ORG Identity Governance & Administration Suite

ORG Identity Governance & Administration Suite

IGA Suite
Sichere Einführung
Funktionsumfang
Architektur
Praxisbeispiele
Rollenmodell

Vergabe und Kontrolle von IT-Berechtigungen

Die von FSP entwickelte Identity Governance & Administration Suite ORG unterstützt Prozesse für die angemessene regel- und rollenbasierte IT-Berechtigungsvergabe und die regelmäßige Rezertifizierung von Berechtigungen, so wie sie z.B. die aktuelle MaRisk AT 7.2, MaRisk AT 4.3.1, COBIT DS 5.3, BDSG § 9, BSI Grundschutz und andere fordern. Dies wird im folgenden anhand des IGA-Lifecycles erläutert.

Identity Governance & Administration (IGA)

Erfahren Sie, wie der IGA-Lifecycle funktioniert und wie er von ORG – der IGA-Suite von FSP – unterstützt wird.


 
 

Erläuterung IGA Lifecycle

Beantragung (Request)

Die Beantragung (Request) von neuen, zu ändernden und zu entziehenden Benutzerrechten wird häufig von einem HR-System angestoßen. Alternativ kann die Beantragung über den ORG-Process-Manager erfolgen - in einem konfigurierbaren Rahmen auch als Self-Service. Bereits im Unternehmen genutzte Workflow-Systeme können für den Beantragungsprozess via Schnittstellen angebunden und verwendet werden.

Prüfung / Freigabe

Im Rahmen des Beantragungsprozesses wird sichergestellt, dass Verantwortliche beantragte Berechtigungen prüfen und freigeben können. 

Der ORG-Process-Manager organisiert die vollständigen Beantragungs-, Prüfungs- und Freigabeprozesse.

Administration

Nach abgeschlossenem Freigabeprozess, werden die beantragten Rechte in das zentrale Rechtesystem ORG automatisiert eingepflegt. In der ORG Administrationsdatenbank liegen die attribut- und rollenbasierten Rechteinformationen, die im nächsten Schritt provisioniert, sprich verteilt werden.

Rechtezuweisung (Provisioning)

Provisioning ist die automatisierte Verteilung von Benutzerkonteninformationen und Berechtigungen in alle Zielsysteme, egal auf welcher technischen Plattform sie laufen.

Je nach Zielumgebung werden entweder feingranulare attributbasierte Berechtigungsinformationen oder, bei rollenbasierten Zielspeichern, Benutzer- und Rolleninformationen via Konnektortechnologie transferiert.

Audit / Report

Regelmäßiges Auditing sämtlicher Berechtigungsspeicher des Unternehmens (ORG, RACF, LDAP, SAP, Individualsysteme, ...) ermöglicht es, operative Risiken im Zusammenhang mit Benutzerberechtigungen zu ermitteln.
Zur Erstellung der Reports werden Business Intelligence Prinzipien angewendet. Kontrollreports werden an Verantwortliche geschickt, um z.B. Accounts, Berechtigungsregeln und personenbezogene Berechtigungen verifizieren zu können.

Complianceprüfung / Verification

Die Auditergebnisse werden durch Verantwortliche hinsichtlich Aktualität, unternehmensinterner Regeln, gesetzlicher Vorgaben und anderer Compliance-Anforderungen verifiziert.  
Nach der Prüfung ergeben sich ggf. Änderungsanträge, also Requests.

Funktionsübersicht

Revisionssicherer und regelbasierter Beantragungs- und Genehmigungsworkflow (MaRisk AT 7.2)

  • Wer hat was und wann für wen beantragt (Neu / Änderung)
  • Wer hat genehmigt
  • Wer darf was genehmigen
  • Ablehnungen begründbar
  • Zeitliche Befristung von Rechten
  • Wieder“belebung“ eines abgelaufenen oder gelöschten Rechtes
  • E-Mails bzw. Tickets an Berechtigungsadministratoren mit Rückmeldungsnotwendigkeit
  • Rollenbasierte Berechtigungsvergabe (RBAC)
  • Regelbasierte / Richtlinienbasierte Berechtigungsvergabe (ABAC)
  • Bearbeitungsstatus Rückmeldung


Flexible Administration bei

  • Stellenwechsel (automatischer Verlust der bisherigen Rechte, Gewinn der neuen Rechte)
  • Abteilungswechsel (automatischer Verlust der bisherigen Rechte, Gewinn der neuen Rechte)
  • Austritt (automatischer Verlust aller Rechte)
  • Eintritt (Rechte können zum Eintrittsdatum automatisch scharf geschaltet werden)
  • Berechtigungsregeländerungen
  • Korrektur von zeitlichen Befristungen


Schrittweise Automatisierung durch Anwendungsanbindung (Provisioning)

  • Start mit E-Mail oder Ticketversand an Administratoren mit Rückmeldungszwang
  • Verschiedene rollenbasierte Zielsysteme (AD, RACF, SAP, Exchange, Sharepoint, LDAP) technisch anbinden
  • Verschiedene regel-/richtlinienbasierte Zielsysteme (in der Regel Eigenentwicklungen) technisch anbinden
  • HR-System als Inputgeber technisch anbinden
  • Cloud-Provider / Externer SaaS Dienstleister anbinden


Flexible Auswertungen

  • z.B. welche Mitarbeiter haben Rolle X
  • z.B. Zeitreisemöglichkeiten, wie Vergleich von Berechtigungen über Zeiträume hinweg
  • z.B. welche Detailrechte verbergen sich hinter User X
  • z.B. nach User-ID, Stelle, Kostenstelle, Zeitpunkt, ...


