Was ist User Provisioning?

Was ist User Provisioning?

User Provisioning oder User Account Provisioning ermöglicht es, Benutzerkonten in der IT-Infrastruktur und Unternehmensanwendungen automatisiert zu synchronisieren. Dabei werden die Daten aus einem Quellsystem ausgelesen, um das entsprechende Benutzerkonto in allen verknüpften Systemen und Anwendungen zu erstellen, zu ändern, zu deaktivieren oder zu entfernen. Gleichzeitig werden auch die entsprechend korrekten Berechtigungen für das IT-Netzwerk vergeben oder entzogen. Änderungen der Benutzerkontendaten werden regelmäßig über den gesamten User Lifecycle nötig, z.B. bei Einstellung, Stellen- oder Abteilungswechsel, Beförderung oder Austritt eines Mitarbeiters.

Vorteile von User Provisioning

Als relativ kleiner Teilbereich des Identity und Access Managements im Unternehmen kann die manuelle Verwaltung von Benutzerkonten und Zugriffsberechtigungen für die IT-Abteilung dennoch sehr zeitraubend sein. Außerdem entsteht ein kritisches Sicherheitsrisiko, wenn die IT-Abteilung nicht rechtzeitig über Abteilungswechsel oder Austritt eines Mitarbeiters informiert wird und dementsprechend Zugriffsrechte angehäuft werden bzw. im schlimmsten Fall ehemalige Mitarbeiter weiterhin Zugriff auf sensible Unternehmensdaten behalten.

Durch die Verknüpfung der User-Identitäten in verschiedenen Systemen via User Provisioning Software lässt sich die Benutzerverwaltung in der gesamten IT-Infrastruktur und allen verknüpften Unternehmensanwendungen vollständig automatisieren. So werden nicht nur Zeit und Verwaltungsaufwand für hochqualifizierte IT-Mitarbeiter eingespart, sondern auch Fehlerquellen beseitigt und Sicherheitsrisiken durch Überberechtigungen verringert.

  • Schneller: Mitarbeiter können schneller auf nötige Anwendungen zugreifen. Änderungen werden systemübergreifend schneller ausgeführt.
  • Sicherer: Berechtigungen sind stets up-to-date. Änderungen sind in der Berechtigungshistorie für Audit-Reports nachvollziehbar.
  • Effizienter: Verwaltungsaufwand der IT wird deutlich reduziert. Fehlerquellen manueller Verwaltung werden vermieden.

Datenquellen und Schnittstellen für User Provisioning

Die hochwertigste, weil gut gepflegte Datenquelle für die Verwaltung der Benutzerkonten im Netzwerk ist normalerweise das HR-System. Die Daten der Mitarbeiter werden von der Personalabteilung im Personalsystem hinterlegt und aktuell gehalten (z.B. Name, Beginn- und Enddatum des Vertrags, Funktion, Manager-Mitarbeiter-Beziehung und Abteilung) und reichen bereits aus, um die Benutzerkonten und Berechtigungen für die gesamte IT-Struktur angemessen zu verwalten.

Neben dem HR-System als Hauptdatenquelle kommen auch Self-Service oder Management-Anfragen als Trigger für das User Provisioning in Frage. Beispielweise lassen sich Self-Service-Formulare für Mitarbeiter einrichten oder Anfragen vom Management per Workflow integrieren. Im Grunde kann jedes System und jede Anwendung im Unternehmen per Schnittstelle über die User Provisioning Software miteinander verknüpft werden, sodass z.B. neue Accounts in allen nötigen Anwendungen sofort zur Verfügung stehen oder Namensänderungen automatisch auch eine neue E-Mail-Adresse erzeugen. Synchronisiert werden vor allem Unternehmensanwendungen wie das ERP- oder CRM-System, das E-Mail- und Telefonsystem, lokale Datenbanken aber auch Cloud-Anwendungen, sowie natürlich das Active Directory, in dem alle Berechtigungen der User verwaltet werden.

Beispiele für User Provisioning im User Lifecycle Management

User Lifecycle Management InfographicOnboarding

  • Einstellung eines neuen Mitarbeiters im Vertrieb
    • Erstellung eines Benutzerkontos im Personalsystem durch die HR-Abteilung
    • Automatische Erstellung eines Active-Directory-Users und eines E-Mail-Accounts
    • Automatische Zuweisung von Home-Verzeichnis und Gruppenmitgliedschaften mit der Position entsprechenden Berechtigungen im AD
    • Automatische Erstellung eines Benutzerkontos mit entsprechenden Berechtigungen im ERP-System SAP
    • Automatische Erstellung eines Cloud-Accounts für Office 365

Management

  • Beförderung, Stellen- oder Abteilungswechsel
    • Die Berechtigungen des Benutzerkontos im Netzwerk werden entsprechend der neuen Position geändert.
    • Neue Zugriffsrechte auf E-Mail-Postfächer und Shares werden automatisch durch neue Gruppenmitgliedschaften erteilt.
    • Nicht länger nötige Berechtigungen in SAP werden entzogen.
  • Standortwechsel
    • Home-Verzeichnis-Daten werden auf den nächstgelegenen Home-Verzeichnis-Server übertragen.
    • Lokale Zugriffsrechte werden automatisch gewährt.
  • Projektarbeit
    • Für ein Projekt werden dem Vertriebsmitarbeiter zeitlich begrenzt Zugriffsrechte auf den Marketing-Ordner gewährt.
    • Nach Beendigung des Projekts werden die Zugriffsrechte automatisch entzogen.
  • Namensänderung bei Heirat oder Scheidung
    • Anzeigename und E-Mail-Adresse werden in allen verknüpften Systemen automatisch angepasst (falls gewünscht).
  • Elternzeit, Krankheit, Sabbatical
    • Das Benutzerkonto wird im HR-System deaktiviert. Entsprechend werden alle verknüpften Accounts und Zugangsrechte deaktiviert.
    • Bei Wiedereintritt werden automatisch alle deaktivierten Benutzerkonten wieder aktiviert und erhalten die entsprechenden Berechtigungen zurück.

Offboarding

  • Austritt eines Mitarbeiters
    • Die Personalabteilung hinterlegt bei Kündigung den Austrittstermin des Mitarbeiters im Personalsystem.
    • Berechtigungen können sofort für die restliche Zeit der Unternehmenszugehörigkeit eingeschränkt werden.
    • Am Tag des Austritts wird das Benutzerkonto automatisch gesperrt und in eine andere OU verschoben.
    • Das E-Mail-Konto wird automatisch deaktiviert. Eingehende Mails werden an ein Team-Postfach umgeleitet.
    • Alle Zugangsrechte, auch für Cloud-Accounts, werden automatisch entzogen.