Was ist ABAC (attribute based access control)?

Was ist ABAC (attribute based access control)? ABAC, die attribut-basierte Zugriffskontrolle ist eine der effektivsten Methoden des Identitäts- und Zugriffsmanagements (IAM). Sie folgt einem ähnlichen Modell wie die rollenbasierte Zugriffskontrolle (role based access control, RBAC), bietet aber ein flexibleres Berechtigungsmanagement.

Während RBAC den Zugriff gemäß der jeweiligen organisatorischen Rolle eines Benutzers bestimmt, nutzt ABAC hierfür User- und Object-Attribute. Die flexible Verwendung und Kombination der Variablen erhöhen die Flexibilität und die Genauigkeit der Berechtigungsvergabe.

Attribute, Business Rules und Berechtigungen

Identitäts- und Zugriffsmanagement stützt sich auf Benutzerattribute, Business Rules und Berechtigungen, um automatisiertes Provisioning und ABAC zu ermöglichen. Zu den Attributen gehören verschiedene Identitätsdaten, die einen User für die IAM-Lösung eindeutig identifizieren (z. B. Name, Position, Abteilung, Vorgesetzter).

Eine Identity-Management-Software verwendet einen Attribute Mapper, um die Verbindung mit dem Quellsystem Ihrer Organisation (z. B. Personalsystem) zu konfigurieren. Der Attribute Mapper verknüpft Felder und Variablen aus Ihrem Quellsystem mit den entsprechenden Attributen in der IAM-Software.

Die gemappten Attribute bestimmen, welche Business Rules für einen bestimmten Benutzer gelten. Die anwendbaren Business Rules legen fest, welche Berechtigungen ein Benutzer erhält, z. B. Konten in verschiedenen Systemen und Access Rights im Dateisystem. Beispielsweise erhalten alle User ein Active-Directory-Konto. Doch nur für Benutzer mit dem Attribut „Abteilung: Buchhaltung“ gilt die entsprechende Business Rule, die Berechtigungen für die ERP-Software zuweist.

Die IAM-Software erkennt und synchronisiert Attributänderungen, die in Ihrem Quellsystem vorgenommen werden. Detektierte Änderungen lösen automatisierte Provisioning-Prozesse aus. So können Konten neuer Mitarbeiter schnell eingerichtet werden und es wird sichergestellt, dass alle Zugriffsrechte während ihrer gesamten Beschäftigung aktuell bleiben.

ABAC vs. RBAC – Worin bestehen die Unterschiede?

ABAC ermöglicht es, Attribute an die Bedürfnisse eines Benutzers anzupassen, ohne dass für ihn eine neue Rolle erstellt werden muss. Während bei RBAC ein Benutzer typischerweise in eine Rolle fällt, die durch seinen Jobtitel definiert ist, können mit ABAC zahlreiche Attribute einzeln auf einen User oder ein Objekt angewendet werden. Jedes Attribut kann ein differenziertes Set an Berechtigungen bedingen. Mit diesen Eigenschaften ist ABAC ein deutlich granulareres System als das Modell der rollenbasierten Zugriffskontrolle.

Attributbasierte Zugriffskontrolle bietet Organisationen dynamisches, kontextbezogenes Provisioning und Access Management. ABAC-Modelle ermöglichen es, die Verwaltung über eng definierte Rollen hinaus zu erweitern. Dies führt zu einem genaueren Provisioning und einem geringeren Aufwand bei der Verwaltung des Zugriffs auf benötigte Ressourcen, die außerhalb der normalen Benutzerrollenkonfiguration liegen.

Folgende User Attributes können aus dem Quellsystem gemappt werden: 

• Name
• Abteilung
• Position
• Vorgesetzter des Mitarbeiters
• Standort
• Datum des Vertragsbeginns und -endes
• Kostenstelle
• Und nahezu jede weitere Variable

3 wesentliche Vorteile von ABAC

Zu den Vorteilen der attributbasierten Zugriffskontrolle für optimales Berechtigungsmanagement und maximale Kontrolle innerhalb Ihrer Organisation gehören:

ABAC: Eindeutiges Provisioning für eindeutige Benutzer

Identitäts- und Zugriffsmanagement provisioniert IT-Ressourcen für jeden Benutzer auf Basis seiner Attribute. Jedes User-Attribut wirkt sich auf die Konten und den Umfang der gewährten Zugriffsberechtigungen für verbundene Systeme, Anwendungen, Dateispeicher und Netzwerkobjekte (z. B. Drucker) aus.

Die Stärke von ABAC liegt in den umfangreichen und granularen Verwaltungsfunktionen, die eine flexible Bereitstellung von Accounts und Berechtigungen für Benutzer entsprechend ihrer einzigartigen Attribute ermöglichen. Rollenspezifische Berechtigungen über ein RBAC-Modell reichen für echte Benutzer oft doch nicht aus und erfordern regelmäßige Konfigurationsaktualisierungen der Regeln oder Ad-hoc-Bereitstellung (und damit verbundene Service-Desk-Tickets, die den Arbeitsaufwand der IT-Abteilung unnötig erhöhen). Ein ABAC-Modell hingegen ermöglicht eine benutzerspezifische Berechtigungsvergabe anhand der individuellen Attribute jedes Mitarbeiters in Ihrem gesamten Unternehmen.

Sobald die Attribute von Ihrem Quellsystem in der Identity-Management-Software gemappt und Ihre Provisioning-Konfigurationen eingerichtet sind, erfordert die Sicherstellung des korrekten Zugriffs für jeden Benutzer nur noch minimalen Verwaltungsaufwand. Durch das automatisierte Provisioning mit ABAC gewinnen Sie als IT-Abteilung enorme Bandbreite zurück, tägliche manuelle Verwaltungsaufgaben entfallen.