Regelmäßige Kontrolle der Berechtigungen / Rezertifizierung (MaRisk AT 4.3.1)

  • Rezertifizierung auch für Fachabteilungen verständlich
  • Rezertifizierungsreports für Applikationsadministratoren
  • Rezertifizierungsreports für Auditoren / Wirtschaftsprüfer
  • Rollenkonflikt-Definition (Segregation of Duties)


IT- und Betriebsanforderungen

  • Einsatz auf relationalen Datenbanken wie z.B. Oracle, DB2, SQL-Server
  • Einsetzbar als Externalisiertes Access Management, z.b. für Eigenentwicklungen
  • Wartung durch Hersteller
  • Ausfallsicherheit durch Trennung von Administrations- von Produktionsumgebung


Übergreifende Anforderungen

  • Revisionssicherheit durch Historisierung sämtlicher Administrationsvorgänge (Neu, Änderung, Löschung)
  • Abteilungsinformation / Stelleninformation / Rolleninformationen
  • Abbildung feingranularer, regelbasierter Berechtigungen (ABAC / Externalised Access Management)
  • Mandantenfähigkeit
  • Compliance: Einheitliches Rechtemodell/-regelwerk für gesamtes Unternehmen nutzbar

Sichere IAM-Einführung. Nutzen - Schritt für Schritt!

Im Folgenden erklären wir Ihnen, wie Sie Ihr Access Management revisionssicher und „Schritt für Schritt“ gestalten können.

Jeder Einführungsschritt bringt bereits einen Optimierungs- oder Compliance-Nutzen. Ganz abgesehen von der gesteigerten Sicherheit Ihrer Geschäftsanwendungen. 

Das folgende Schaubild erklärt die schrittweise Vorgehensweise und zeigt auf durch welche Komponenten von „ORG – Das Berechtigungsmanagement“ die einzelnen Schritte unterstützt werden.

1. Ableitung Berechtigungsmodell

  • MaRisk AT 7.2: Vergabe benötigter IT-Berechtigungen
  • MaRisk AT 4.3.1: Vermeidung von Interessens­konflikten (SoD)
  • BSI Grundschutz M 2.31: Dokumentation zugelassener Benutzer und Rechte

2. Revisionssicherer Beantragungsprozess

  • BSI Grundschutz M 2.8: Vergabe von Rechten
  • MaRisk AT 7.2: Prozesse für angemessene IT-Berechtigungsvergabe (Vieraugenprinzip)
  • User-Help-Desk- und Selfservice-Unterstützung

3. Teilautomatisierte Zuweisung der Berechtigungen

  • COBIT DS 5.3: Benutzerzugriffsrechte regelkonform
  • BDSG §9: Zugriffsberechtigung nur für autorisierte Personen
  • Fehlerreduktion durch Teilautomatisierung

4. Automatische Zuweisung der Berechtigungen

  • COBIT DS 5.3: Benutzerzugriffsrechte regelkonform
  • BDSG §9: Zugriffsberechtigung nur für autorisierte Personen
  • Fehlereliminierung durch vollautomatisierte Berechtigungszuweisung

5. Regelmäßiges Auditieren und Rezertifizieren

  • MaRisk AT 4.3.1: regelmäßige Überprüfung von IT-Berechtigungen, sowie die Vermeidung von Interessens­konflikten (SoD)
  • COBIT DS 5.4: Regelmäßige Überprüfung aller IT-Berechtigungen
  • IGA-Lifecycle (Identity Governance and Administration)

Nach dem Ableiten klarer Berechtigungsstrukturen und -regeln kann darauf aufbauend der Beantragungsprozess revisionskonform gestaltet werden. 

Durch die schrittweise Anbindung der Geschäftsanwendungen heben Sie Effizienzgewinne und eliminieren bei vollautomatisierter Anbindung alle manuellen Fehlerquellen, da kein menschlicher Administrator für Berechtigungsvergaben in den Geschäftsanwendungen mehr nötig ist.  

Die höchste Stufe ist erklommen, wenn auch noch regelmäßige Überprüfungen, neudeutsch Rezertifizierungen, der vergebenen Berechtigungen stattfinden. Damit haben Sie dauerhaft Ihr Berechtigungsmanagement im Griff.  

Wir unterstützen Sie gerne, von Schritt 1 bis 5 und freuen uns auf Ihre Anfragen. 

Funktionsumfang

Die einzigartige Stärke von ORG ist die Summe seiner Fähigkeiten:

ORG unterstützt RBAC und ABAC über verschiedene technische Plattformen hinweg.
Performant und ausfallsicher.

  • Role-Based Access Control (RBAC) und Attribute-Based Access Control (ABAC) sind mit ORG plattformunabhängig (Host, Web, Client Server) nachweislich performant und ausfallsicher möglich.
  • ORGs ABAC-Fähigkeit ermöglicht den Einsatz als Externalized Access Management System.
  • ORG provisioniert/deprovisioniert intelligent in fast alle vorstellbaren Zielspeicher, egal auf welcher technischen Plattform sie sich befinden.
  • Mittels ORG können zentral Berechtigungsregeln verwaltet und unternehmensweit durchgesetzt werden.
  • Governance-Funktionalitäten wie Historisierung, Administration in die Zukunft, Revisionssicherheit und Rezertifizierungsberichte decken weitere Governance-Anforderungen ab.
  • ORG ist leicht zu bedienen, sowohl im Beantragungs-/Genehmigungsprozess als auch in der Berechtigungsadministration.
  • Wegen seiner umfassenden Mandantenfähigkeit ist ORG ohne weiteres auch als SaaS auch in der Cloud nutzbar.
 
