Das Identity Management (IDM) hat sich in den letzten Jahren sehr stark entwickelt und einen zentralen Stellenwert in der internen Informatik gewonnen. Mittlerweile ist es nicht nur ein Thema bei Banken und Versicherungen, sondern im Zuge der Digitalen Transformation ein Teil der Basisdienste aller Unternehmen, die unumgänglich sind, um Daten auch nach außen zur Verfügung stellen zu können. Die Digitale Transformation und das zur Verfügung stellen von internen Daten an Partner und Kunden ist nicht mit dem Verschieben der Daten in einen Cloud-Dienst getan. Hier fangen die Herausforderungen erst an: es muss sichergestellt werden, dass alle Benutzer bekannt sind, die Zugriff erhalten sollen.
Identity Management – der Weg zur sicheren Digitalen Transformation
Hier soll auch festgehalten werden, wenn interne Benutzer von außerhalb des gesicherten Netzwerks Zugriff auf Daten anfordern und die Zugriffe entsprechend ermöglicht werden. Im klassischen IDM werden die internen Benutzer verifiziert, wodurch gewährleistet wird, dass jede Digitale Identität mit einer Person, die im HR verwaltet wird, verbunden ist.
Die Anforderungen an ein Identity Management stellen sich neu!
So sind zum Beispiel die Durchlaufzeiten eines Projektes sehr viel kürzer zu halten als bisher, da die digitale Zukunft nicht erst in ein paar Jahren beginnt, sondern die Anforderung bereits im Raum steht und die Basis gegeben sein muss. Hier sind neue Verfahren in den Projekten gefragt, welche dies ermöglichen. Die TIMETOACT hat hier eine Methode entwickelt, mit der den neuen Anforderungen begegnet werden kann und es den Kunden erlaubt, die Digitale Transformation im erforderlichen Tempo durchführen zu können. Im Zusammenspiel mit einem cIAM, welches sich um die Digitalen Identitäten der Partner und Kunden kümmert, ergibt sich eine sichere Basis, um neue Wege der Zusammenarbeit mit Partnern und Kunden zu ermöglichen. Wir zeigen Ihnen, wie Sie mit einem Gesamtansatz den Sicherheitsanforderungen der Digitalen Transformation begegnen können.
Wir haben unser Vorgehensmodell über Jahre hinweg entwickelt und optimiert!
Ein Reifegradmodell ermöglicht es dabei, jederzeit den Status und Erfolg zu messen und die nächsten Schritte bedarfsorientiert zu definieren. Unser Ziel ist es, eine weitgehend automatisierte, revisionssichere Lösung mit Endnutzer-geeigneten Antragsverfahren verfügbar zu machen. Diese erfüllt alle Anforderungen an Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Nachvollziehbarkeit.
Wir schneidern Ihnen die 100% passgenaue Lösung für Ihren Bedarf!
Es gehört zu unserer Philosophie, unsere Kunden rund um alle Facetten einer erfolgreichen IAG / IAM-Einführung zu unterstützen und zu beraten. Auch nach Beendigung des Einführungsprojektes stehen wir Ihnen weiter zur Verfügung: Wir unterstützen Sie sowohl bei der Pflege Ihrer individuellen Umsetzung, bei der Weiterentwicklung als auch bei dem fachlichen und technischen Betrieb der Lösung.
User Life Cycle
Die Behandlung von Mitarbeiter*iinnen, deren Eintritt, Veränderung und Austritt im Zusammenhang mit verschiedenen Funktionen und Berechtigungen wird hier möglichst automatisiert definiert. Vorgefertigte Standardprozesse und Good Practices erlauben es uns, mit Ihnen als Kunden sehr schnell die Prozesse zu definieren und diese umzusetzen. Durch kleine Anpassungen an der eigenen Organisation sind diese standardnahen Prozesse nutzbar. Je näher man sich hier an die Standards hält, desto schneller kann die Implementierung erfolgen. Hier werden alle Use Cases beschrieben und in einem IAM-Tool umgesetzt, die benötigt werden, um die Lebensdauer eines Mitarbeiters vom Eintritt bis zum Austritt zu begleiten. Ein möglichst automatisiertes Umsetzen wird angestrebt.
Role Life Cycle
Um es dem Fachbereich zu ermöglichen, eine Rezertifizierung oder überhaupt eine Bestellung von Berechtigungen durchführen zu können, werden Berechtigungen in Rollen zusammengefasst. Diese Rollen werden auch verschiedenen Ebenen zugeteilt, um dem Benutzer die Arbeit mit den benötigten Berechtigungen zu ermöglichen. Diesen Rollen liegen Standards wie NIST, RBAG und ABAC zugrunde. Die Rollenbildung erfolgt toolgestützt und fachbereichstauglich. Rollen oder Business-Rollen vereinen Berechtigungen verschiedener Systeme in sich. Wie beim User Life Cycle werden die Rollen erstellt, im Laufe der Zeit verändert und können irgendwann nicht mehr notwendig sein. Somit unterliegen sie einer ständigen Beobachtung und werden auch im Zuge einer Rezertifizierung den Besitzern zur Kontrolle vorgelegt.
