Funktionsumfang

Die einzigartige Stärke von ORG ist die Summe seiner Fähigkeiten:

ORG unterstützt RBAC und ABAC über verschiedene technische Plattformen hinweg.
Performant und ausfallsicher.

  • Role-Based Access Control (RBAC) und Attribute-Based Access Control (ABAC) sind mit ORG plattformunabhängig (Host, Web, Client Server) nachweislich performant und ausfallsicher möglich.
  • ORGs ABAC-Fähigkeit ermöglicht den Einsatz als Externalized Access Management System.
  • ORG provisioniert/deprovisioniert intelligent in fast alle vorstellbaren Zielspeicher, egal auf welcher technischen Plattform sie sich befinden.
  • Mittels ORG können zentral Berechtigungsregeln verwaltet und unternehmensweit durchgesetzt werden.
  • Governance-Funktionalitäten wie Historisierung, Administration in die Zukunft, Revisionssicherheit und Rezertifizierungsberichte decken weitere Governance-Anforderungen ab.
  • ORG ist leicht zu bedienen, sowohl im Beantragungs-/Genehmigungsprozess als auch in der Berechtigungsadministration.
  • Wegen seiner umfassenden Mandantenfähigkeit ist ORG ohne weiteres auch als SaaS auch in der Cloud nutzbar.
 
 

ORG-Module

ORG Admin

Flexible Administration

  • Initialbefüllung aus Human Resources-, Software Asset Management- und
  • IT-Asset Management-Systemen mit
    Device- und Software-Informationen
    Abteilungs-, Stellen­- und Rollen­informationen
  • Abbildung feingranularer Berechtigungsregeln (ABAC / Externalised Access Management)
  • Definition Beantragungsprozess
    Wer darf was für wen beantragen?
    Wer muss was genehmigen?
  • Definition von Rollenkonflikten
    (Segregation of Duties)
  • Revisionssicherheit durch Historisierung sämtlicher Administrationsvorgänge
    (Neu, Änderung, Löschung)
  • Mandantenfähigkeit
ORG Workflow

Revisionssicherer und regelbasierter Beantragungs- und Genehmigungs­workflow

  • Eintritt (Rechte können zum Eintrittsdatum automatisch geschaltet werden)
  • bei Stellen-/Abteilungswechsel (automatischer Verlust der bisherigen und Gewinn der neuen Rechte)
  • Austritt (automatischer Verlust aller Rechte)
  • Zeitliche Befristung von Rechten(z.B. Urlaubsvertretung)
  • „Wiederbelebung“ eines abgelaufenen oder gelöschten Rechts
  • Bearbeitungsstatusrückmeldung
ORG Ticket

Teilautomatische Zuweisung der Berechtigungen (Provisioning)

  • Wenn die automatische Provisionierung nicht möglich oder aus anderen Gründen nicht sinnvoll ist, dann: E-Mails bzw. Tickets an Berechtigungs­administratoren mit Rückmeldung
ORG Connect

Automatische Zuweisung der Berechtigungen (Provisioning) an

  • Rollenbasierte Zielsysteme (z.B. AD, RACF, SAP, Exchange, Sharepoint, LDAP)
  • Regel-/richtlinienbasierte Zielsysteme (Externalized Access Management)
  • Cloud / Externe SaaS Dienst­leister
ORG Report

Flexible Auswertungen, z.B.

  • welche Mitarbeiter bzw. Dinge haben eine bestimmte Rolle, Stelle, …
  • Zeitreisemöglichkeiten, z.B. Vergleich von Berechtigungen über Zeiträume hinweg
  • welche Detailrechte verbergen sich hinter User X nach User-ID, Stelle, Kostenstelle, Zeitpunkt, …

Regelmäßige Kontrolle der Berechtigungen (Rezertifizierung)

  • Rezertifizierung auch für Fachabteilungen verständlich und durchführbar
  • Rezertifizierungsreports für Applikations­administratoren
  • Rezertifizierungsreports für Auditoren / Wirtschaftsprüfer
 
 

Autorisierung

Hybrides Vorgehensmodell zur Rollenmodellierung

Die zentrale Zielsetzung besteht darin, dass Benutzer, z.B. Mitarbeiter, Kunden oder Geschäftspartner, zur richtigen Zeit genau die Berechtigungen erhalten, die sie für ihre Arbeit benötigen.

In der Rollenmodellierung ist demnach darauf zu achten, dass einerseits genügend differenzierte Rollen geschaffen werden und andererseits nicht zu viele Rollen entstehen. Das hybride Vorgehensmodell ist ein Lösungsansatz. Hierbei werden fachliche Rollen mit technischen Rollen in Beziehung gesetzt. Dadurch ist die Fachabteilung in der Lage, ihre Berechtigungen selbst zu kontrollieren.

 

ORGs Rollen- und Berechtigungsmanagement deckt die genannten Anforderungen schnell und zuverlässig ab.
Dabei wird das Ausführen von feingranularen attributbasierten (ABAC) als auch rollenbasierten (RBAC) Entscheidungen ermöglicht. Durch das Historienkonzept von ORG kann für jeden Datensatz ein Gültigkeitszeitraum angegeben werden. Nach Ablauf der Gültigkeit oder Löschung bleiben die Datensätze in der ORG Datenbank erhalten.