 

ORG-Module

ORG Admin

Flexible Administration

  • Initialbefüllung aus Human Resources-, Software Asset Management- und
  • IT-Asset Management-Systemen mit
    Device- und Software-Informationen
    Abteilungs-, Stellen­- und Rollen­informationen
  • Abbildung feingranularer Berechtigungsregeln (ABAC / Externalised Access Management)
  • Definition Beantragungsprozess
    Wer darf was für wen beantragen?
    Wer muss was genehmigen?
  • Definition von Rollenkonflikten
    (Segregation of Duties)
  • Revisionssicherheit durch Historisierung sämtlicher Administrationsvorgänge
    (Neu, Änderung, Löschung)
  • Mandantenfähigkeit
ORG Workflow

Revisionssicherer und regelbasierter Beantragungs- und Genehmigungs­workflow

  • Eintritt (Rechte können zum Eintrittsdatum automatisch geschaltet werden)
  • bei Stellen-/Abteilungswechsel (automatischer Verlust der bisherigen und Gewinn der neuen Rechte)
  • Austritt (automatischer Verlust aller Rechte)
  • Zeitliche Befristung von Rechten(z.B. Urlaubsvertretung)
  • „Wiederbelebung“ eines abgelaufenen oder gelöschten Rechts
  • Bearbeitungsstatusrückmeldung
ORG Ticket

Teilautomatische Zuweisung der Berechtigungen (Provisioning)

  • Wenn die automatische Provisionierung nicht möglich oder aus anderen Gründen nicht sinnvoll ist, dann: E-Mails bzw. Tickets an Berechtigungs­administratoren mit Rückmeldung
ORG Connect

Automatische Zuweisung der Berechtigungen (Provisioning) an

  • Rollenbasierte Zielsysteme (z.B. AD, RACF, SAP, Exchange, Sharepoint, LDAP)
  • Regel-/richtlinienbasierte Zielsysteme (Externalized Access Management)
  • Cloud / Externe SaaS Dienst­leister
ORG Report

Flexible Auswertungen, z.B.

  • welche Mitarbeiter bzw. Dinge haben eine bestimmte Rolle, Stelle, …
  • Zeitreisemöglichkeiten, z.B. Vergleich von Berechtigungen über Zeiträume hinweg
  • welche Detailrechte verbergen sich hinter User X nach User-ID, Stelle, Kostenstelle, Zeitpunkt, …

Regelmäßige Kontrolle der Berechtigungen (Rezertifizierung)

  • Rezertifizierung auch für Fachabteilungen verständlich und durchführbar
  • Rezertifizierungsreports für Applikations­administratoren
  • Rezertifizierungsreports für Auditoren / Wirtschaftsprüfer
 
 

Autorisierung

Hybrides Vorgehensmodell zur Rollenmodellierung

Die zentrale Zielsetzung besteht darin, dass Benutzer, z.B. Mitarbeiter, Kunden oder Geschäftspartner, zur richtigen Zeit genau die Berechtigungen erhalten, die sie für ihre Arbeit benötigen.

In der Rollenmodellierung ist demnach darauf zu achten, dass einerseits genügend differenzierte Rollen geschaffen werden und andererseits nicht zu viele Rollen entstehen. Das hybride Vorgehensmodell ist ein Lösungsansatz. Hierbei werden fachliche Rollen mit technischen Rollen in Beziehung gesetzt. Dadurch ist die Fachabteilung in der Lage, ihre Berechtigungen selbst zu kontrollieren.

 

ORGs Rollen- und Berechtigungsmanagement deckt die genannten Anforderungen schnell und zuverlässig ab.
Dabei wird das Ausführen von feingranularen attributbasierten (ABAC) als auch rollenbasierten (RBAC) Entscheidungen ermöglicht. Durch das Historienkonzept von ORG kann für jeden Datensatz ein Gültigkeitszeitraum angegeben werden. Nach Ablauf der Gültigkeit oder Löschung bleiben die Datensätze in der ORG Datenbank erhalten.

 
 

Administration

Der Single Point of Administration and Control wird durch ORG ermöglicht. Es handelt sich hierbei um die zentrale Administration und Kontrolle von komplexen Berechtigungsregeln. Dabei sind die Prozesse zur Vergabe, Überwachung und der Entzug von Berechtigungen einfach, effizient, nachvollziehbar und revisionssicher. Um eine ganzheitliche Überwachung und Steuerung zu erreichen, erfolgt dies nicht für jede Anwendung einzeln sondern anwendungsübergreifend. So werden Zugriffs- und Benutzerrechte automatisch an die einzelnen Business-Anwendungen provisioniert. Dies geschieht unabhängig davon, ob es sich um ein Mainframe-, Client/Server- oder eine Webanwendung handelt.

Die technisch ausgefeilte ORG-Konnektor-Architektur für den bidirektionalen Austausch von Berechtigungsinformationen mit Standardsoftware ist modular aufgebaut. Die Schnittstelle zum ORG-Server und die Logik für den Austausch der Berechtigungsinformationen sind für alle angebundenen Systeme gleich. Nur die schnittstellenspezifischen Anteile der angebundenen Anwendungssysteme werden in sogenannten Agenten implementiert. Diese Architektur ermöglicht es weitere Anwendungssysteme mit geringem Aufwand anzubinden.

In der zentralen Administrationsdatenbank von ORG sind aktuelle, zukünftige und abgelaufene Berechtigungen aller Anwendungen (Standardanwendungen und Eigenentwicklungen) enthalten. Damit erfüllt ORG höchste Ansprüche an Revisionssicherheit.

 
 

Mehrstufiges Rollenmodell

Im Identity Management sind Rollen eine Kernkomponente. Die traditionelle Rollenverwaltung definiert Rollen als administrative Bündelung von Zugriffsrechten. Das ist im Rahmen von Access Governance und Business Intelligence nicht mehr ausreichend, da sich die Aufgaben und der Stellenwert der Rollen verändern. Rollen sollen jetzt zusätzlich businessorientierte Funktionen unterstützen, wie z.B. Antrags- und Genehmigungsverfahren. IDM-Systeme bestehen heute aus Rollenmodellen, die die Unternehmenssicht widerspiegeln. Die zielsystemspezifischen Berechtigungsstrukturen sind dahinter versteckt.

