Identity & Access Management (IAM) ist die zentrale Verwaltung von Identitäten und Zugriffsrechten in Unternehmen. Wesentliche Bestandteile sind Authentifizierung und Autorisierung, außerdem gehören alle Anwendungsgebiete dazu, mit deren Hilfe Identitäten verwaltet und Zugriffsrechte für verknüpfte Lösungen, Systeme, Anwendungen und Ressourcen gesteuert werden. Was kompliziert klingt, lässt sich an einem Praxisbeispiel einfach erklären.

Es ist 7:15 Uhr morgens. Axel Schleicher, Dipl. Betriebswirt, hat heute einen besonderen Tag, denn er tritt seine neue Stelle als Account Manager beim Unternehmen MyUnifiedIT an und er macht sich gerade auf den Weg zur neuen Arbeitsstelle. Birgit Seifert, seine neue Managerin, lässt ihren Blick währenddessen gelassen durch das Vertriebsbüro schweifen: Alle Arbeitsplätze sind ordentlich aufgeräumt und voll ausgestattet. Auch der Arbeitsplatz von Axel ist mit Monitor, Notebook mit Docking Station und Telefon neu eingerichtet. Das Kuvert mit dem Startpasswort hält Birgit in der Hand. Es scheint alles da zu sein, für einen perfekten Start des neuen Mitarbeiters.

8:30 Uhr: Axel ist angekommen und hochmotiviert. Er freut sich, dass es gleich losgeht im neuen Job. Birgit nimmt ihn in Empfang, führt ihn erst einmal herum und stellt ihm die Kollegen vor. Dann gibt sie ihm das Kuvert mit dem Startpasswort. Er schaltet das Notebook ein. Nach der Anmeldung geht ein Fenster auf, mit dem er aufgefordert wird, die Datenschutzregelungen zu lesen und wenn er sie verstanden hat, zu akzeptieren. Erst danach bekommt er Zugriff auf alle Anwendungen ─ auch jenen mit personenbezogenen Daten ─ die wohl in seinem Job die wichtigsten Anwendungen sind. Kurz nachdem Axel das erledigt hat, erscheinen die Icons der Anwendungen auf dem Bildschirm. Er startet zuerst Outlook: Hier ist alles schon konfiguriert ─ und das Pop-up mit der ersten Meeting-Erinnerung wird angezeigt.

Axel ist erfolgreich in seinem neuen Job angekommen und kann anfangen zu arbeiten – schon lange, vor der ersten Mittagspause. Birgit ist ebenfalls zufrieden. Der „Neue“ ist direkt am ersten Tag voll arbeitsfähig und produktiv. Sie erinnert sich nur ungern an früher, als es mehrere Tage oder sogar Wochen dauerte, bis neue Mitarbeiter Zugriff auf alle benötigten Ressourcen hatten und man nie wusste, ob die Information über den Eintritt eines neuen Mitarbeiters überhaupt weitergegeben wurde.

Was ist Identity & Access Management?

Der am fiktiven Beispiel von Axel Schleicher geschilderte Vorgang des „Onboardings“, also der Aufnahme neuer Mitarbeiter, findet in Unternehmen in Deutschland jeden Monat tausendfach statt. Wenn es so reibungslos wie im Beispiel verläuft, ist das keine Magie, sondern Ergebnis eines dahinterstehenden, gut organisierten Identity & Access Management. Mit Identitäts- und Zugriffsmanagement stellen Unternehmen sicher, dass Benutzer auf sichere und konforme Art und Weise produktiv sein können ─ indem den richtigen Personen zur richtigen Zeit und aus den richtigen Gründen Zugang zu den richtigen Ressourcen gewährt wird.

Nutzen von Identity Governance and Administration

Das Konzept Identity & Access Management ist sehr breit gefasst und hat viele Facetten. Unter anderem gehören dazu:

  • Single Sign-on
  • Privilege Access Management (PAM)
  • Multifactor Authentication (MFA)
  • Cloud Access Security Broker (CASB)
  • Privilege Information Management
  • Identity Governance & Administration

Wenn etwa das Onboarding eines neuen Mitarbeiters wie im Beispiel beschrieben funktioniert, steckt dahinter Identity Governance & Administration. Identity Governance and Administration (IGA) kümmert sich um den Lebenszyklus der Benutzerkonten. Der reicht von der Bereitstellung bis zur Entfernung und umfasst dabei auch die Verwaltung von Berechtigungen, die Orchestrierung von Arbeitsabläufen, die Zertifizierung von Zugängen und so weiter. Ziel ist es, dass die Organisation jederzeit sicher und konform zu ihren Richtlinien arbeiten kann.

IGA-Lösungen verwalten die digitale Identität und die Zugriffsrechte über mehrere Systeme hinweg. Sie aggregieren und korrelieren dazu unterschiedliche Identitäts- und Zugriffsrechtsdaten, die über die gesamte IT-Landschaft verteilt sind, um die Kontrolle über den Benutzerzugriff zu verbessern.

Heutzutage wird der Arbeitsplatz viel häufiger gewechselt. Zur Belegschaft gehören zudem oft ein größerer Anteil an Zeitarbeitern, Auftragnehmern, Beratern und Praktikanten. Die Verwaltung der Zugangsberechtigungen und der Nutzerkonten der Mitarbeiter ist wesentlich komplexer geworden. Dazu einige Beispiele.

Neue Mitarbeiter: Kommt heute ein neues Benutzerkonto hinzu – das könnte z.B. ein neuer Mitarbeiter, Auftragnehmer, Berater oder Praktikant sein, der in das Unternehmen und Ihr Team eintritt ─, wünschen Sie sich als Vorgesetzter vermutlich, dass der neue Mitarbeiter vom ersten Tag an produktiv sein kann. Dazu benötigt er in der Regel Zugangsmöglichkeiten zu einer Vielzahl an IT-Ressourcen (Programme, Dienste, Laufwerke etc.), die auf seiner Rolle und Funktion im Unternehmen und in Ihrem Team basieren.

Versetzungen: Ein anderer, häufiger Fall ist, dass Benutzer bereits längere Zeit für das Unternehmen arbeiten und nun Funktion und Rolle wechseln. Damit benötigten sie wahrscheinlich Zugang zu anderen Ressourcen und Anwendungen, die sich in der Firma oder in der Cloud befinden, andere, gemeinsam genutzte Laufwerke und so weiter. Gleichzeitig muss der Zugriff auf nicht mehr benötigte Ressourcen widerrufen werden. Dies hilft dem Unternehmen, sicher und konform zu bleiben.

Abgänge: Verlässt ein Benutzer das Unternehmen, ist es sehr wichtig, dass für ihn und sein Benutzerkonto jeder Zugang zu den Unternehmensressourcen sofort widerrufen wird. Das gilt auch für Cloud-Anwendungen und -Dienste, auf die über das Internet von jedem Gerät aus zugegriffen werden kann. Werden die Zugriffsrechte nicht aufgehoben, hat der ehemalige Mitarbeiter immer noch die Möglichkeit, Firmendaten einzusehen. Dies kann zum Beispiel gegen die Europäische Datenschutzgrundverordnung (DSGVO) verstoßen, kann dem Unternehmen aber auch direkt wirtschaftlichen Schaden verursachen.

Identity Governance and Administration in den Griff kriegen

Ivanti Identity Director ist eine IGA Lösung, die es Unternehmen ermöglicht, die Einhaltung des rollen- und attributbasierten Zugriffs (Role based Access Control/RBAC und Attribute based Access Control/ABAC) auf Unternehmensressourcen effektiv durchzusetzen. Dazu gehört auch ein sicheres On- und Offboarding.

Außerdem wird den Benutzern das Bestellen weiterer IT-Services und Berechtigungen per Selfservice angeboten ─ natürlich mit Genehmigungsprozessen. Identity Director schützt zudem bereits getätigte Investitionen durch die Integration mit Anwendungen von Drittanbietern, sei es On-Premise oder in der Cloud, um ein reibungsloses Zugriffsmanagement zu diesen Ressourcen zu gewährleisten.

Zurück zu der kurzen Geschichte vom Anfang. Darin wurden im Unternehmen die benötigten Mitarbeiterinformationen aus dem HR-System ausgelesen beziehungsweise abgefragt und dann im Identity Director weiterverarbeitet. Hierbei wird jede Veränderung in Bezug auf den Mitarbeiter festgestellt und entsprechend reagiert, d.h. es werden Entitlements (Berechtigungen) vergeben oder zurückgenommen. Sind angeschlossene Systeme betroffen, werden die Aktionen automatisiert in diesen Systemen durchgeführt. Am Ende hat jeder Mitarbeiter zum richtigen Zeitpunkt Zugriff auf die richtigen Ressourcen aus den richtigen Gründen ─ absolut konform und auditsicher zu den Unternehmens- und regulatorischen Richtlinien. Erfahren Sie mehr dazu in unserem Whitepaper über Ivanti Identity Protector und in der Forrester-Untersuchung zu Vorteilen, Kosten und Risiken bei der Verwendung von Ivanti Identity Director und Ivanti Automation in Unternehmen.