Identity and Access Management

Identity and Access Management (IAM) ist die zentrale Verwaltung von Identitäten und Zugriffsrechten in einem Unternehmen. Authentifizierung und Autorisierung sind wesentliche Komponenten, mit denen Identitäten verwaltet und Zugriffsrechte für verknüpfte Lösungen, Systeme, Anwendungen und Ressourcen gesteuert werden. Das mag kompliziert klingen, lässt sich aber anhand eines praktischen Beispiels leicht erklären:

Es ist 7:15 Uhr. Alex hat heute einen besonderen Tag, denn er ist auf dem Weg zu seiner neuen Stelle als Account Manager beim Unternehmen MyUnifiedIT. Alex’ Arbeitsplatz wurde mit Monitor, Notebook samt Dockingstation und Telefon vorbereitet. Brianne, seine neue Vorgesetzte, hält den Umschlag mit dem Startpasswort bereit. Für den neuen Mitarbeiter scheint alles vorbereitet zu sein. Alex kommt früh und hochmotiviert an; er freut sich darauf, dass es mit der neuen Stelle losgeht. Brianne begrüßt ihn, führt ihn herum und stellt ihn seinen Kolleginnen und Kollegen vor. Anschließend übergibt sie ihm den Umschlag mit dem Startpasswort. Er schaltet das Notebook ein. Nach der Anmeldung öffnet sich ein Fenster, in dem er aufgefordert wird, die Datenschutzbestimmungen zu lesen und zu akzeptieren, sofern er sie verstanden hat. An diesem Punkt erhält er Zugriff auf alle Anwendungen – einschließlich solcher mit personenbezogenen Daten –, die für seine Arbeit vermutlich am wichtigsten sind. Kurz nachdem Alex dies erledigt hat, erscheinen die Anwendungssymbole auf dem Bildschirm. Zuerst startet er Outlook. Alles ist bereits konfiguriert, und das Pop-up mit der ersten Besprechungserinnerung wird angezeigt.

Alex ist erfolgreich in seiner neuen Stelle angekommen und kann schon lange vor seiner ersten Mittagspause mit der Arbeit beginnen. Auch Brianne ist zufrieden. Ihr neuer Mitarbeiter ist bereits am ersten Tag voll einsatzfähig und produktiv. Sie erinnert sich daran, wie schwierig es früher war, wenn es mehrere Tage oder sogar Wochen dauerte, bis neue Mitarbeitende Zugriff auf alle benötigten Ressourcen hatten. Man wusste nie, ob die Informationen über einen neuen Mitarbeiter überhaupt weitergegeben wurden.

Was ist Identity and Access Management?

Der Prozess des „Onboardings“, also der Aufnahme neuer Mitarbeitender, der im fiktiven Beispiel von Alex und Brianne veranschaulicht wird, findet jeden Monat tausendfach in Unternehmen auf der ganzen Welt statt. Wenn er reibungslos abläuft, wie im Beispiel, ist dies das Ergebnis einer gut organisierten Identity-&-Access-Management-Lösung. Mit Identity and Access Management stellen Unternehmen sicher, dass Benutzer sicher und compliance-konform produktiv arbeiten können – indem die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen Zugriff auf die richtigen Ressourcen erhalten.

Identity Governance & Administration nutzen

Das Konzept von Identity & Access Management ist sehr breit gefasst und hat viele Facetten. Dazu gehören:

• Single Sign-on
• Privilege Access Management (PAM)
• Multi-Faktor-Authentifizierung (MFA)
• Cloud Access Security Broker (CASB)
• Privilege Information Management
• Identity Governance & Administration

Identity Governance and Administration (IGA) kümmert sich um den Lebenszyklus von Benutzerkonten. Dies reicht von der Bereitstellung bis zur Entfernung und umfasst auch die Verwaltung von Berechtigungen, die Orchestrierung von Arbeitsabläufen, die Zertifizierung von Zugriffen und vieles mehr. Ziel ist es, dass die Organisation konsequent sicher und richtlinienkonform arbeitet.

