Das neue Governance-Modul ist seit kurzem fester Bestandteil von HelloID. Es erweitert die Basisfunktionen des Identity Management um einige praktische Tools zur regelmäßigen Überprüfung und Optimierung Ihrer Identitätsverwaltung. Damit lässt sich die Berechtigungsverwaltung besser in den täglichen Geschäftsbetrieb integrieren und die Einhaltung von geltenden Gesetzen und Vorschriften sicherstellen. Zu diesen Tools zählen beispielsweise Reconciliation, das Management sogenannter Toxic Policies sowie Role Mining und Rezertifizierung. Was versteckt sich hinter diesen Features, und welche Vorteile bieten sie? 

Vom Identity Management zur Identity Governance iam_governance_module

Heute sind viele Unternehmen nahezu vollständig digitalisiert. Dadurch ist das Identitätsmanagement zu einem geschäftskritischen Prozess geworden, weil der Tagesbetrieb davon abhängt, dass die IT-Systeme funktionieren. Dazu kommt, dass die Einhaltung von immer strengeren Datenschutz- und Sicherheitsrichtlinien nachgewiesen werden muss. Eine Nicht-Compliance beträfe das ganze Unternehmen, weil das Identity & Access Management mit der gesamten IT-Landschaft verknüpft ist. Viele CIOs und IT-Manager legen daher großen Wert auf ein konformes, sicheres Identity Management, das heute nicht mehr nur ein IT-Prozess unter vielen, sondern ein wichtiger Bestandteil der Governance ist. 

Deshalb haben wir das neue Governance-Modul für HelloID entwickelt, dessen Funktionen nahtlos mit den vorhandenen Provisioning– und Service-Automation-Features integriert sind. Damit können Sie Inkonsistenzen zwischen verschiedenen Systemen leicht aufdecken und beheben, Geschäftsregeln weiter optimieren und verhindern, dass Anwender unerwünschte oder unnötige IT-Systeme nutzen. Wir erläutern dies konkret anhand von vier Beispielen. 

Kontrolle über das Zielsystem sicherstellen 

Einer der wichtigsten Vorteile der Governance-Integration ist die Synchronisierung Ihrer IAM-Plattform mit den verbundenen Zielsystemen. 

Auch wenn sich mit HelloID im Prinzip sämtliche Benutzerkonten und Zugriffsrechte zentral verwalten lassen, kann es trotzdem zu Inkonsistenzen zwischen der IAM-Plattform und den Zielsystemen kommen. Ein Beispiel: Administratoren legen Benutzerkonten manuell an und verwalten Zugriffsrechte ebenfalls manuell. Bisher war es kompliziert, solche Abweichungen zu erkennen und zu behandeln. Das neue Reconciliation-Tool hingegen automatisiert diese Vorgänge, indem die Konfigurationen der externen Systeme regelmäßig mit den Daten in HelloID abgeglichen werden. So können Sie unter anderem: 

  • Erkennen, welche Konten und Berechtigungen in einem System existieren, aber noch nicht in HelloID verwaltet werden, und umgekehrt.
  • Alle Konten und Berechtigungen sehen, die in HelloID als „verwaltet“ registriert sind, aber noch nicht im entsprechenden System existieren. 
governance_zielsysteme

Für diese Art von Inkonsistenzen erstellt HelloID Berichte und schlägt Aktionen zur Behebung vor. Auf diese Weise können Sie verwaiste, „irrlichternde“ Benutzerkonten in Zielsystemen aufspüren und löschen, oder Sie übernehmen diese in die eigene Administration (zum Beispiel wenn sie als Servicekonto dienen). Anders herum können Sie Konten, die in HelloID existieren, aber in einem Zielsystem noch fehlen, nachträglich erstellen lassen. 

