Jede IT-Abteilung stößt beim User Lifecycle Management irgendwann auf das Problem des Drehtür-Effekts. Unaufhörlich müssen User-Konten erstellt, geändert und gelöscht werden. Gleiches gilt für die zugehörigen Berechtigungen auf unterschiedlichste Anwendungen in einer hybriden IT-Umgebung. Und das alles muss ohne lange Verzögerung geschehen, wenn sich etwas in der Organisation ändert.

Dieser Prozess wird als User Provisioning bezeichnet und es gibt zwei Möglichkeiten, ihn zu bewältigen: manuell oder über eine automatisiertes User Provisioning.

Manuelles User Provisioning

Manuelles User Provisioning geschieht oft ad hoc und unstrukturiert. Die Personalabteilung sendet eine Anfrage für ein Konto für einen neuen Mitarbeiter an die IT-Abteilung, meist per Ticket oder E-Mail. Ein IT-Administrator vergibt dann die benötigten Berechtigungen von Hand.

Die IT muss also für jeden Nutzer Konten und Berechtigungen für jede intern kontrollierte IT-Ressource anlegen:

  • Active-Directory- oder Azure-Konten
  • E-Mail-Accounts
  • Netzwerkordner und Dateifreigaben
  • Gruppenmitgliedschaften und Berechtigungen
  • Software-Lizenzen (Salesforce, Office 365, SAP usw.)

User Provisioning mit HelloID

Das ist aber nur der erste Schritt. Aktualisierungen sind erforderlich bei Beförderungen, Versetzungen, Kündigungen, neuen Zuständigkeiten, Projektmitarbeit und so weiter. Wenn ein Mitarbeiter das Unternehmen verlässt, muss die IT seine Berechtigungen unbedingt zeitnah entziehen. Darüber hinaus kann die IT für zyklische Audits verantwortlich sein, bei denen die Berechtigungen inventarisiert und bzgl. Compliance-Vorgaben und Überwachungsmechanismen überprüft werden. Dies ist oft ein nie endender Prozess.

Für IT-Teams, die ohnehin schon mit Ausfällen, Fehlerbehebung und der Unterstützung von Remote-Arbeit beschäftigt sind – ganz zu schweigen von Innovationen – bedeutet das zusätzliche, vermeidbare Routinearbeit.

Jeder dieser Schritte stellt außerdem eine potenzielle Fehlerquelle dar. Zum Beispiel versäumt die Personalabteilung, einen Austritt an die IT zu kommunizieren. Oder die IT erteilt aufgrund fehlender Informationen nicht alle relevanten Berechtigungen für einen neuen Mitarbeiter. Solche Versäumnisse sind ohne einen automatisierten Prozess keine Seltenheit und für alle Beteiligten frustrierend, weil Mitarbeiter ohne die richtigen Zugänge unproduktiv dasitzen und den Personal- und IT-Abteilungen doppelte Arbeit entsteht.

Aber noch schädlichere Auswirkungen ergeben sich aus der übersprungenen De-Provisionierung. Das häufigste Beispiel ist die schleichende Anhäufung von Berechtigungen. Alte Berechtigungen werden nicht entzogen und sammeln sich auf den Konten der Mitarbeiter an. Schlimmer noch: Ehemalige Mitarbeiter haben noch Wochen, Monate oder länger nach ihrem Austritt Zugriff, weil der Austritt nicht zeitnah und vollständig verarbeitet wurde. Ein enormes Compliance- und Sicherheitsrisiko, wenn diese Anhäufung unkontrolliert bleibt.

Automatisiertes User Provisioning

Automatisiertes Provisioning löst all diese Probleme. Eine spezielle automatisierte Provisioning-Lösung (heutzutage aufgrund der Zukunftsfähigkeit in der Regel eine SaaS-Software) überwacht kontinuierlich das HR-System des Unternehmens. Sie gewährt, ändert und widerruft Berechtigungen automatisch auf Grundlage der Änderungen im Personalsystem. Manuelle Eingriffe durch die IT werden so weit wie möglich vermieden.

Der Prozess funktioniert wie folgt:

  1. Die Provisioning-Lösung wird mit einem Quellsystem verbunden, das Personaldaten enthält. Typischerweise ist dies das primäre HR-System des Unternehmens. Es kann aber auch alles andere sein, sogar eine einfache CSV-Datei.
  2. Die Provisioning-Lösung ist mit mehreren Zielsystemen verbunden. Zielsysteme sind die Systeme, in denen Benutzer Berechtigungen benötigen. Zum Beispiel: Active Directory, Salesforce, Office 365, Google G Suite, SAP etc.
  3. Im nächsten, wichtigsten Schritt werden Business Rules entwickelt. Diese Logik sagt der Provisioning-Lösung, wie sie die importierten Personaldaten kombinieren und verarbeiten soll. Sie bestimmt, welche Berechtigungen in den angeschlossenen Zielsystemen gewährt werden.
  4. Einmal konfiguriert, überwacht die Provisioning-Lösung das Quellsystem und modifiziert automatisch die Zielsysteme.

Flexibilität ist hierbei oberstes Gebot. Viele Unternehmen verwenden eine große Anzahl von Legacy- und/oder proprietären Quell- und Zielsystemen. Daher unterstützt jede gute Provisioning-Lösung die Entwicklung benutzerdefinierter Konnektoren und das Mapping komplexer Attribute.

