Vergabe und Kontrolle von IT-Berechtigungen

Die von FSP entwickelte Identity Governance & Administration Suite ORG unterstützt Prozesse für die angemessene regel- und rollenbasierte IT-Berechtigungsvergabe und die regelmäßige Rezertifizierung von Berechtigungen, so wie sie z.B. die aktuelle MaRisk AT 7.2, MaRisk AT 4.3.1, COBIT DS 5.3, BDSG § 9, BSI Grundschutz und andere fordern. Dies wird im folgenden anhand des IGA-Lifecycles erläutert.

Identity Governance & Administration (IGA)

Erfahren Sie, wie der IGA-Lifecycle funktioniert und wie er von ORG – der IGA-Suite von FSP – unterstützt wird.


 
 

Erläuterung IGA Lifecycle

Beantragung (Request)

Die Beantragung (Request) von neuen, zu ändernden und zu entziehenden Benutzerrechten wird häufig von einem HR-System angestoßen. Alternativ kann die Beantragung über den ORG-Process-Manager erfolgen - in einem konfigurierbaren Rahmen auch als Self-Service. Bereits im Unternehmen genutzte Workflow-Systeme können für den Beantragungsprozess via Schnittstellen angebunden und verwendet werden.

Prüfung / Freigabe

Im Rahmen des Beantragungsprozesses wird sichergestellt, dass Verantwortliche beantragte Berechtigungen prüfen und freigeben können. 

Der ORG-Process-Manager organisiert die vollständigen Beantragungs-, Prüfungs- und Freigabeprozesse.

Administration

Nach abgeschlossenem Freigabeprozess, werden die beantragten Rechte in das zentrale Rechtesystem ORG automatisiert eingepflegt. In der ORG Administrationsdatenbank liegen die attribut- und rollenbasierten Rechteinformationen, die im nächsten Schritt provisioniert, sprich verteilt werden.

Rechtezuweisung (Provisioning)

Provisioning ist die automatisierte Verteilung von Benutzerkonteninformationen und Berechtigungen in alle Zielsysteme, egal auf welcher technischen Plattform sie laufen.

Je nach Zielumgebung werden entweder feingranulare attributbasierte Berechtigungsinformationen oder, bei rollenbasierten Zielspeichern, Benutzer- und Rolleninformationen via Konnektortechnologie transferiert.

Audit / Report

Regelmäßiges Auditing sämtlicher Berechtigungsspeicher des Unternehmens (ORG, RACF, LDAP, SAP, Individualsysteme, ...) ermöglicht es, operative Risiken im Zusammenhang mit Benutzerberechtigungen zu ermitteln.
Zur Erstellung der Reports werden Business Intelligence Prinzipien angewendet. Kontrollreports werden an Verantwortliche geschickt, um z.B. Accounts, Berechtigungsregeln und personenbezogene Berechtigungen verifizieren zu können.

Complianceprüfung / Verification

Die Auditergebnisse werden durch Verantwortliche hinsichtlich Aktualität, unternehmensinterner Regeln, gesetzlicher Vorgaben und anderer Compliance-Anforderungen verifiziert.  
Nach der Prüfung ergeben sich ggf. Änderungsanträge, also Requests.

Funktionsübersicht

Revisionssicherer und regelbasierter Beantragungs- und Genehmigungsworkflow (MaRisk AT 7.2)

  • Wer hat was und wann für wen beantragt (Neu / Änderung)
  • Wer hat genehmigt
  • Wer darf was genehmigen
  • Ablehnungen begründbar
  • Zeitliche Befristung von Rechten
  • Wieder“belebung“ eines abgelaufenen oder gelöschten Rechtes
  • E-Mails bzw. Tickets an Berechtigungsadministratoren mit Rückmeldungsnotwendigkeit
  • Rollenbasierte Berechtigungsvergabe (RBAC)
  • Regelbasierte / Richtlinienbasierte Berechtigungsvergabe (ABAC)
  • Bearbeitungsstatus Rückmeldung


Flexible Administration bei

  • Stellenwechsel (automatischer Verlust der bisherigen Rechte, Gewinn der neuen Rechte)
  • Abteilungswechsel (automatischer Verlust der bisherigen Rechte, Gewinn der neuen Rechte)
  • Austritt (automatischer Verlust aller Rechte)
  • Eintritt (Rechte können zum Eintrittsdatum automatisch scharf geschaltet werden)
  • Berechtigungsregeländerungen
  • Korrektur von zeitlichen Befristungen


Schrittweise Automatisierung durch Anwendungsanbindung (Provisioning)

  • Start mit E-Mail oder Ticketversand an Administratoren mit Rückmeldungszwang
  • Verschiedene rollenbasierte Zielsysteme (AD, RACF, SAP, Exchange, Sharepoint, LDAP) technisch anbinden
  • Verschiedene regel-/richtlinienbasierte Zielsysteme (in der Regel Eigenentwicklungen) technisch anbinden
  • HR-System als Inputgeber technisch anbinden
  • Cloud-Provider / Externer SaaS Dienstleister anbinden


Flexible Auswertungen

  • z.B. welche Mitarbeiter haben Rolle X
  • z.B. Zeitreisemöglichkeiten, wie Vergleich von Berechtigungen über Zeiträume hinweg
  • z.B. welche Detailrechte verbergen sich hinter User X
  • z.B. nach User-ID, Stelle, Kostenstelle, Zeitpunkt, ...


Regelmäßige Kontrolle der Berechtigungen / Rezertifizierung (MaRisk AT 4.3.1)

  • Rezertifizierung auch für Fachabteilungen verständlich
  • Rezertifizierungsreports für Applikationsadministratoren
  • Rezertifizierungsreports für Auditoren / Wirtschaftsprüfer
  • Rollenkonflikt-Definition (Segregation of Duties)


IT- und Betriebsanforderungen

  • Einsatz auf relationalen Datenbanken wie z.B. Oracle, DB2, SQL-Server
  • Einsetzbar als Externalisiertes Access Management, z.b. für Eigenentwicklungen
  • Wartung durch Hersteller
  • Ausfallsicherheit durch Trennung von Administrations- von Produktionsumgebung


Übergreifende Anforderungen

  • Revisionssicherheit durch Historisierung sämtlicher Administrationsvorgänge (Neu, Änderung, Löschung)
  • Abteilungsinformation / Stelleninformation / Rolleninformationen
  • Abbildung feingranularer, regelbasierter Berechtigungen (ABAC / Externalised Access Management)
  • Mandantenfähigkeit
  • Compliance: Einheitliches Rechtemodell/-regelwerk für gesamtes Unternehmen nutzbar

News

  • 20.10.2016  Vielen Dank für Ihren Besuch auf der it-sa

    Vielen Dank für Ihren Besuch auf der it-sa

    Wir danken Ihnen sehr herzlich für die vielfältigen Diskussionen an unserem Messe-Stand und im Rahmen unseres IAM-Kongresses.

  • 02.09.2016  Congress@it-sa: IAM für sichere digitale Geschäftsprozesse

    Congress@it-sa: IAM für sichere digitale Geschäftsprozesse

    Der it-sa Begleitkongress „IAM für sichere digitale Geschäftsprozesse“ am 19.10.2016 bietet Ihnen Praxisberichte, der Generali Gruppe zu Web Access Management, der Deutschen Post AG zur Digitalen Identifizierung, des Schweizer Marktführers Nevis zum Thema Intelligente Authentisierung und der FSP zum Thema regelbasiertes Autorisieren.