Die Reconciliation-Funktion bietet also mehr Kontrolle über Ihre Zielsysteme. In einer Soll-Ist-Analyse wird die gewünschte Situation von HelloID automatisch mit der derzeitigen Situation in den Zielsystemen verglichen. Abweichungen lassen sich damit ganz einfach ermitteln und korrigieren. So bleibt die Compliance nicht nur auf HelloID beschränkt, sondern wird auch für die Zielsysteme garantiert. 

governance_konflikte_lizenzen

Kollidierende Berechtigungen auflösen 

HelloID verfügt über einen automatischen Mechanismus, der widersprüchliche Zugriffsrechte erkennt und beseitigt. Dies trägt zur Compliance bei und vermeidet unnötige Kosten. 

In HelloID Provisioning können für einen Mitarbeiter mehrere Geschäftsregeln festgelegt sein, zum Beispiel Regeln, die organisationsübergreifend, abteilungsspezifisch oder funktionsgebunden sind. Dadurch kann es gelegentlich versehentlich zu doppelten oder kollidierenden Berechtigungen kommen. Beispiel: Eine Vorgesetzte teilt ihrem Mitarbeiter im Personalsystem zwei Rollen zu. Dadurch hat dieser zufällig zwei nicht zueinander passende Berechtigungen erhalten: Er darf Rechnungen sowohl erfassen als auch genehmigen, was der gewünschten Aufgabentrennung widerspricht. Ebenfalls kann es zur Vergabe doppelter Lizenzen kommen. Ein Beispiel: Es wurde vor längerer Zeit festgelegt, dass alle Mitarbeitenden einer Organisation eine Microsoft-E3-Lizenz erhalten. Später kam eine Regel hinzu, dass IT-Administratoren aufgrund ihrer Aufgaben eine E5-Lizenz bekommen. Aufgrund dieser beiden Regeln erhalten IT-Administratoren zwei Lizenzen. 

Die neue Funktion „Toxic Policies“ dient dazu, solche Probleme bei Zugriffsrechten zu erkennen und zu lösen. Um beim Beispiel zu bleiben, können Sie per Regel einstellen, dass E3- und E5-Lizenzen „in Konflikt zueinander“ stehen und in diesem Falle nur die E5-Lizenz zugeteilt wird. Der Benutzer erhält dann eine entsprechende Nachricht, und die Lizenz wird im entsprechenden Zielsystem nicht angewendet. Aber was ist, eine wenn Berechtigung erteilt worden ist, bevor eine Regel erstellt wurde? Dann wird diese Berechtigung nachträglich entzogen. Die Funktion „Toxic Policies“  hat also nicht nur eine präventive, sondern auch eine nachträglich korrigierende Wirkung. 

Die neue Funktion „Toxic Policies“ dient dazu, solche Probleme bei Zugriffsrechten zu erkennen und zu lösen. Um beim Beispiel zu bleiben, können Sie per Regel einstellen, dass E3- und E5-Lizenzen „in Konflikt zueinander“ stehen und in diesem Falle nur die E5-Lizenz zugeteilt wird. Der Benutzer erhält dann eine entsprechende Nachricht, und die Lizenz wird im entsprechenden Zielsystem nicht angewendet. Aber was ist, eine wenn Berechtigung erteilt worden ist, bevor eine Regel erstellt wurde? Dann wird diese Berechtigung nachträglich entzogen. Die Funktion „Toxic Policies“  hat also nicht nur eine präventive, sondern auch eine nachträglich korrigierende Wirkung. 

Die ToxicPolicies-Funktion ist also ideal, um kollidierende Zugriffsrechte und Benutzerkonten zu erkennen und aufzulösen. Dieses zusätzliche Sicherheitsnetz verbessert die Compliance und verhindert unnötige Lizenzkosten. 

Rollenmodell entwickeln und optimieren 

Ein solides und zukunftssicheres Rollenmodell ist die Grundlage für eine reibungslose Berechtigungsverwaltung. Deshalb bieten unsere Lösungen Unterstützung beim Erstellen eines Rollenmodells, das Sie anschließend schrittweise ausbauen und optimieren können. 

