Identity Management

Im Rahmen der Digitalen Transformation ist Identity Management Teil der Basis-Dienste aller Unternehmen, um Daten auch nach außen zur Verfügung stellen zu können.

Identity Management – der Weg zur sicheren Digitalen Transformation

Der Weg zur sicheren Digitalen Transformation mit Identity Management

Das Identity Management (IDM) hat sich in den letzten Jahren sehr stark entwickelt und einen zentralen Stellenwert in der internen Informatik gewonnen. Mittlerweile ist es nicht nur ein Thema bei Banken und Versicherungen, sondern im Zuge der Digitalen Transformation ein Teil der Basis-Dienste aller Unternehmen, die unumgänglich sind zu betreiben und um Daten auch nach außen zur Verfügung stellen zu können. Die Digitale Transformation und das zur Verfügung stellen von internen Daten an Partner und Kunden ist nicht mit dem Verschieben der Daten in einen Cloud-Dienst getan. Hier fangen die Herausforderungen erst an: es muss sichergestellt werden, dass alle Benutzer bekannt sind, die Zugriff erhalten sollen. 

Hier soll auch festgehalten werden, wenn interne Benutzer von außerhalb des gesicherten Netzwerks Zugriff auf Daten anfordern und die Zugriffe entsprechend ermöglicht werden. Im klassischen IDM werden die internen Benutzer verifiziert, wodurch gewährleistet wird, dass jede Digitale Identität mit einer Person, die im HR verwaltet wird, verbunden ist.

Die Anforderungen an ein Identity Management stellen sich neu!
Wir haben unser Vorgehensmodell über Jahre hinweg entwickelt und optimiert!
Wir schneidern Ihnen die 100% passgenaue Lösung für Ihren Bedarf!

User Life Cycle

Die Behandlung von Mitarbeiter/-innen, deren Eintritt, Veränderung und Austritt im Zusammenhang mit verschiedenen Funktionen und Berechtigungen wird hier möglichst automatisiert definiert. Vorgefertigte Standard-Prozesse und Good-Practices erlauben es uns, mit Ihnen als Kunden sehr schnell die Prozesse zu definieren und diese umzusetzen. Durch kleine Anpassungen an der eigenen Organisation sind diese standardnahen Prozesse nutzbar. Je näher man sich hier an die Standards hält, desto schneller kann die Implementierung erfolgen. Hier werden alle UseCases beschrieben und in einem IAM-Tool umgesetzt, die benötigt werden, um die Lebensdauer eines Mitarbeiters vom Eintritt bis zum Austritt zu begleiten. Ein möglichst automatisiertes Umsetzen wird angestrebt.

Role Life Cycle

Um es dem Fachbereich zu ermöglichen, eine Rezertifizierung oder überhaupt eine Bestellung von Berechtigungen durchführen zu können, werden Berechtigungen in Rollen zusammengefasst. Diese Rollen werden auch verschiedenen Ebenen zugeteilt, um dem Benutzer die Arbeit mit den benötigten Berechtigungen zu ermöglichen. Diesen Rollen liegen Standards wir NIST, RBAG und ABAC zugrunde. Die Rollenbildung erfolgt toolgestützt und fachbereichstauglich. Rollen oder Business-Rollen vereinen Berechtigungen verschiedener Systeme in sich. Wie beim User Life Cycle werden die Rollen erstellt, im Laufe der Zeit verändert und können irgendwann nicht mehr notwendig sein. Somit unterliegen sie einer ständigen Beobachtung und werden auch im Zuge einer Rezertifizierung den Besitzern zur Kontrolle vorgelegt.

Themenbereiche zu Identity Management:

Role Mining

Role Mining um Rolle zu bilden

Eine Möglichkeit, Rollen zu bilden, ist die des Role Minings. Dabei werden anhand einer Matrix von zugeteilten Berechtigungen zu den entsprechenden Benutzer Rollenkandidaten erstellt und sichtbar gemacht. Bei der heutigen Komplexität – dadurch dass sich die Berechtigungen über mehrere Systeme verteilen – ist es praktisch unmöglich, ohne entsprechende Produkte, die durch entsprechende Algorithmen diese Funktion zur Verfügung stellen, diese Arbeit zu erledigen. Die TIMETOACT bietet hier Unterstützung in der Anwendung dieser Tools und leitet den Kunden an, wie mit den Rollenkandidaten umgegangen werden kann. Der Aufbau von Rollen wird dabei mit dem Kunden erarbeitet, so dass auch komplexe Rollen-Konstrukte in einem IAM-Produkt umgesetzt und implementiert werden können.