Im Vergleich zu manuellem Provisioning sind automatisierte Lösungen schnell, effizient, fehlerfrei und kostengünstig. Sie befreien das IT-Personal von Routinearbeiten und ermöglichen so die Arbeit an wirkungsvolleren Projekten.

Automatisiertes Provisioning erhöht auch die Sicherheit erheblich. Durch die Minimierung der menschlichen Interaktion sinkt die Fehlerrate gegen Null und da alle Änderungen automatisch auf Basis eines Systems geschehen, werden bei der Weitergabe keine Informationen mehr vergessen.

Entwicklung von Business Rules

Die Entwicklung von Business Rules, einem rollenbasierten Zugriffsmodell für die Organisation, ist der wichtigste Schritt beim automatisierten Provisioning und verdient eine genauere Betrachtung. Das Ziel ist hier die Entwicklung einer „Matrix“, die Business Roles auf Berechtigungen abbildet. Auf diese Weise können Berechtigungen auf strukturierte Weise bestimmt und vergeben werden.

Am häufigsten wird die RBAC-Methodik (Role-Based Access Control) verwendet. Der erste Schritt bei RBAC besteht darin, grundlegende Business Roles und Verantwortlichkeiten zu identifizieren. Diese können basieren auf:

  • Abteilung
  • Funktion
  • Stellenbezeichnung
  • Standort
  • Kostenstelle

Die Business Rules innerhalb eines Krankenhauses können zum Beispiel Krankenschwester, Arzt, Chirurgie, Radiologie, Buchhaltung, Sicherheitsdienst usw. umfassen.

Jede Rolle wird dann mit den erforderlichen Berechtigungen verknüpft. Zum Beispiel können „Krankenschwester“ und „Arzt“ Zugriff auf Patientenakten benötigen. Der „Sicherheitsdienst“ hingegen sollte diesen Zugriff nicht haben. Oder „Radiologie“ benötigt einen Zugangschip für die entsprechenden Räume, die für jemanden aus der „Buchhaltung“ natürlich nicht zugänglich sind.

Schließlich werden diese Rollen je nach Bedarf übereinandergelegt. Eine Krankenschwester in der chirurgischen Abteilung erhält beispielsweise sowohl die Rolle „Krankenschwester“ als auch die Rolle „Chirurgie“ und wird mit beiden Berechtigungssätzen ausgestattet.

In den meisten Organisationen kann 80 % der RBAC-Matrix mit den 50 wichtigsten Rollenkombinationen definiert werden. Dies ist ein einmaliger Einrichtungsaufwand, der sich über die gesamte Lebensdauer der Provisioning-Lösung auszahlt. Die verbleibenden 20 % an Detailberechtigungen werden von den Managern vor Ort individuell festgelegt.

Auf diese Weise wird die RBAC-Matrix fortschreitend pyramidenförmig aufgebaut und schließlich vollständig ausgefüllt. An diesem Punkt funktioniert die automatisierte Provisioning-Lösung optimal.

Den Übergang in Angriff nehmen

Wie jedes IT-Projekt dieser Größe ist natürlich auch eine automatisierte Provisioning-Lösung erst einmal ein zusätzlicher Aufwand für die ohnehin überlastete IT-Abteilung. Dennoch macht sich der Aufwand sehr schnell bezahlt und lässt sich in Phasen strukturieren.

Mit einer Out-of-the-Box IDaaS-Lösung für User Provisioning brauchen Sie nur wenige Stunden mit einem geschulten Consultant, der die SaaS-Software mit Ihren Quell- und Zielsystemen verknüpft, egal ob On-Premise oder schon in der Cloud. Attribute Mapping und Rollendefinition können selbst von der IT-Abteilung eingepflegt und nach Bedarf angepasst werden.

Die Produktivsetzung kann im Anschluss an die Einrichtung phasenweise erfolgen. Denken Sie zum Beispiel an ein Go-Live pro Abteilung oder Bereich unter Verwendung der bis dahin fertiggestellten Business Rules. Sie müssen nicht befürchten, dass Ihre Mitarbeiter durch die Produktivsetzung ihre Arbeit nicht mehr ausführen können. Eher wird die IT-Abteilung sofort eine Entlastung spüren und sich noch besser um die folgenden Schritte kümmern können.

Und selbst, wenn Sie sich zunächst nur um die einfach zu erreichenden 80 % der RBAC-Matrix kümmern, ist der Gewinn an Kosten, Zeit, Effizienz und Sicherheit für Ihre Organisation enorm. Im Nachgang lässt sich theoretisch jeder Teil der Nutzer- und Berechtigungsverwaltung mit Self-Service-Workflows und Single Sign-On automatisieren. Zusammen bieten diese Funktionen Ihrer Organisation eine vollständige, zukunftsweisende, automatisierte Provisioning-Lösung für Ihr Identity Management in einer hybriden IT-Umgebung.

Geschrieben von:

Alexander Dzwonnek

Alexander Dzwonnek ist bei Tools4ever Informatik für Beratung und Verkauf unserer Identity- und Access Management Lösung zuständig. Als New Business Account Manager mit langjähriger Erfahrung im Vertrieb von Business-Software steht er Ihnen bei allen Fragen zu Datensicherheit und Self-Service zur Seite.