User Lifecycle automatisieren!
Identity & Access Management (IAM) ist ein Rahmenwerk von Richtlinien und Technologien auf hohem Standard, das sicherstellt, dass Mitarbeiter einer Organisation die erforderlichen Zugänge zu Ressourcen erhalten. Um diesen Prozess erfolgreich zu gestalten, spielen viele Faktoren eine Rolle. Attestation & Reconciliation gehören zu den Anforderungen an ein umfassendes Identity Management, um den User Lifecycle zu automatisieren.
Attestation
Attestation (deutsch: Bestätigung) ist ein gängiger Begriff, wenn es um Genehmigungen geht und/oder um Nachweise, dass etwas wahr ist. Im Identitäts- und Berechtigungsmanagement ist Attestation ein fortlaufender Prüfungs- und Bestätigungsprozess, der Organisationen bei der Risikominderung unterstützt. Benutzern wird der angemessene Zugang zu Systemen und Anwendungen gewährt und das mit diesen Zugangsrechten verbundene Risiko bewertet. In regelmäßigen Abständen werden als riskant angesehene Zugangsrechte überprüft. Attestation ist nicht nur eine gute Geschäftspraxis, sondern aufgrund vieler Restriktions- und Compliance-Vorgänge erforderlich.
Reconciliation
Per Definition bezeichnet Reconciliation (deutsch: Abgleich) den Vorgang der Konsistenz- und Kompatibilitätsprüfung über unterschiedliche Zugangskontrollsysteme hinweg. Im Identitäts- und Berechtigungsmanagement steht es im Zusammenhang mit Provisioning und Synchronisation von User-Accounts via IAM-System. Es geht also darum, die Informationen aus verschiedenen Systemen miteinander zu vergleichen und zu konsolidieren.
Wenn Zugangsproblemen nicht nachgegangen wird, setzt sich das Unternehmen willentlich einem hohen (Compliance-)Risiko aus. Insbesondere duplizierte Instanzen desselben Datensatzes bilden ein hohes Risiko für intransparente Zugangsrechte oder Datensätze mit verwaisten eindeutigen Identifikatoren wie die Mitarbeiter-ID oder Sozialversicherungsnummer. In diesen Fällen müssen die Datenqualitätsprobleme durch manuelle Korrekturen behoben werden, die für die Organisation einen erheblichen Aufwand bedeuten.
User Lifecycle Management automatisiert
Durch eine Automatisierung mithilfe von IAM erübrigen sich manuelle Eingriffe der IT im gesamten User Lifecycle. Sämtliche Verifizierungen und Zugangsvalidierungen (Attestation) und die Synchronisation zwischen Systemen (Reconciliation) erfolgen auf der Grundlage vorher festgelegter Elemente automatisch.
Onboarding
Sobald die bevorstehende Einstellung des neuen Mitarbeiters im Personalsystem hinterlegt ist, wird der User automatisch in verbundenen Systemen angelegt (Provisioning) und zum Einstellungsdatum mit einem Initialzugang ausgestattet.
Management
Wird der Mitarbeiter im Laufe seiner Unternehmenszugehörigkeit befördert oder versetzt, d.h. ändert sich seine Rolle, werden User-Informationen und Zugangsrechte angepasst, z.B. durch automatische Zuordnung zur entsprechenden Gruppe im Active Directory mit den entsprechenden Zugangsrechten. Durch Reconciliation werden Rechte, die nicht mehr mit der neuen Rolle konform sind, automatisch entzogen.
Support
Außerdem kann der Mitarbeiter per Self-Service-Workflow eigenständig Zugangsrechte z.B. für Anwendungen beantragen, die nach Genehmigung (Attestation) seines Managers automatisch im System umgesetzt werden.
Deactivation
Ist die Kündigung im Personalsystem hinterlegt, können die Zugangsrechte sofort automatisch eingeschränkt bzw. mit Ausscheiden des Mitarbeiters vollständig in allen angeschlossenen Systemen entzogen werden (Deprovisioning).
In einer großen Umgebung, in der täglich Tausende von Änderungen an den Benutzerkonten durchgeführt werden, ist es schwierig, jedes Ereignis lückenlos nachzuverfolgen. Für Audit, Compliance und nicht zuletzt die DSGVO ist jedoch entscheidend zu wissen, wer wozu Zugang hat und wer diesen Zugang autorisiert hat? Dies ist mit IAM unproblematisch, da hier die Identitätsmanagementprozesse auf Grundlage der Geschäftsprozesse erstellt und mittels Attestation beglaubigt werden. IAM ermöglicht durch Reconciliation der angebundenen Systeme eine vereinheitlichte Ansicht der physischen Identität, indem die Übereinstimmungen der Identitäts-Datensätze aus mehreren Datenquellen ermittelt und diese Datensätze konsolidiert werden.
Mit IAM ist eine vollständige Integration von Attestation– und Reconciliation-Prozessen zur Erhöhung der Verlässlichkeit der Zugangsrechte in der gesamten Organisation möglich. Attestation erfolgt sofort bei Rechtevergabe bzw. können Zugangsrechte in regelmäßigen Abständen automatisch überprüft werden. Reconciliation erfolgt durch Synchronisation der angeschlossenen Systeme in Echtzeit. Die Kombination beider Prozesse führt für Unternehmen zu erheblichen Zeit- und Kosteneinsparungen im Vergleich zu manuellen Prozessen und Interventionen durch die IT-Abteilung.
Geschrieben von:
Matthias Kellers
Senior Consultant IAM & HelloID
Seit mehr als 12 Jahren arbeitet Matthias Kellers als Senior Consultant bei Tools4ever. Er unterstützt unsere Kunden regelmäßig mit Schulungen zu unseren IGA-Lösungen Identity Access Manager & HelloID.