Mehrstufiges Rollenmodell

Das wird in ORG durch eine Aufteilung in Business- und IT-Rollen erreicht. Dabei definieren die IT-Rollen den technischen Bezug der zugewiesenen Berechtigungen und Business-Rollen den funktionalen Aspekt des Benutzers innerhalb der Organisation. ORGs Rollenmanagement liefert die Verknüpfung zwischen Fachabteilungsrollen und IT-Rollen. Ein mehrstufiges Rollenmodell ist möglich (siehe Abb.). Dabei werden IT-spezifische Rollen in für die Fachabteilungen verständliche Bezeichnungen bzw. Inhalte übersetzt und eine Business-Sicht auf die darunterliegende IT-IDM-Infrastruktur entworfen. Damit ist die Auditierung der Berechtigungen durch die Fachabteilungen möglich.

 
 
 

Integrierte Workflowsteuerung

ORG lässt sich leicht in vorhandene Antrags- und Genehmigungsworkflows einbinden, sodass die manuelle Administration so weit wie möglich vermieden wird. Bei Bedarf ist im Workflow ein Vieraugenprinzip konfigurierbar.
ORG besitzt ein Modul für die integrierte Workflowsteuerung für die automatisierte Vorlage und Genehmigung von Berechtigungsanforderungen. Dieser Service greift auf die gleichen Webservice-Schnittstellen zu, die auch einem externen Workflow angeboten werden können. Die delegierte Administration und der Selfservice gehören zum Standard von ORG.

 
 

Audit / Governance

Zertifizierung / Rezertifizierung

Reports aus ORG-Admin-DB ermöglichen:

  • Zeitreise auf Knopfdruck
  • Verständlichkeit und Überprüfbarkeit für Fachabteilungen
  • Zentrale und revisionssichere Informationshaltung

Die Komponente Identity GRC ermöglicht es einfach und kostengünstig, operative Risiken im Zusammenhang mit Benutzerberechtigungen über alle Informationssysteme hinweg zu ermitteln und zu bearbeiten. Identity GRC analysiert die Daten sämtlicher Berechtigungsspeicher, z.B. SAP, ORG, Novell, AD.

Identity GRC konzentriert sich auf die Erstellung von regelbasierten Analysen und Berichten. Dabei werden Business Intelligence Prinzipien angewendet. Mittels Datenabfragen, Regel- und Analyse-Engine wird ein Web-Portal für Business-Anwender mit variablen Abfragemöglichkeiten und Dashboard-Anzeigen erstellt.

Ein Inventar der bestehenden Berechtigungen wird generiert, um Benutzer-, Account- und Berechtigungsinformationen zur weiteren Verarbeitung zu konsolidieren. Identity GRC liefert intelligenten Mehrwert durch Multi-Kriterien-Analysen zur Datenvisualisierung, Segregation of Duties Management, Anomalie Ermittlung und Compliance Berichterstattung – speziell für Identity und Access Vorkommnisse. 

Mithilfe der anschaulichen Dashboards, des erweiterten Role Mining, der Analysemöglichkeiten und der umfassenden Reporting-Funktionen können die betrieblichen Risiken analysiert und besser gesteuert werden.

Architektur

Die durchdachte Softwarearchitektur ist das Fundament von ORG. Die Software ist ausfallsicher, bietet eine hohe Performance und ermöglicht RBAC und ABAC.

Zahlreiche Konnektoren machen ORG plattformübergreifend einsetzbar.

ORG Produktarchitektur

Architektur-Highlights

  • Ausfallsicherheit
  • High Performance 
  • Single Point of Administration and Control
  • Plattformübergreifend
  • ORG Konnektor (RBAC)
  • ORG API (RBAC und ABAC)
  • Datenmodell
  • Anbindung vorgelagerter Systeme

Schnittstellen

SPML-Systeme:
Novell Identity Manager, IBM Tivoli Directory Integrator, openSPML

Directory-Systeme:
Microsoft Active Directory, IBM Tivoli Directory Server, openLDAP, Novell eDirectory, SUN one Directory Server, ApacheDS, RACF LDAP-Server und weitere

Weitere Konnektoren verfügbar für:
SAP, MS SharePoint, MS Exchange, MS Dynamics, RACF, INTERFLEX

APIs verfügbar für folgende Plattformen:
Java (SE & EE), Windows (C), z/OS (Cobol, PL/1, C)

 
 
 

Ausfallsicherheit

Das ORG System unterteilt sich in die administrative und die produktive Umgebung (Grafik: linke und rechte Seite). Diese Trennung gewährleistet eine hohe Ausfallsicherheit.

 
 

High Performance

Zur Übertragung der jeweils aktuellen Berechtigungsinformationen an die produktive Umgebung stellt ORG zwei Wege zur Verfügung:

  1. Für Eigenentwicklungen werden die feingranularen Berechtigungsinformationen über die ORG Laufzeitüberführung denormalisiert in Tabellen der ORG-Laufzeitdatenbanken der produktiven Umgebung übertragen. Diese ORG spezifischen Tabellen können auch Bestandteil der Anwendungsdatenbanken sein. Der Zugriff auf die Berechtigungsinformationen erfolgt über APIs direkt aus den Anwendungsprogrammen.
  2. Die spezifischen ORG Konnektoren übertragen die Benutzer-Rollenzuordnungen in die Berechtigungsspeicher (e.g. LDAP, RACF ,SAP,…) angebundener Standardsoftwaresysteme.