Provisionierung

Das IAG-System provisioniert Accounts und die ihnen zugeordneten Berechtigungen in die administrierten Systeme und Anwendungen (Zielsysteme). Je nach Anbindungsqualität erfolgt die Übertragung der Daten an das jeweilige Zielsystem automatisch - synchron oder asynchron – und ohne manuelle Eingriffe. Ist ein Zielsystem nicht an das IAG-System angebunden, muss weiterhin auch im Zielsystem selbst administriert werden. Die Provisionierung besteht dann in einer Benachrichtigung des zuständigen Administrators, in der die notwendigen Informationen über durchzuführende Aktionen und betroffene Objekte enthalten sind.

Die in die Zielsysteme provisionierten Daten basieren häufig auf Personal- und Organisationsdaten oder leiten sich aus ihnen ab. Diese Informationen existieren i.d.R. originär in Personaldatenverwaltungssystemen und werden von dort – im erforderlichen Umfang - in das IAG-System übernommen. Personaldatenveränderungen werden dazu entweder direkt in das IAG-System propagiert oder von diesem durch einen Datenabgleich festgestellt und nachgeführt. Hierdurch erreichen wir ein hohes Maß in der automatischen Vergabe/Entzug von Berechtigungen.

Passwort Management

Das Passwort Management nimmt nach wie vor in den Statistiken der Support-Organisationen einen hohen Stellenwert ein. Nicht nur das Zurücksetzen von vergessenen Passworten soll durch ein automatisiertes Passwort Management der Vergangenheit angehören, sondern auch das Entsperren der Passwörter nach fehlerhaften Eingaben. Auch Passwort-Richtlinien lassen sich so firmenweit durchsetzen.

Wir implementieren SSO-Lösungen bedarfsgerecht und sind Ihr Spezialist für integrative Lösungen mit IAG-Systemen.

User Self Services

Endbenutzer können einfache Aufgaben im Bereich des Identity und Access Managements vielfach selbst übernehmen und damit zur Entlastung zentraler Dienste wie Help- und Service Desks beitragen. Ein Self Service Portal stellt die dafür freigegebenen Funktionen bereit. Der Anwender kann so ausgewählte eigene personenbezogene Daten wie Telefonnummern, Adressinformationen o.ä. verwalten, Kennwörter zurücksetzen und Berechtigungen beantragen. Aktionen werden entweder direkt ausgeführt oder durch ein Antragsverfahren geleitet, das auch Genehmigungsschritte beinhalten kann.

Unsere IAG-Lösungen bringen eine Vielzahl von Self Services im Standard. Wir sind jedoch auch Ihr Spezialist, wenn es um die Konzeption und Umsetzung individuellen Self Servcies geht.

CIAM – Customer Identity Management

CIAM – Customer Identity Management als das Kennen und Autorisieren von Zugriffen

Die Anforderungen an ein cIAM unterscheiden sich nicht grundsätzlich von denen eines internen IAM, haben aber andere Prioritäten und Schwerpunkte. Das Kennen der Identität, dessen Authentisierung und die damit verbundenen Zugriffe sind nach wie vor Schwerpunkte des cIAM. Plötzlich sind mögliche parallele Zugriffe nicht nur auf die Anzahl der Mitarbeiter beschränkt, je nach Einsatz sind viele Tausend gleichzeitige Zugriffe gefragt, die auf on Premis- oder Cloud-Anwendungen umgeleitet werden müssen.

Diese Unterschiede müssen in Betracht gezogen werden, wenn es darum geht, ein cIAM-System aufzubauen. Die TIMETOACT bietet hier umfangreiche Beratung im Bereich der Anforderungsanalyse und der Auswahl der richtigen Lösung an. Themen wie Performance, Einbinden verschiedener Services und auch die Wahl des richtigen Identity Providers werden beleuchtet und in das Anforderungsprofil eingearbeitet. Hierbei hilft die breite Erfahrung mit IAM-Funktionen und –Produkten. 

Delegierte Administration

Zur Entlastung der zentralen Berechtigungsadministration wird ein definiertes Portfolio an Administrationsaufgaben an andere Personenkreise innerhalb oder auch außerhalb der Unternehmensorganisation übertragen. Der Zuständigkeitsbereich dieser dezentralen Administratoren umfasst in der Regel eine Gruppe von Benutzern, die sich z.B. aus der Zugehörigkeit zu einer Organisationseinheit, Kostenstelle o.ä. herleitet. Häufig werden Aufgaben der Berechtigungsadministration nicht an spezielle dezentrale Berechtigungsadministratoren delegiert, sondern von Mitarbeitern mit Linienfunktion übernommen.

Hier helfen wir Ihnen den Aufbau im Spannungsfeld der Sicherheit und der Automation Lösungen zu finden, welche in der Praxis auch umsetzbar sind. 

Für jedes Projekt den richtigen Hersteller:

IBM Platinum Business Partner

Unsere Referenzen