IGA-Lösungen verwalten digitale Identitäten und Zugriffsrechte über mehrere Systeme hinweg. Dazu aggregieren und korrelieren sie unterschiedliche Identitäts- und Zugriffsrechtsdaten, die über die gesamte IT-Landschaft verteilt sind, um die Kontrolle über den Benutzerzugriff zu verbessern.

Heutzutage wird der Arbeitsplatz deutlich häufiger gewechselt. Zur Belegschaft gehört außerdem oft ein größerer Anteil an Zeitarbeitskräften, Auftragnehmern, Beratern und Praktikanten. Die Verwaltung von Zugriffsrechten und Benutzerkonten für Mitarbeitende ist dadurch deutlich komplexer geworden. Hier einige Beispiele:

• Neue Mitarbeitende: Als Führungskraft möchten Sie wahrscheinlich, dass neue Mitarbeitende (Auftragnehmer, Berater oder Praktikanten) vom ersten Tag an produktiv sind. Dafür benötigen sie in der Regel Zugriff auf eine Vielzahl von IT-Ressourcen (Programme, Dienste, Laufwerke usw.), die auf ihrer Rolle und Funktion im Unternehmen und in Ihrem Team basieren. Sehen Sie sich an, wie ein sicherer und produktiver erster Tag mit Ivanti aussehen kann.
• Wechsel: Ein weiterer häufiger Fall ist, wenn Benutzer schon lange für das Unternehmen tätig sind und nun ihre Verantwortlichkeiten und Rollen wechseln. Wahrscheinlich benötigen sie Zugriff auf andere Ressourcen und Anwendungen im Unternehmen oder in der Cloud, auf andere gemeinsam genutzte Laufwerke usw. Gleichzeitig muss der Zugriff auf Ressourcen, die nicht mehr benötigt werden, entzogen werden. Das hilft dem Unternehmen, sicher und compliant zu bleiben.
• Austritte: Wenn ein Benutzer das Unternehmen verlässt, ist es sehr wichtig, dass der Zugriff auf Unternehmensressourcen für ihn und sein Benutzerkonto umgehend entzogen wird. Dies gilt auch für Cloud-Anwendungen und -Dienste, auf die von jedem Gerät aus über das Internet zugegriffen werden kann. Werden Zugriffsrechte nicht entzogen, kann der ehemalige Mitarbeiter weiterhin Unternehmensdaten einsehen. Dies kann beispielsweise gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen, aber auch direkten wirtschaftlichen Schaden für das Unternehmen verursachen.

Identity Governance and Administration im Griff behalten

Ivanti Identity Director ist eine IGA-Lösung, mit der Unternehmen rollen- und attributbasierte Zugriffe (Role-based Access Control – RBAC und Attribute-based Access Control – ABAC) auf Unternehmensressourcen effektiv durchsetzen können. Dazu gehört auch sicheres On- und Offboarding.

Darüber hinaus können Benutzer zusätzliche IT-Services und Berechtigungen per Self-Service anfordern. Identity Director schützt außerdem bestehende Investitionen, indem es in Drittanbieteranwendungen integriert wird – ob On-Premises oder in der Cloud –, um ein reibungsloses Zugriffsmanagement für diese Ressourcen sicherzustellen.

Zurück zur kurzen Geschichte vom Anfang. Die erforderlichen Mitarbeiterinformationen wurden aus dem HR-System im Unternehmen ausgelesen oder abgefragt und anschließend im Identity Director weiterverarbeitet. Jede Änderung in Bezug auf den Mitarbeitenden wird erkannt und entsprechend umgesetzt (d. h., Berechtigungen werden gewährt oder entzogen). Sind verbundene Systeme betroffen, werden die Aktionen automatisch in diesen Systemen ausgeführt. Am Ende hat jeder Mitarbeitende zur richtigen Zeit und aus den richtigen Gründen Zugriff auf die richtigen Ressourcen – vollständig konform mit Unternehmens- und regulatorischen Vorgaben sowie revisionssicher.