Diese Grundsatzarchitektur ermöglicht kurze Wege der Berechtigungsabfrage und garantiert eine hohe Performance.

 
 
 

Single Point of Administration & Control

Ein zentralisiertes und standardisiertes Berechtigungsmanagement ist die ideale Lösung. Zugriffs- und Benutzerrechte werden automatisch an die einzelnen Business-Anwendungen provisioniert. Dies geschieht unabhängig davon, ob es sich um Mainframe-, C/S oder Webanwendungen handelt.

In der zentralen Administrationsdatenbank von ORG sind aktuelle, zukünftige und abgelaufene Berechtigungen aller Anwendungen (Standardanwendungen und Eigenentwicklungen) enthalten. Damit erfüllt ORG höchste Ansprüche an Revisionssicherheit und ermöglicht den Single Point of Administration and Control.

Praxisbeispiel: Single Point of Administration and Control / Unternehmensweite Access Governance

Ausgangslage:
Ein freigegebener Berechtigungsantrag musste separat für jedes System von verschiedenen Systemadministratoren umgesetzt werden. Dieser Prozess dauerte lange, war fehleranfällig und führte zu unproduktiven Zeiten.

Lösung:
Das zentralisierte und standardisierte Berechtigungsmanagement ORG war die ideale Lösung für ein großes Versicherungsunternehmen. Zugriffs- und Benutzerrechte werden nun automatisch an die einzelnen Business-Anwendungen provisioniert. In einer zentralen Datenbank hat man jederzeit den Überblick über vergangene, aktuelle und zukünftige Berechtigungen und das unternehmensweit über alle technischen Plattformen hinweg. Änderungen an Berechtigungen aus organisatorisachen Gründen, Zu- oder Abgängen, etc. werden per Knopfdruck durchgeführt/provisioniert.

Auditoren und Wirtschaftsprüfer freuen sich über die zentralisierten, aktuellen und unternehmensweit gültigen Berechtigungsinformationen. 

Die Administration kann sowohl auf Rollen (RBAC) als auch auf Attributen (ABAC) basieren.

Zentrale Administration mit ORG
 
 

Plattformübergreifend

Die zentrale Komponente der administrativen Umgebung ist der ORG Server mit der ORG Administrations-Datenbank.  Der ORG Server läuft unter z/OS, Unix und Windows. In der ORG Admin-DB (DB/2 oder Oracle) wird das gesamte im Unternehmen implementierte Berechtigungsmodell abgebildet. Neben den aktuell gültigen Daten, sind auch die gesamte Historie und geplante Administrationen revisionssicher gespeichert.

 
 

ORG Konnektor (RBAC)

Die ORG Konnektor Architektur für den bidrektionalen Austausch von Berechtigungsinformationen mit Standardsoftware ist modular aufgebaut. Das Interface zum ORG-Server und die Logik für den Austausch der Berechtigungsinformationen ist für alle angebunden Systeme gleich. Nur die schnittstellenspezifischen Anteile der angebundenen Anwendungssystem werden in sogenannten Agenten implementiert. Diese Architektur ermöglicht es, weitere Anwendungssysteme mit geringem Aufwand anzubinden.

ORG unterstützt RBAC:
ORG unterstützt Anwendungen, die ihre Berechtigungsinformationen rollenbasiert verwalten. Über den ORG Konnektor werden die in ORG administrierten Zuordnungen von Benutzern zu Rollen in den Berechtigungsspeicher der Anwendung übertragen. Die rollenbasierte Berechtigungsprüfung erfolgt ohne Anpassung weiterhin in den angebundenen Systemen.

Der ORG Konnektor
 
 

ORG API (ABAC)

Für den feingranularen Zugriff auf Berechtigungsinformationen in den Laufzeitdatenbanken stellt ORG drei APIs zur Verfügung:

  1. Das Java API kann in JavaEE und JavaSE Umgebungen eingesetzt werden.
  2. Das z/OS API steht für Cobol und PL/1 zur Verfügung und kann innerhalb von Transaktionsmonitoren (IMS oder CICS) oder in Batchanwendungen verwendet werden.
  3. Das Windows/Unix API ist für die C/C++ Entwicklung unter diesen Betriebssystemen vorgesehen.

Die Zugriffe sind aufgrund der denormalisierten Tabellen der Laufzeitdatenbanken hoch performant.

ORG unterstützt ABAC:
Anwendungen, die feingranulare Berechtigungsinformationen benötigen, verwenden eines der ORG APIs. Die Berechtigungsentscheidung erfolgt aufgrund beliebiger Attribute, die die Anwendung bereitstellt. Die Anwendung selbst benötigt keinen eigenen Berechtigungsspeicher mehr.

ORG unterstützt ABAC

Praxisbeispiel: Feingranulares Berechtigungsmanagement / Externalisiertes Berechtigungsmanagement

Ausgangslage:
Das vom Kunden entwickelte Berechtigungsmanagementsystem konnte nicht so erweitert werden, dass feingranulares Berechtigungsmanagement möglich gewesen wäre. Die von Novell angebotenen Erweiterungen an deren IDM-System wären umfangreich und teuer gewesen.

Lösung:
Novell IDM war als führendes System für Identitäten und Rollenzuweisung gesetzt. ORG übernahm ergänzend die feingranulare Berechtigungsprüfung. Novell IDM und ORG wurden über die SPML Schnittstelle verbunden. Die Anwendungsentwicklung des Kunden nutzt ORG nun als externalisiertes Berechtigungsmanagement, welches auch feingranulare Berechtigungsdefinitionen und Abfragen ermöglicht.

Dies vereinfacht die Anwendungsentwicklung und garantiert ein einheitliches Berechtigungsmodell für alle Geschäftsanwendungen.