Beim erstmaligen Rollout des automatischen Provisioning nutzen wir häufig die Role-Mining-Methodik. Dabei werden Daten aus Ihren Quellsystemen und bereits bestehende Benutzerkonten in den Zielsystemen miteinander kombiniert, um ein erstes Rollenmodell aufzubauen. Zugleich ist ein solches Modell natürlich nicht in Stein gemeißelt. Es lässt sich weiter verfeinern oder an geänderte Gegebenheiten anpassen. Werden beispielsweise Abteilungen zusammengeführt oder aufgeteilt, neue Rollen angelegt, Systeme ersetzt oder neue Anwendungen hinzugefügt, dann muss das Modell dies widerspiegeln. Ein Rollenmodell ist also dynamisch und sollte regelmäßig überprüft und bei Bedarf angepasst werden. 

governance_rollenmodel_iam

Deshalb liegt die Role-Mining-Funktionalität jetzt auch dem Governance-Modul zugrunde. Mithilfe der Mustererkennung erhalten Sie regelmäßig Empfehlungen zur Optimierung Ihres Berechtigungsmodells. Alle bestehenden Zugriffsrechte werden per Role Mining analysiert, um ein Modell zu erstellen, das den Bedürfnissen der Organisation genau entspricht. 

Deshalb liegt die Role-Mining-Funktionalität jetzt auch dem Governance-Modul zugrunde. Mithilfe der Mustererkennung erhalten Sie regelmäßig Empfehlungen zur Optimierung Ihres Berechtigungsmodells. Alle bestehenden Zugriffsrechte werden per Role Mining analysiert, um ein Modell zu erstellen, das den Bedürfnissen der Organisation genau entspricht. Deshalb liegt die Role-Mining-Funktionalität jetzt auch dem Governance-Modul zugrunde. Mithilfe der Mustererkennung erhalten Sie regelmäßig Empfehlungen zur Optimierung Ihres Berechtigungsmodells. Alle bestehenden Zugriffsrechte werden per Role Mining analysiert, um ein Modell zu erstellen, das den Bedürfnissen der Organisation genau entspricht. 

Die Role-Mining-Funktionen als Teil des Governance-Moduls erlauben also zunächst die Entwicklung eines ersten Rollenmodells. Anschließend helfen sie auch bei der kontinuierlichen Verbesserung und Optimierung des Modells. Damit sind Sie perfekt für die Erfüllung der ISO 27001 und vergleichbarer Sicherheitsnormen gewappnet. Diese verlangen oft einen aktiven sogenannten „Plan-Do-Check-Act“-Zyklus. Diese Funktionalität ist zwar derzeit noch nicht verfügbar, wird aber im Laufe des Jahres schrittweise eingeführt. 

governance_kosten

Anhäufung von Berechtigungen und hohe Lizenzkosten vermeiden 

In HelloID können Sie regelmäßig prüfen lassen, ob individuell erteilte Berechtigungen, zum Beispiel für Anwendungen oder Systeme, noch erforderlich oder erwünscht sind. So vermeiden Sie, dass zu viele Zugangsrechte angehäuft werden, und zugleich sparen Sie teure Lizenzkosten für Anwendungen ein. 

Mittels Service Automation lassen sich Benutzerkonten oder Berechtigungen individuell zuweisen. Allerdings kann es vorkommen, dass Rechte unbegrenzt lange gelten, und Vorgesetzte haben oft Dringenderes zu tun, als sich um möglicherweise nicht mehr erforderliche Berechtigungen zu kümmern. Es kann auch passieren, dass es Berechtigungen gibt, die nicht mehr zur Organisationsstruktur passen. 

Das Rezertifizierungs-Tool erkennt und behebt solche Probleme. Mit dem Tool können Sie für alle vorhandenen Lizenzen und Berechtigungen eine regelmäßige Überprüfung einplanen, bei der die Manager eine erneute Zertifizierung durchführen. Danach wird entschieden, ob eine Lizenz bestehen bleibt oder eingezogen werden soll. Falls eine Software inzwischen seitens der IT-Abteilung nicht mehr unterstützt wird, kann eventuell auch eine Alternative angeboten werden. 

Die Rezertifizierung lässt sich basierend auf Kampagnen einplanen. Bei sogenannten Systemkampagnen werden Nutzerkonten und Zugriffsrechte für die gesamte Organisation evaluiert. Damit kann z. B. geprüft werden, ob Anwendungen noch den IT-Vorgaben entsprechen. Führungskräfte können aber auch eigene Kampagnen mit einem spezifischen Geltungsbereich einrichten. Beispiel: Sicherheitsbeauftragte wollen überprüfen, welche Mitarbeiter Zugriff auf sensible Anwendungen oder Daten haben, oder Abteilungsleiterinnen möchten teure Lizenzen innerhalb ihrer Abteilung identifizieren. Nachdem eine solche Kampagne abgeschlossen ist, stehen den Führungskräften sogenannte „Campaign Insights“ zur Auswertung zur Verfügung, und sie können Berechtigungen zurücknehmen oder auch neu erteilen. 

Die Rezertifizierung sorgt also für mehr Kontrolle und eine bessere Steuerung der IT-Betriebsmittel. Sie vermeidet, dass Benutzer unnötige oder nicht erwünschte Berechtigungen haben. Dank der Automatisierung von Kampagnen profitieren Sie zudem von hohen Effizienzgewinnen. 

Mehr über das Governance-Modul erfahren 

Das neue Governance-Modul ist nahtlos in die übrigen bewährten Module von HelloID integriert. Die Vorteile sind schon ab dem ersten Rollout in HelloID sichtbar. So ist die Role-Mining-Funktion sehr nützlich, um Rollenmodelle zu erstellen und zu verfeinern. Viele Kunden schätzen auch die Reconciliation-Funktionalität, denn diese bietet zum ersten Mal einen perfekten Überblick über alle jemals erstellten Nutzerkonten und Berechtigungen, zum Beispiel aus dem Active Directory. Die Tools von Rezertifizierung und Toxic Policies helfen von Beginn an dabei, Ihre Systemzugänge und -berechtigungen optimal zu verwalten. 

Machen Sie gemeinsam mit uns den Schritt in Richtung eines Identity Management, das nicht nur sicher und effizient organisiert ist, sondern das Sie stetig weiterentwickeln und optimieren können – und zwar nachweislich konform zu allen aktuellen Gesetzen und Vorschriften. 

Wollen Sie mehr zum Governance-Modul in HelloID erfahren? Wie Sie Governance effizient in der Praxis einsetzen können, buchen Sie einfach einen Termin. 

Vereinbaren Sie eine Online-Demo

Geschrieben von:

Jan Pieter Giele Managing Director DACH, Nord- & Osteuropa Jan Pieter Giele ist seit 2004 als Managing Director verantwortlich für die Aktivitäten der Tools4ever Informatik GmbH. Von Bergisch Gladbach aus kümmert er sich um die Weiterentwicklung und den Verkauf unserer IAM-Tools in Deutschland, Schweiz, Österreich und Nord- & Osteuropa und überwacht Beratung, Implementierung und Support.

Jan Pieter Giele

Managing Director DACH, Nord- & Osteuropa

Jan Pieter Giele ist seit 2004 als Managing Director verantwortlich für die Aktivitäten der Tools4ever Informatik GmbH. Von Bergisch Gladbach aus kümmert er sich um die Weiterentwicklung und den Verkauf unserer IAM-Tools in Deutschland, Schweiz, Österreich und Nord- & Osteuropa und überwacht Beratung, Implementierung und Support.