zu schließen. Auch wenn die erkannten Differenzen im Rahmen einer Re-Zertifizierung angezeigt und sogar automatisch behoben werden, so scheitern diese Werkzeuge dennoch an zyklischen Strukturveränderungen.  Schließlich erfordern neue Strukturen ebenso neue Aufgabenteilungen wie auch neu zugeschnittene Berechtigungsvergaben. Auch die Trennung in ein mehrstufiges Rollenmodell mit Business-Rollen, Technischen Rollen und System-Rollen kann hier nur bedingt Abhilfe schaffen, da der Governance-Aufwand bei der Prüfung der Rollenhierarchie zwangsweise deutlich steigt. Allein die Anpassung der per Workflow -Tool gezeichneten Abläufe an neue Gegebenheiten, bindet personelle Kapazitäten oftmals für Wochen bis die betriebliche Realität wieder im Werkzeug abgebildet ist.

Pointer statt Workflows?

Im deutlichen Kontrast zu den per Maus bedienbaren und per „Point & Click“ anpassbaren Workflow Design Werkzeugen steht die Modellierung von Antrags- und Bestätigungsworkflows über einfache Regelwerke. Diese Regelwerke werden abstrakt definiert und ermöglichen eine einfache Beschreibung des Ablaufs anstatt diesen grafisch aufzubereiten. Ein Beispiel verdeutlicht den geschilderten Zusammenhang: „erster Prüfer ist Disziplinarvorgesetzter des Antragstellers“ und „zweiter Prüfer ist Manager der Ressource“ sowie „falls 1. oder 2. nicht binnen 24 Stunden agieren an Vorgesetzten (etwa Haupt-Abteilungsleiter) eskalieren“. Ein solch abstraktes Modell steht und fällt jedoch mit der Verfügbarkeit eines detaillierten Organisationsbaums, welcher in das IAM Werkzeug importiert werden muss. Vorteilhaft erweist sich in diesem Kontext jedoch, dass auch ein „Echtzeitzugriff“ auf das jeweils aktuelle und gültige Organigramm erfolgen kann.

Vorgefertigte Integrationen

Ein weiteres kritisches Element auf dem Weg zu einem wirklich relevanten IAM 2.0 ist die Fähigkeit, neue Technologien, Systeme sowie (Cloud-)Anwendungen einfach und schnell anzubinden. Eine mögliche Variante könnte die zeitarme Schaffung eines funktionierenden Kern-IAM Systems sein, welches binnen kurzer Frist mittels einer „agilen Methode“ die Anbindung  weiterer Funktionen und Systeme zulässt. Die Erfahrung zahlreicher Projekte der ersten IAM Generation zeigt deutlich, dass die grundlegenden Anforderungen an eine Einbindung - beispielsweise einer Active Directory - nahezu identisch sind. So gehören etwa das Anlegen eines Benutzer-Kontos, das Verschieben dieses Kontos in eine bestimmte Organisationseinheit, (im AD „Organizational Unit“, OU), das Hinzufügen von Gruppen und Erstellen eines Home-Verzeichnisses sowie das Anlegen einer Emailadresse in fast allen Fällen zum geforderten Repertoire. Ein wesentlicher Evolutionsschritt ist nun, diese Standard-Konnektoren vorkonfektioniert zu gestalten sowie die Integration auf die Abfrage diverser Attribute und Werte zu reduzieren - wie es zum Beispiel in Lösungen von Hitachi ID der Fall ist. Besonders anwenderfreundlich zeigt sich dieses Werkzeug beim (erfolglosen) Zugriff auf eine Ressource, für die man nicht berechtigt ist: Es erscheint direkt der Dialog zur Antragstellung für den Zugriff auf eben diese Ressource. Das Konzept des Dell One Identity Managers verfolgt hingegen seit Jahren den Ansatz, die an strukturelle Rahmenbedingungen geknüpfte Berechtigungsvergabe durch Rollen mit der Möglichkeit zu ergänzen, Berechtigungen individuell in einem Webshop bestellbar zu machen und die Vergabe den Business Anforderungen entsprechend durch Genehmigungsworkflows zu autorisieren.

Fazit

Die Experten der accessec GmbH haben die Erfahrung gemacht, dass auf dem Weg zu einem echten IAM 2.0 sowohl Hersteller als auch Kunden zusätzliche Potenziale nutzen können. Auch wenn dies teilweise radikale Schnitte sowie ein Neudenken von IAM erfordert, lohnt sich das Resultat in Form flexiblerer und deutlich bürokratieärmerer Strukturen.  Iterationen jüngster Generation etablierter IAM Werkzeuge, bieten schon heute einfach zu bedienende „Webshops“ für Berechtigungen, eine einfache Modellierung von Workflows über Regeln und Pointer sowie eine tiefe Integration von neuen IAM-Governance Funktionen mit Provisierungsengines.

Stefan Schaffner, CEO, VERO CERTUS GmbH