 
 

Administration

Der Single Point of Administration and Control wird durch ORG ermöglicht. Es handelt sich hierbei um die zentrale Administration und Kontrolle von komplexen Berechtigungsregeln. Dabei sind die Prozesse zur Vergabe, Überwachung und der Entzug von Berechtigungen einfach, effizient, nachvollziehbar und revisionssicher. Um eine ganzheitliche Überwachung und Steuerung zu erreichen, erfolgt dies nicht für jede Anwendung einzeln sondern anwendungsübergreifend. So werden Zugriffs- und Benutzerrechte automatisch an die einzelnen Business-Anwendungen provisioniert. Dies geschieht unabhängig davon, ob es sich um ein Mainframe-, Client/Server- oder eine Webanwendung handelt.

Die technisch ausgefeilte ORG-Konnektor-Architektur für den bidirektionalen Austausch von Berechtigungsinformationen mit Standardsoftware ist modular aufgebaut. Die Schnittstelle zum ORG-Server und die Logik für den Austausch der Berechtigungsinformationen sind für alle angebundenen Systeme gleich. Nur die schnittstellenspezifischen Anteile der angebundenen Anwendungssysteme werden in sogenannten Agenten implementiert. Diese Architektur ermöglicht es weitere Anwendungssysteme mit geringem Aufwand anzubinden.

In der zentralen Administrationsdatenbank von ORG sind aktuelle, zukünftige und abgelaufene Berechtigungen aller Anwendungen (Standardanwendungen und Eigenentwicklungen) enthalten. Damit erfüllt ORG höchste Ansprüche an Revisionssicherheit.

 
 

Mehrstufiges Rollenmodell

Im Identity Management sind Rollen eine Kernkomponente. Die traditionelle Rollenverwaltung definiert Rollen als administrative Bündelung von Zugriffsrechten. Das ist im Rahmen von Access Governance und Business Intelligence nicht mehr ausreichend, da sich die Aufgaben und der Stellenwert der Rollen verändern. Rollen sollen jetzt zusätzlich businessorientierte Funktionen unterstützen, wie z.B. Antrags- und Genehmigungsverfahren. IDM-Systeme bestehen heute aus Rollenmodellen, die die Unternehmenssicht widerspiegeln. Die zielsystemspezifischen Berechtigungsstrukturen sind dahinter versteckt.

Mehrstufiges Rollenmodell

Das wird in ORG durch eine Aufteilung in Business- und IT-Rollen erreicht. Dabei definieren die IT-Rollen den technischen Bezug der zugewiesenen Berechtigungen und Business-Rollen den funktionalen Aspekt des Benutzers innerhalb der Organisation. ORGs Rollenmanagement liefert die Verknüpfung zwischen Fachabteilungsrollen und IT-Rollen. Ein mehrstufiges Rollenmodell ist möglich (siehe Abb.). Dabei werden IT-spezifische Rollen in für die Fachabteilungen verständliche Bezeichnungen bzw. Inhalte übersetzt und eine Business-Sicht auf die darunterliegende IT-IDM-Infrastruktur entworfen. Damit ist die Auditierung der Berechtigungen durch die Fachabteilungen möglich.

 
 
 

Integrierte Workflowsteuerung

ORG lässt sich leicht in vorhandene Antrags- und Genehmigungsworkflows einbinden, sodass die manuelle Administration so weit wie möglich vermieden wird. Bei Bedarf ist im Workflow ein Vieraugenprinzip konfigurierbar.
ORG besitzt ein Modul für die integrierte Workflowsteuerung für die automatisierte Vorlage und Genehmigung von Berechtigungsanforderungen. Dieser Service greift auf die gleichen Webservice-Schnittstellen zu, die auch einem externen Workflow angeboten werden können. Die delegierte Administration und der Selfservice gehören zum Standard von ORG.

 
 

Audit / Governance

Zertifizierung / Rezertifizierung

Reports aus ORG-Admin-DB ermöglichen:

  • Zeitreise auf Knopfdruck
  • Verständlichkeit und Überprüfbarkeit für Fachabteilungen
  • Zentrale und revisionssichere Informationshaltung

Die Komponente Identity GRC ermöglicht es einfach und kostengünstig, operative Risiken im Zusammenhang mit Benutzerberechtigungen über alle Informationssysteme hinweg zu ermitteln und zu bearbeiten. Identity GRC analysiert die Daten sämtlicher Berechtigungsspeicher, z.B. SAP, ORG, Novell, AD.

Identity GRC konzentriert sich auf die Erstellung von regelbasierten Analysen und Berichten. Dabei werden Business Intelligence Prinzipien angewendet. Mittels Datenabfragen, Regel- und Analyse-Engine wird ein Web-Portal für Business-Anwender mit variablen Abfragemöglichkeiten und Dashboard-Anzeigen erstellt.

Ein Inventar der bestehenden Berechtigungen wird generiert, um Benutzer-, Account- und Berechtigungsinformationen zur weiteren Verarbeitung zu konsolidieren. Identity GRC liefert intelligenten Mehrwert durch Multi-Kriterien-Analysen zur Datenvisualisierung, Segregation of Duties Management, Anomalie Ermittlung und Compliance Berichterstattung – speziell für Identity und Access Vorkommnisse. 

Mithilfe der anschaulichen Dashboards, des erweiterten Role Mining, der Analysemöglichkeiten und der umfassenden Reporting-Funktionen können die betrieblichen Risiken analysiert und besser gesteuert werden.