Feingranulares Berechtigungsmanagement
 
 

ORG Komponenten - XACML Komponenten

In der folgenden Tabelle finden Sie eine Zuordnung der ORG Komponenten zu den entsprechenden XACML Komponenten (eXtensible Access Control Markup Language):

ORG Komponente XACML Komponente
ORG Server mit Administrationsdatenbank

PAP (Policy Administration Point: Definition von Zugriffsrechten und deren Regeln)

PRP (Policy Retrieval Point: Berechtigungsspeicher inklusive Regelwerk für alle Unternehmens-Anwendungen)

 

ORG Laufzeit Datenbank

PRP (Policy Retrieval Point: Denormalisierter Berechtigungsspeicher optimiert für mindestens eine Anwendung in einer bestimmten technischen Umgebung)

 

ORG API’s in Verbindung mit den ORG Laufzeit Datenbanken

PDP (Policy Decision Point: Wertet Regeln aus, um Zugriffsentscheidungen zu treffen)

Zentrales Modul in einer Anwendung, welches ein "ORG API" aufruft PEP (Policy Enforcement Point: Setzt die Berechtigungen um)

ORG wird in Zukunft den OpenAZ Standard unterstützen.
Der Aufruf der Zugriffsentscheidungskomponente (PDP) durch Anwendungen und Middleware wird dadurch standardisiert.

 
 

Datenmodell

ORG unterstützt eine Vielzahl von verschiedenen Entitäten.

Das Entitätenmodell unterstützt neben der DV-technischen Erfassung der Aufbauorganisation des Unternehmens auch den Aufbau eines Rollenmodells und die Erfassung von feingranularen Detailrechten. Diese werden in ORG als Kompetenzen bezeichnet.

Welche der unterstützten Entitäten tatsächlich zum Einsatz kommen, ist abhängig vom jeweiligen Umfeld des Kunden. Erforderlich sind allein der Benutzer und die Rolle und, wenn mit feingranularen Rechten gearbeitet werden soll, das Kompetenzschema und die Kompetenz.

 
 

Anbindung vorgelagerter Systeme

Das ORG SPML Interface ist ein Webservice, der die SPML 1.0 Spezifikation implementiert. Über die Schnittstelle können alle Objekte des ORG Berechtigungsmodells (z.B. Nutzer, Stelle, Rolle, Zuordnungen, etc.) von einem externen System (z.B. SAP HR) angelegt, verändert, gelöscht oder ausgelesen werden. Jede Änderung wir von ORG kontrolliert und historisiert. So kann z.B. ein bereits vorhandenes IDM-System durch in ORG definierte komplexe fachliche Berechtigungsregeln aufgewertet werden.

Der administrative Zugriff auf den ORG Server erfolgt über Web oder Fat-Client. Vorgelagerte Systeme (z.B. SAP-HR) können über einen SPML Web-Service Aufträge zur automatisierten Administration an den ORG Server senden.

Anbindung vorgelagerter Systeme mit dem ORG SPML Interface

Praxisbeispiele

Single Point of Administration and Control / Unternehmensweite Access Governance

Ausgangslage:
Ein freigegebener Berechtigungsantrag musste separat für jedes System von verschiedenen Systemadministratoren umgesetzt werden. Dieser Prozess dauerte lange, war fehleranfällig und führte zu unproduktiven Zeiten.

Lösung:
Das zentralisierte und standardisierte Berechtigungsmanagement ORG war die ideale Lösung für ein großes Versicherungsunternehmen. Zugriffs- und Benutzerrechte werden nun automatisch an die einzelnen Business-Anwendungen provisioniert. In einer zentralen Datenbank hat man jederzeit den Überblick über vergangene, aktuelle und zukünftige Berechtigungen und das unternehmensweit über alle technischen Plattformen hinweg. Änderungen an Berechtigungen aus organisatorisachen Gründen, Zu- oder Abgängen, etc. werden per Knopfdruck durchgeführt/provisioniert.

Auditoren und Wirtschaftsprüfer freuen sich über die zentralisierten, aktuellen und unternehmensweit gültigen Berechtigungsinformationen. 

Die Berechtigungsprüfung erfolgt sowohl rollenbasiert (RBAC) als auch attributbasiert (ABAC).

Zentrale Administration mit ORG
 
 

 
 

Feingranulares Berechtigungsmanagement / Externalisiertes Berechtigungsmanagement

Ausgangslage:
Das vom Kunden entwickelte Berechtigungsmanagementsystem konnte nicht so erweitert werden, dass feingranulares Berechtigungsmanagement möglich gewesen wäre. Die von Novell angebotenen Erweiterungen an deren IDM-System wären umfangreich und teuer gewesen.

Lösung:
Novell IDM war als führendes System für Identitäten und Rollenzuweisung gesetzt. ORG übernahm ergänzend die feingranulare Berechtigungsprüfung. Novell IDM und ORG wurden über die SPML Schnittstelle verbunden. Die Anwendungsentwicklung des Kunden nutzt ORG nun als externalisiertes Berechtigungsmanagement, welches auch feingranulare Berechtigungsdefinitionen und Abfragen ermöglicht.

Dies vereinfacht die Anwendungsentwicklung und garantiert ein einheitliches Berechtigungsmodell für alle Geschäftsanwendungen.

Feingranulares Berechtigungsmanagement

Whitepaper: Der Weg zum rollenbasierten Berechtigungsmodell

Wie senken Vorstände und Geschäftsführer ihr Haftungsrisiko beträchtlich? Erst wer transparente Prozesse hat und weiß wer was zu welcher Zeit darf, ist auf der sicheren Seite. Rollenbasiertes Berechtigungsmanagement ist ein zentraler Sicherheitsfaktor.