Themenbereiche zu Identity Management:
Role Mining
Eine Möglichkeit, Rollen zu bilden, ist die des Role Minings. Dabei werden anhand einer Matrix von zugeteilten Berechtigungen zu den entsprechenden Benutzern Rollenkandidaten erstellt und sichtbar gemacht. Bei der heutigen Komplexität – dadurch, dass sich die Berechtigungen über mehrere Systeme verteilen – ist es praktisch unmöglich, ohne entsprechende Produkte, die durch entsprechende Algorithmen diese Funktion zur Verfügung stellen, diese Arbeit zu erledigen. Die TIMETOACT bietet hier Unterstützung in der Anwendung dieser Tools und leitet den Kunden an, wie mit den Rollenkandidaten umgegangen werden kann. Der Aufbau von Rollen wird dabei mit dem Kunden erarbeitet, so dass auch komplexe Rollenkonstrukte in einem IAM-Produkt umgesetzt und implementiert werden können.
Provisionierung
Das IAG-System provisioniert Accounts und die ihnen zugeordneten Berechtigungen in die administrierten Systeme und Anwendungen (Zielsysteme). Je nach Anbindungsqualität erfolgt die Übertragung der Daten an das jeweilige Zielsystem automatisch – synchron oder asynchron – und ohne manuelle Eingriffe. Ist ein Zielsystem nicht an das IAG-System angebunden, muss weiterhin auch im Zielsystem selbst administriert werden. Die Provisionierung besteht dann in einer Benachrichtigung des zuständigen Administrators, in der die notwendigen Informationen über durchzuführende Aktionen und betroffene Objekte enthalten sind.
Die in die Zielsysteme provisionierten Daten basieren häufig auf Personal- und Organisationsdaten oder leiten sich aus ihnen ab. Diese Informationen existieren i. d. R. originär in Personaldatenverwaltungssystemen und werden von dort – im erforderlichen Umfang – in das IAG-System übernommen. Personaldatenveränderungen werden dazu entweder direkt in das IAG-System propagiert oder von diesem durch einen Datenabgleich festgestellt und nachgeführt. Hierdurch erreichen wir ein hohes Maß in der automatischen Vergabe / Entzug von Berechtigungen.
Passwort Management
Das Passwort Management nimmt nach wie vor in den Statistiken der Support-Organisationen einen hohen Stellenwert ein. Nicht nur das Zurücksetzen von vergessenen Passworten soll durch ein automatisiertes Passwort Management der Vergangenheit angehören, sondern auch das Entsperren der Passwörter nach fehlerhaften Eingaben. Auch Passwort-Richtlinien lassen sich so firmenweit durchsetzen.
Wir implementieren SSO-Lösungen bedarfsgerecht und sind Ihr Spezialist für integrative Lösungen mit IAG-Systemen.
User Self Services
Endbenutzer können einfache Aufgaben im Bereich des Identity und Access Managements vielfach selbst übernehmen und damit zur Entlastung zentraler Dienste wie Help- und Service Desks beitragen. Ein Self Service Portal stellt die dafür freigegebenen Funktionen bereit. Der Anwender kann so ausgewählte eigene personenbezogene Daten wie Telefonnummern, Adressinformationen o. ä. verwalten, Kennwörter zurücksetzen und Berechtigungen beantragen. Aktionen werden entweder direkt ausgeführt oder durch ein Antragsverfahren geleitet, das auch Genehmigungsschritte beinhalten kann.
Unsere IAG-Lösungen bringen eine Vielzahl von Self Services im Standard. Wir sind jedoch auch Ihr Spezialist, wenn es um die Konzeption und Umsetzung individuellen Self Servcies geht.
CIAM – Customer Identity Management
Die Anforderungen an ein CIAM unterscheiden sich nicht grundsätzlich von denen eines internen IAM, haben aber andere Prioritäten und Schwerpunkte. Das Kennen der Identität, dessen Authentisierung und die damit verbundenen Zugriffe sind nach wie vor Schwerpunkte des CIAMs. Plötzlich sind mögliche parallele Zugriffe nicht nur auf die Anzahl der Mitarbeiter beschränkt, je nach Einsatz sind viele Tausend gleichzeitige Zugriffe gefragt, die auf On-Premise- oder Cloud-Anwendungen umgeleitet werden müssen.
Diese Unterschiede müssen in Betracht gezogen werden, wenn es darum geht, ein CIAM-System aufzubauen. Die TIMETOACT bietet hier umfangreiche Beratung im Bereich der Anforderungsanalyse und der Auswahl der richtigen Lösung an. Themen wie Performance, Einbinden verschiedener Services und auch die Wahl des richtigen Identity Providers werden beleuchtet und in das Anforderungsprofil eingearbeitet. Hierbei hilft die breite Erfahrung mit IAM-Funktionen und -Produkten.
Delegierte Administration
Zur Entlastung der zentralen Berechtigungsadministration wird ein definiertes Portfolio an Administrationsaufgaben an andere Personenkreise innerhalb oder auch außerhalb der Unternehmensorganisation übertragen. Der Zuständigkeitsbereich dieser dezentralen Administratoren umfasst in der Regel eine Gruppe von Benutzern, die sich z. B. aus der Zugehörigkeit zu einer Organisationseinheit, Kostenstelle o. ä. herleitet. Häufig werden Aufgaben der Berechtigungsadministration nicht an spezielle dezentrale Berechtigungsadministratoren delegiert, sondern von Mitarbeitern mit Linienfunktion übernommen.
Hier helfen wir Ihnen den Aufbau im Spannungsfeld der Sicherheit und der Automation Lösungen zu finden, welche in der Praxis auch umsetzbar sind.