Was sind Business Rules im Identitätsmanagement?

Was sind Business Rules im Identitätsmanagement?

Business Rules im Identity Management definieren, unter welchen Bedingungen welche Beschäftigten im Unternehmen welche Berechtigungen auf Anwendungen und Daten erhalten sollen.

Diese Richtlinien sorgen im Unternehmen für eine effiziente, konsistente und transparente Berechtigungsvergabe, an denen sich alle Beschäftigten orientieren können. Aus diesem Grund ist die automatisierte Durchsetzung der Berechtigungsvergabe mittels speziell definierter Business Rules im Identity Management so sinnvoll und empfehlenswert.

Meist liegt ein Berechtigungsmodell zugrunde, das die Struktur der Organisation abbildet und für jeden Beschäftigten Business Rules anhand gewisser Attribute (wie Position, Standort, Abteilung) anwendet. Diese Business Rules beinhalten die Vergabe entsprechender Berechtigungen für Systeme und Daten in der Netzwerkumgebung, sodass jeder User für seine Tätigkeit angemessene Berechtigungen erhält. Mit einer Provisioning-Lösung können geänderte oder neu zugewiesene Attribute sofort und automatisch eine Änderung der Zugriffsrechte im Netzwerk auslösen.

Business Rule Management in Kombination mit IAM-Software

Ein Beispiel:

Stefan, neuer Mitarbeiter in der Buchhaltung, braucht am ersten Arbeitstag ein Benutzerkonto. Im HR-System sind seine Personaldaten sowie die weiteren Attribute „Vertrag aktiv“, „Manager“, „Buchhaltung“ und „Standort Köln“ hinterlegt. In den Business Rules des IAM-Systems ist definiert, dass alle „aktiven“ Beschäftigten eine E-Mail-Adresse erhalten sowie alle „Manager“ zusätzlich Zugriff auf den Mailverteiler für Abteilungsleiter haben sollen. Außerdem bedingt das Attribut „Buchhaltung“ Zugriff auf das Abteilungslaufwerk, sowie Nutzungsrechte der SAP-Suite. Anhand des Attributs „Standort Köln“ vergibt das Provisioning-Tool automatisch die Rechte für den Newsfeed im Intranet für diesen Standort und fügt Stefans E-Mail-Adresse dem E-Mail-Verteiler für Köln hinzu. So erhält Stefan schon beim Onboarding automatisch alle relevanten Zugänge und Gruppenmitgliedschaften und kann ab dem ersten Tag produktiv arbeiten.

Ist das Provisioning-Tool zudem mit dem HR-System als Quelle verbunden, können Änderungen durch die HR-Abteilung automatisch Anpassungen der Benutzerberechtigungen auslösen. Das ist bei Eintritten, Positions- oder Abteilungswechseln, Namensänderungen oder auch bei Mitarbeiteraustritten von großem Vorteil, weil Änderungen im Personalstamm automatisch zu entsprechenden Änderungen im Netzwerk führen. Datensicherheit und Datenschutz werden so maßgeblich verbessert. Die Mitarbeiterzufriedenheit steigt, auch weil Mitarbeiter ab Tag 1 einen angemessenen Zugang zu Systemen und Daten haben. Und das bis zum letzten Arbeitstag, wenn sich die Zugänge automatisch wieder schließen.

Durch diese Automatisierung durch ein Business Rule Management System sind Zugriffsrechte immer automatisch aktuell und nachvollziehbar vergeben. Jeder User erhält nach dem Principle of Least Privilege nur die Berechtigungen, die er für seine tägliche Arbeit benötigt und Ex-Mitarbeiter haben garantiert keinen Zugriff mehr. So wird automatisch das Risiko für Sicherheitslücken, unbefugte Zugriffe und Datenverlust gesenkt. Außerdem hilft die transparente Berechtigungsstruktur mit Business Roles bei Audits und Compliance-Vorgaben.

Business-Rule-Konzept aufbauen

Ein Konzept zu erstellen – und es dann umzusetzen – ist immer eine gute Idee. Für die Einführung eines Business-Rule-Modells für Ihr Identity Management ist ein Grundgerüst an Rollen, Attributen und Business Rules für die Vergabe von Berechtigungen unumgänglich. Doch stellen Sie sich dieses Rollenmodell nicht als starres Gerüst vor, denn ein gutes Konzept wird ständig erweitert und an die Bedürfnisse Ihrer Organisation angepasst. Sie können klein mit wenigen Business Rules anfangen und die automatisierte Berechtigungsvergabe mittels Business Rules kontinuierlich steigern.

Beispielsweise fangen Sie mit dem Attribut „Vertrag aktiv“ an. Diese Bedingung bestimmt, dass für den User nach Unternehmensrichtlinien eine E-Mail-Adresse in Microsoft Exchange angelegt wird. Im Verlauf der Umsetzung Ihres IAM-Konzepts können Sie dieser Business Rule weitere Bedingungen hinzufügen. Wenn z. B. ein User das Attribut „Vertrag aktiv“ und „Presseabteilung“ hat, erhält er zusätzlich zu seiner normalen Unternehmens-E-Mail-Adresse eine spezifische mit der Endung @presse-ihr-unternehmen.de.

So lassen sich mittels Business Rules nahezu alle Szenarien für die Benutzerverwaltung abbilden. Aufgrund der zugrundeliegenden Attribute ist ein solches Modell granular einstellbar und kann theoretisch unendlich erweitert werden. In der Praxis macht es natürlich Sinn, sich auf die Funktionen und Berechtigungen für gängige Geschäftsabläufe in der Organisation zu beschränken. Wenn gewünscht, können Sonderfälle im Rollenmodell über Self-Service-Workflows abgebildet werden.