Um „Compliant” zu sein, bedarf es organisatorischer und darauf angepasster IT-Maßnahmen. Rollen ergeben sich aus einer gründlichen Prüfung der Geschäftsprozesse und -erfordernisse und können daher sehr präzise auf die jeweiligen Nutzer bzw. Nutzergruppen zugeschnitten werden. Durch ein Rollenkonzept und ein zentrales revisionssicheres Berechtigungsverwaltungssystem können der Verwaltungsaufwand und unproduktive Zeiten signifikant gesenkt werden. Das Einsparungspotenzial ist umso höher, je heterogener die IT-Anwendungslandschaft ist.

 
 

Projektphasen

Es hat sich ein vierstufiges Vorgehen bewährt:
Zunächst erfolgt eine detaillierte Ist-Aufnahme (Phase 1), in deren Rahmen die Besonderheiten hinsichtlich der organisatorischen Voraussetzungen und der eingesetzten IT-Systeme erfasst werden. Danach (Phase 2) wird auf Basis dieser Informationen das Soll-Konzept für die künftige Vergabe und Verwaltung von Berechtigungen erstellt. Darauf aufbauend wird geklärt, in welchen Schritten die Realisierungsphase (Phase 3) durchgeführt werden soll. Bereits während der Implementierung kann mit den Überlegungen begonnen werden, welche Auditing-Maßnahmen (Phase 4) eingesetzt werden, um die dauerhafte Einhaltung und Verbesserung des Konzepts zu gewährleisten. Es kann auch notwendig werden, operative Arbeitsprozesse an die in den Berechtigungsprofilen festgelegten Rechte anzupassen.

1. Basisinformationen erfassen

Basis für die Implementierung eines unternehmensweiten rollenbasierten Berechtigungsmodells ist eine detaillierte Ist-Aufnahme. Hierbei wird geklärt, welche Sicherheitsrichtlinien im Unternehmen vorliegen, wie die aktuellen Administrationsprozesse aussehen, welche Anwendungssysteme berücksichtigt werden sollen und wie in diesen bisher Berechtigungen vergeben werden. Außerdem ist es in dieser Phase entscheidend, Transparenz für sämtliche  Besonderheiten zu schaffen.

2. Soll-Konzept "Administration"

Ein unternehmensweites Soll-Konzept ist entscheidend für die erfolgreiche Umsetzung eines einheitlichen rollenbasierten Berechtigungsmodells in möglichst vielen Systemen. Darin werden — basierend auf den Sicherheitsrichtlinien des Unternehmens — die Administrationsrichtlinien festgelegt.

Es werden unter anderem Fragen wie „Erfolgt künftig eine zentrale oder dezentrale Administration?” (Prozesse und Beteiligte) und „Soll die  Rechtevergabe stellen- oder tätigkeitsorientiert erfolgen?” und „Berücksichtigen wir systemspezifische Besonderheiten oder kann eine Standardisierung erfolgen?”  geklärt. Je mehr Details geklärt werden, desto weniger Überraschungen ergeben sich in Nachfolgeprojekten, wenn weitere Anwendungssysteme eingebunden werden sollen. Aus dem Sollkonzept ergeben sich Kriterien für ein möglicherweise benötigtes zentrales, rollenbasiertes und revisionssicheres Berechtigungsmanagementsystem.

3. Soll-Konzept detaillieren und implementieren

Wie in den ersten Projektphasen hängt auch der Erfolg der Implementierung von der Einbeziehung der Beteiligten ab: Die Administratoren und Anwendungsverantwortlichen kennen die Besonderheiten der einzelnen Systeme. Die Betriebsorganisation sowie die Fachabteilungen überblicken die Arbeitsabläufe und die dazu notwendigen Anwendungen und Kompetenzen. Die Security-Abteilung muss die Einhaltung der Sicherheitsrichtlinien und des Soll-Konzepts überwachen. Die Implementierung erfolgt in vier Schritten:

  1. Rollenmodellierung: Design der fachlichen Berechtigungsprofile,
  2. Rechtekonzeption: Abstimmung der Berechtigungsprofile,
  3. Qualitätssicherung der Berechtigungsprofile,
  4. Umsetzung der Berechtigungsprofile in den einzelnen Systemen und Anpassung der Antrags- und Administrationsprozesse.

Mit Ausnahme von Schritt 1 können die weiteren Schritte systemweise und unabhängig voneinander durchgeführt werden. Die Rollenmodellierung kann sowohl abteilungsintern als auch abteilungs­übergreifend erfolgen. Ein mögliches Ergebnis kann z. B. folgendermaßen aussehen:
Das Berechtigungsprofil „Sachbearbeiter mit Freigabe” erhält die Rolle Vertragsauskunft, Vertragsänderung und Freigabe von Zahlungen bis zur im System hinterlegten Höhe.

Sollkonzept

4. Auditing-Maßnahmen

Nach Modellierung und Implementierung müssen regelmäßige Auditing-Maßnahmen eingeführt werden. Dies im Sinne des Investitionsschutzes und der kontinuierlichen Minimierung des Haftungsrisikos. Die Erfahrung zeigt, dass es bei der rollenbasierten Berechtigungsmodellierung nicht ausreicht, ein allgemeines Konzept zu erstellen und umzusetzen. Der Erfolg eines rollenbasierten Berechtigungsmodells hängt entscheidend davon ab, wie es im Vorfeld gelingt, die verschiedenen Einflussfaktoren in einem Soll-Konzept zu berücksichtigen und somit einen allgemein gültigen Standard für das Unternehmen zu setzen, die Besonderheiten der individuellen Systeme abzubilden und die Administrationsprozesse zu überprüfen.

