Verwaltung von Identitäten

IAM einfacher gelöst

Im Interview erläutert Andreas Martin, Vorstand und CEO des Consulting-Unternehmens First Attribute AG, wie Identity- und Access-Management (IAM) alles andere komplex und aufwendig sein kann.

Andreas Martin, First Attribute

„Die Benutzer selbst können über einen integrierten Self Service viele Aufgaben rund um das Management von Identitäten und Berechtigungsrollen übernehmen“, so Andreas Martin, First Attribute.

Tools für das Identity- und Access-Management (IAM) gelten als das auserkorene Werkzeugset, um mehr Ordnung und Verlässlichkeit in die Verwaltung von Identitäten und ihre Berechtigungen zu bringen. Doch es mehren sich die Zeichen, dass die hohe Komplexität des klassischen Ansatzes viele Unternehmen überfordert. Aufgrund der vielen Bausteine und Prozesse, die nahtlos ineinanderwirken müssen, rächt sich die hohe Komplexität von Anfang an: von der Planung und Umsetzung, über die Bedienung und den Betrieb bis hin zu Anpassungen. Sie fallen immer dann an, wenn es zu organisatorischen, technischen oder sicherheitsstrategischen Änderungen kommt. „Das muss nicht sein“, glaubt hingegen Andreas Martin. Im Interview hat IT-DIRECTOR nachgehakt, wie eine schlankere, besser umsetzbare sowie einfacher zu bedienende und zu betreibende IAM-Lösung aussehen sollte.

IT-DIRECTOR: Herr Martin, welche sind die wichtigsten Hebel für eine schlankere IAM-Lösung?
A. Martin:
Das sind zweifellos IAM-Systeme, die sich als Portallösung am Anwender ausrichten. Die Strategie lautet, die Benutzer selbst in die Lage zu versetzen, über einen integrierten Self Service viele Aufgaben rund um das Management von Identitäten und Berechtigungsrollen zu übernehmen. Das ist nur möglich, wenn die Oberfläche normalen Benutzern eingängig ist. Dafür müssen hinsichtlich der Oberflächengestaltung komplizierte technische Strukturen und Details in den Hintergrund treten. An ihre Stelle muss beispielsweise eine organisationsorientierte Sicht treten. Die Benutzer müssen sich darin intuitiv bei ihrer Anmeldung, Selbstverwaltung, Pflege von Eigenschaften sowie bei ihren Suchanfragen innerhalb der Organisation wiederfinden. Dazu sollte den einzelnen Benutzern ähnlich wie bei Google nur das angezeigt werden, was sie tatsächlich brauchen.

IT-DIRECTOR: Wie kann der hohen Komplexität der Verzeichnisintegration und der Vielfalt unterschiedlicher Konnektoren, die aufwendig angepasst werden müssen, entgegengewirkt werden?
A. Martin:
Dies gelingt, wenn innerhalb des IAM-Portals Active Directory als im doppelten Sinne führendes Authentisierungsverzeichnis fungiert. Dann können Nicht-Microsoft-Systeme und deren Verzeichnisse standardgemäß eingebunden werden. Ein Einsatz separater IAM-Systeme und Konnektoren entfällt. Zusätzlich arbeitserleichternd wirkt sich hierbei aus, dass die meisten Identitäten bereits im Active Directory hinterlegt sind.

IT-DIRECTOR: Bei vielen IAM-Projekten macht die Integration der Bürokommunikationswelt Probleme. Wie kann man diese Problematik lösen?
A. Martin:
Insbesondere die Anlage und Verwaltung persönlicher Laufwerke und E-Mail-Boxen, spezielle Anwendungseinträge und Einstellungen für Terminal-Services gestalten eine Integration schwierig. Besser und schneller kann die Integration über einen Power-Shell-Service gelöst werden. Er übernimmt alle Aufgaben und Prozesse zwischen den unterschiedlichen Verzeichnissen, die erforderlichen Struktur- und Formatumsetzungen inklusive. Aus der Sicht der Benutzer sieht dies dann so aus: Mit der Eingabe des Vor- und Nachnamens erstellt der Power-Shell-Service automatisch das Benutzerkonto, einen E-Mail-Namen und ordnet dem Nutzer die richtige Berechtigungsrolle zu. Werden Eintragungen oder Rollen im Active Directory durch den Benutzer verändert, werden diese Veränderungen automatisch in allen beteiligten Systemen durchgeführt. Die Abwicklung im Hintergrund übernehmen leicht anpassbare Skripts, die zudem für nahezu alle Systeme, die das Unternehmen im Einsatz hat, verfügbar sind.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2016. Bestellen Sie ein kostenfreies Probe-Abo.

IT-DIRECTOR: Anbieter klassischer IAM-Systeme schwören auf Workflows, um Aktivitäten rund um die Anlage und Verwaltung von Identitäten und Berechtigungsrollen zu automatisieren. Was halten Sie von solchen Ansätzen?
A. Martin:
Meist kann auf solche Workflows verzichtet werden. Sie erhöhen die Komplexität des Gesamtsystems und erweisen sich bei organisatorischen, technischen oder sicherheitsstrategischen Veränderungen als extrem anpassungsaufwendig. Zudem sind die komplizierten Synchronisationsprozesse fehleranfällig. Das gilt für Policy-Management-Workflows, Provisionierungs- und Rechtegenehmigungsprozesse gleichermaßen. Eine einfache Delegation, initiiert durch die Benutzer, reicht meist aus, um im Hintergrund automatisch die notwendigen Zuordnungen zu treffen und bestimmte Aktionen auszulösen. Die Zuordnungs- und Aktionslogik können die Benutzer in vordefinierten Templates hinterlegen. Dadurch wird die Komplexität der IAM-Lösung weiter reduziert.

IT-DIRECTOR: Welche Rolle übernehmen Administratoren bei der Betreuung solcher Portale?
A. Martin:
Vorausgesetzt, die Oberfläche ist leicht verständlich aufgebaut, können normale Benutzer über den Self Service auch Aufgaben wie die Konfiguration von Identitäten und Berechtigungsrollen übernehmen. Die ermöglicht es auch Pförtnern oder Sekretariaten, für die Mitarbeiter ihres Standorts das Zurücksetzen von Passwörtern zu übernehmen.
Was für Administratoren noch zu tun bleibt, ist zweierlei: Konfiguration der Power Shell durch den Einsatz von Skripts, die sich der in den Templates vorliegenden Informationen bedienen; Vorkonfiguration der Rollen für das IAM-Portal, um darüber den Benutzer-Self-Service in Szene zu setzen.

IT-DIRECTOR: Sind diese Konzepte auch innerhalb großer, stark verteilter Organisationen umsetzbar?
A. Martin:
Gerade innerhalb solcher Organisationen ist es besonders wichtig, die Komplexität der IAM-Lösung deutlich zu reduzieren. Nur unter dieser Voraussetzung wird das Portal beherrschbar sein und dies auch bleiben. Ein großer Logistikdienstleister mit zentralem Sitz in Kempten und über 29.000 Beschäftigten ist ein gutes Beispiel. Das weltweit aufgestellte Logistikunternehmen hat sich für den schlanken Zuschnitt der IAM-Portallösung entschieden und setzt sie in einer erweiterten Stufe bereits ein. Unabhängig von ihrer Größe und ihrem Verteilungsgrad profitieren Unternehmen durch den schlanken Zuschnitt des Portals in weiterer Hinsicht: Ein Konzeptions- und Implementierungs-Workshop etwa im Rahmen unseres Angebots reicht aus, um die Komplettlösung einzuführen, danach zu betreiben.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok