Image

Was ist Identity Management, was ist Access Management?

Motivation, Notwendigkeit und Begriffsdefinitionen

Was ist Identity und Access Management

Der Sammelbegriff “Identity and Access Management”, kurz IAM (Identity Access Management) genannt, wird oft verwendet, besteht aber grundsätzlich aus zwei verschiedenen Themenbereichen.

Zum einen „Identity Management“ (IDM), dem Verwaltungsaspekt in diesem Bereich und zum anderen „Access Management“ (AM), den Mechanismen der Zugriffsbeschränkung.

Je nachdem wird IAM auch nur als Identity Management bezeichnet, da die Themenkomplexe oft zusammen betrachtet werden, also Punkte des eigentlichen Access Management zum Verwalten einer Identität gezählt wird.

Die Notwendigkeit von Identity Management

„Die Business Anforderungen an eine IT-Infrastruktur werden von Jahr zu Jahr komplexer und machen es immer schwieriger Mitarbeiter, Identitäten und Berechtigungen zu verwalten und einen konsistenten Datenstand zu halten. Dazu kommen die Anforderungen aus der Revision, die es Unternehmen abverlangt jederzeit Auskunft über die Berechtigungen eines Mitarbeiters in ihren Systemen geben zu können.

Zuverlässige IT-Benutzerverwaltung besitzt daher heute in jedem Unternehmen eine zentrale Bedeutung. Mit wachsender Unternehmensgröße erhöhen sich auch die Anforderungen an ein strukturiertes und sicheres Management von Identitäten und deren Berechtigungen im Unternehmen.

Um diese Aufgaben zu bewältigen, setzen Firmen heute mehr und mehr auf eine automatisierte Identity Management Architektur. Durch den Einsatz zentraler Datenhaltung und entsprechender Software werden Identitäten und deren Zugriffsrechte verwaltet und in die angeschlossenen Zielsysteme provisioniert bzw. Änderungen in Zielsystemen zuverlässig aufgezeichnet und verarbeitet. Durch den Einsatz von Workflows werden Genehmigungsprozesse der Unternehmen revisionssicher im Identity Management System aufgezeichnet.

Die zentrale Zielsetzung im Identity Management besteht darin sicherzustellen, dass Mitarbeiter zur richtigen Zeit genau die (aber auch nicht mehr) Berechtigungen erhalten, die sie für ihre Arbeit benötigen. Das beinhaltet natürlich auch die Sperrung/Löschung der Zugriffsrechte beim Ausscheiden des Mitarbeiters oder bei Wegfall der Notwendigkeit der Berechtigung (z.B. Abteilungswechsel).

Ebenso sollen der Aufwand und damit die Kosten für die Beantragung, Genehmigung und Administration der Zugriffsrechte möglichst gering sein, während auf der anderen Seite diverse gesetzliche und firmeneigene Regularien einzuhalten sind.“

Quelle: Marcus Westen, CISSP und IAM Solution Architekt

Begriffsdefinitionen

Identity Management

Identitätsmanagement befasst sich mit der Verwaltung von Personen als digitale Identitäten sowie deren Zugriffsberechtigungen auf Systeme und Anwendungen. Es handelt sich um die Berechtigungsverwaltung von Personen in einem Unternehmen oder Datenverbund.

  • Eine Person kann dabei mehrere digitale Identitäten besitzen, während eine digitale Identität gewöhnlich nur einer Person zuzuordnen ist.

  • Dabei ist die digitale Identität eine Sammlung von personenbezogenen Attributen, welche die Person, die sich dieser Identität bedient, individualisiert und sie eindeutig erkennbar macht. Hierbei ist entsprechend DSGVO darauf zu achten, sowenig persönliche Attribute wie möglich zu nutzen.

  • Das Management von Identitäten kann manuell erfolgen, geschieht aber vornehmlich auf IT-Ebene um auch automatisierte Prozesse einführen zu können. Insbesondere in Unternehmen ist es eine nicht unerhebliche Aufgabe, die verschiedenen Accounts (Mail, Betriebssystem, Datenbanken, Applikationen, Internet-Zugriff etc.) einer Person zu konsolidieren und zu verwalten.

  • Beim Identitätsmanagement geht es sowohl um die Zuordnung als auch um den Entzug von Zugriffsrechten einer Person, mittels digitaler Identität auf ein System oder eine Anwendung.

Access Management

Access-Management beschäftigt sich mit der Zugriffsart auf Daten und geht von einem funktionierenden Identitätsmanagement aus.

Es beinhaltet die Entscheidung über Zugriffe auf der Basis von Benutzeridentitäten, -rollen und Zugriffsrechten (englisch „Policy Decision“: Zugriffsentscheidung). Es beschreibt die notwendigen Mechanismen für den Zugriff auf ein System sowie die Kontrolle (englisch „Access Control“: Zugriffskontrolle) und das Durchsetzen des Zugriffs.

Access-Management…

  • bewilligt autorisierten Anwendern einen bestimmten Service in der IT zu nutzen

  • unterbindet den Zugriff für unautorisierte Anwender

  • führt Vorgaben aus, die in der IT-Security definiert worden sind

Identität

Eine Identität ist eine digitale Abbildung einer Person inkl. einer Sammlung von personenbezogenen Attributen.

Sie ermöglicht die eindeutige Zuordnung zu einer realen Person.

Person

Realer Mensch.

Account

Ein Benutzer-Account ermöglicht es einer Person, ein IT-System (hier Zielsystem) zu nutzen.

Eine Person kann mehrere Benutzer-Accounts für verschiedene Zielsysteme besitzen (AD-Account, SAP-Account...).

Rolle

Rollen sind im Identity Management alle Objekte, über die Personen Unternehmensressourcen zugewiesen bekommen können.

Recht / Entitlement

Ein Recht ist die Berechtigung auf eine Unternehmensressource zugreifen zu dürfen.

Provisioning

Provisioning ist das Zuordnen einer Berechtigung oder das Anlegen eines Accounts in einem Zielsystem

Identity und Access Management Software

Identity und Access Management Software ermöglicht es erst, die komplexen Anforderungen der Benutzerverwaltung und Berechtigungsverwaltung unkompliziert zu meistern.

Identity Management Software sollte einfach zu implementieren sein und möglichst schnell einen Benefit liefern, z.B. durch Automation oder Reduzierung von Sicherheitsrisiken. Natürlich muss sie flexibel genug sein, um mit allen zukünftigen Anforderungen mitwachsen zu können.

Erfolgreiche IAM Projekte folgen oft dem Wahlspruch "Think big, start small." - die Zukunft im Blick, mit den wirkungsvollsten Schritten starten. Das gewählte IAM System sollte dies unterstützen.

Die Wunschliste mit Wünschen, die gute IAM Systeme erfüllen, beinhaltet:

User LifeCycle / On- and Offboaring

Self Service für Berechtigungen

Genehmigungen und Workflows

Rollenbasiertes Berechtigungsmanagement

Auditing und Nachverfolgung

Funktionen für dynamische Rechtezuordnung

Zentrales Passwort Management und Passwort Self Service

Single Sign-On (SSO)

Rezertifizierungen und Attestierungen

Automatische Provisionierung

Identitätszentrierte Sicht mit Soll-/Ist-Daten der Rechte und Historie

Reporting und Compliance Funktionen