Metamodell Projektablaufplan
 
 

Beispiel: Berechtigungsprofil: "Sachbearbeiter mit Freigabe" erhält die Rollen Vertragsauskunft, Vertragsänderung und Freigabe von Zahlungen bis zur im System hinterlegten Höhe

Beispiel
 
 
 

Praxisbeispiel zu rollenbasierter Rechtekonzeption

Zentrales, rollenbasiertes und revisionssicheres Berechtigungsmanagement

Ein großes Finanzdienstleistungsunternehmen hatte unterschiedliche historisch gewachsene Anwendungssysteme auf verschiedenen Plattformen im Einsatz.

Der Administrationsprozess sah vor, dass die Beantragung von EDV-Berechtigungen zwar über eine zentrale Organisationseinheit, die eigentliche Administration jedoch dezentral bei den einzelnen Systemadministratoren erfolgte. Aufgrund von Abhängigkeiten zwischen einzelnen Systemen kam es immer wieder zu Verzögerungen bei der Bereitstellung von EDV-Berechtigungen. Außerdem war die systemübergreifende Transparenz hinsichtlich sämtlicher Berechtigungen eines Benutzers nur mit sehr großem Aufwand zu erreichen.

Ziel war es, eine zentrale und einheitliche Datenbasis für sämtliche EDV-Berechtigungen zu schaffen, in der neben den aktuellen auch die historisierten Rechte auf Knopfdruck abrufbar sind. Außerdem sollte für den Antrag von Standardberechtigungen nur noch eine Freigabe des Antrags durch den Administrator erfolgen. Die Zuweisung der Berechtigungen in den einzelnen Systemen sollte ein speziell hierfür eingeführtes Berechtigungsmanagement-System automatisieren.

Zukünftig sollte es einen zweigeteilten Administrationsprozess geben:
Zunächst sollten Berechtigungsprofile grundlegend gestaltet werden (Anlegen, Ändern, Löschen). Danach sollte die automatisierte Vergabe der
Standardberechtigungen an einzelne Benutzer (die Profilzuweisung) erfolgen. Aus diesen Vorgaben ergaben sich dann die unternehmensspezifischen
Anforderungen an das Soll-Konzept zur künftigen Berechtigungsmodellierung und -administration.

Administrationsprozess und Rollenkonzept
Durch die Zweiteilung des Administrationsprozesses werden zu sätzliche Anforderungen an die Administratoren gestellt:
Ihre Aufgabe ist es nun, die Neuanlage und Änderungen von Profilen mit den Fachabteilungen und Anwendungsverantwortlichen abzustimmen und im Berechtigungsmodell zu hinterlegen. Wie sieht dieses Berechtigungsmodell aus? Um die Antragsstellung für die Fachabteilung möglichst einfach zu gestalten, orientieren sich die Berechtigungsprofile an den fachlichen Stellen (wie Abteilungsleiter, Administrator oder Sachbearbeiter). Jeder Mitarbeiter erhält also eine Stelle, die mit den notwendigen Rechten ausgestattet ist.

Die Modellierung dieser Stellen wird entscheidend durch die vorhandenen Entitäten der zentralen Berechtigungssoftware geprägt. In unserem Beispiel stehen Entitäten wie Aufgaben, Rollen und Rollengruppen zur Verfügung.

Diese ermöglichen — in Abhängigkeit der einzelnen Anwendungssysteme — die abteilungsinterne Strukturierung der Rechte. Zur Vereinfachung des Profildesigns werden Rollen definiert, die sich an Arbeitsvorgängen orientieren und somit jeweils von allen Mitarbeitern, einem Teil oder einigen wenigen erfüllt werden.

„Ein besonderer Vorteil von ORG ist die Kombination von rollen- und richtlinienbasierter Zugriffssteuerung in einer Lösung.”

Martin Kuppinger, KuppingerCole Analysts

Kuppinger Cole Report: Executive View

Berechtigungsvergabeprozess am Beispiel einer Neueinstellung

Kundenprojekte

  • Alle Berechtigungen zentral verwalten: Kopplung von Interflex und ORG.

    Alle Berechtigungen zentral verwalten: Kopplung von Interflex und ORG.

    Ziel des Projekts war die Ver­bindung der Interflex-Zutrittskontrolle mit dem Identitätsmanagement ORG. Gleich­zeitig sollten die Zutritts­berech­ti­gungen in die konzernweite Rollen­kon­zeption integriert werden. Interflex und ORG wurden auf eine gemeinsame Benutzer- und Adminis­trations­basis gestellt. Dies wurde durch die Abbildung von Interflex-Zutrittsberechtigungen auf ORG-Rollen möglich.

Online-Präsentation unserer Produkte

Gerne zeigen wir Ihnen unsere Produkte per Web-Session.

Füllen Sie einfach das Formular aus, um mit uns einen Termin zu vereinbaren.
Unsere erfahrenen Berater kontaktieren Sie umgehend.

 

Durch das Abschicken dieses Formulars stimme ich zu, dass die FSP GmbH meine Daten, wie in den FSP Datenschutzbestimmungen beschrieben, verarbeiten darf.

 

News

  • 20.10.2016  Vielen Dank für Ihren Besuch auf der it-sa

    Vielen Dank für Ihren Besuch auf der it-sa

    Wir danken Ihnen sehr herzlich für die vielfältigen Diskussionen an unserem Messe-Stand und im Rahmen unseres IAM-Kongresses.

  • 02.09.2016  Congress@it-sa: IAM für sichere digitale Geschäftsprozesse

    Congress@it-sa: IAM für sichere digitale Geschäftsprozesse

    Der it-sa Begleitkongress „IAM für sichere digitale Geschäftsprozesse“ am 19.10.2016 bietet Ihnen Praxisberichte, der Generali Gruppe zu Web Access Management, der Deutschen Post AG zur Digitalen Identifizierung, des Schweizer Marktführers Nevis zum Thema Intelligente Authentisierung und der FSP zum Thema regelbasiertes Autorisieren.