Ungleiche Partner: Rollenmanagement, User Provisioning, Access Certification und Berechtigungsmanagement

Auf den ersten Blick scheint Identity Management für Unternehmen nur einen einzigen Zweck zu erfüllen. Bei genauerem Hinsehen zeigt sich jedoch, dass Identity Management eine Vielzahl von Konzepten umfasst, die wiederum eine Reihe unterschiedlicher Vorteile bieten. Access Certification, Rollenmanagement, User Provisioning und Berechtigungsmanagement sind vier zusammenhängende Teilbereiche.

Die Disziplin des Berechtigungsmanagements sammelt Berechtigungen aus ganz verschiedenen Systemen in einem Speicher. Das erleichtert die Überprüfung, klärt die Bedeutung der Berechtigung für das Business und bietet weitere Informationen, wie einen Überblick über berechtigte Personen und eine Klassifizierung der Berechtigung. Der folgende Text bezieht sich auf diese Verwendung des Ausdrucks “Berechtigungsmanagement”.

Active-Directory-Gruppen, SAP-Rollen und ACF/2-Ressourcen-Codes sind Bespiele für Berechtigungen. Auch wenn die kryptische Bezeichnung einer Active-Directory-Gruppe wie “P_HQ_FIN_SP_Alpha” einem Administrator von Active Directories etwas sagen mag, wird ein Manager während eines Access -Certifications-Prozesses oder eine Person, die einen spezifischen Zugang über ein User Provisioning Tool anfordern will, damit nichts anfangen können. Durch einen Berechtigungsmanagement-Prozess kann die Bedeutung von “P_HQ_FIN_SP_Alpha” – also die Beschreibung dessen, wozu eine Person berechtigt ist – für das Business festgestellt werden. In diesem Beispiel kann die Active-Directory-Gruppe ihren Mitgliedern Lesezugang zum SharePoint-Server der Finanzteams geben. Indem Berechtigungen über das Rollenmanagement mit Rollen kombiniert werden, findet ihre Bedeutung Eingang in die Sprache, mit der IT und Geschäftsbereiche kommunizieren.

Die alternative Verwendung des Ausdrucks Berechtigungsmanagement bezieht sich auf einen richtlinienbasierten, kontextsensiblen Autorisierungsdienst, der den Zugang zu Anwendungs-, Daten- und Netzwerkressourcen regelt. Während sich die vorige Verwendung von Berechtigungsmanagement auf eine administrative Disziplin bezieht, steht sie hier in Zusammenhang mit einem Runtime Service, der komplexe Entscheidungen trifft. Sie ist auch unter den Bezeichnungen “feingranulare Autorisierung” und “Entitlement Enforcement” bekannt.

Berechtigungen und Berechtigungsmanagement treiben verschiedene Identity-Management-Motoren – User Provisioning, Rollenmanagement und Access Certification – auf unterschiedliche Weise an. Damit ein Access-Certification-Prozess funktioniert, muss er den Usern Berechtigungen und die damit assoziierte Bedeutung für das Business vermitteln. Ein funktionierender Prozess für das Berechtigungsmanagement ist erforderlich, weil veraltete und ungenaue Berechtigungsdaten während eines Access-Certification-Prozesses zu falschen und womöglich gefährlichen Entscheidungen hinsichtlich des Risikos führen.

Um effektive User-Provisioning-Richtlinien aufstellen zu können, müssen Administratoren Zugang zu den Berechtigungsinformationen haben. Wenn sie die Business-Bedeutung der Berechtigungen nicht kennen, müssen sie raten, was eine Berechtigung wirklich vermag. Dieses Ratespiel öffnet die Tür für das Risiko, dass die Richtlinien, die den Access-Management-Prozess steuern – trotz eines User-Provisioning-Systems, das den Zugang vergibt – zu viele Rechte und zu Funktionalitäten vergeben; eine solche Praxis öffnet Missbrauch Tür und Tor. Ohne gute Berechtigungsinformationen können zudem Anwender, die Self-Service-Schnittstellen für den Zugangsantrag nutzen, nicht wissen, welche Berechtigungen sie anfordern sollen. Dies hat Frustrationen und einen ineffizienten Access-Management-Prozess zur Folge. Schließlich können Rollenmanagement-Teams mit soliden Berechtigungsdaten besser die Auswirkungen verstehen, wenn Berechtigungen auf neue Weise kombiniert werden; sie erhalten auch verlässliche Daten, mit denen die Regeln für die Aufgabentrennung besser abgeglichen werden können. Weiterhin können die Inhaber von Berechtigungen in das gesamte Lifecycle Management von Rollen einbezogen werden, da sie Änderungen an den Rollen zustimmen müssen.