Workforce IAM - Die Evolution, die eine Revolution ist: Die (R)evolution des Workforce IAM

Workforce IAM – Die Evolution, die eine Revolution ist: Die (R)evolution des Workforce IAM

Die Einführung eines (Workforce) Identity & Access Management (IAM) ist für Unternehmen heute nicht mehr bloß eine Option, sondern eine unverzichtbare Notwendigkeit. In einer digitalen Welt, in der Cyberbedrohungen ständig zunehmen und Datenschutzvorschriften immer strenger werden, ist ein robustes IAM-System der Schlüssel zur Sicherheit und Effizienz. Hinzu kommt, dass immer mehr Unternehmen Ihren Mitarbeitern die Möglichkeiten einräumen, mobil oder im Homeoffice zu arbeiten – hierunter darf jedoch weder die Produktivität der Mitarbeiter leiden noch der Zugang zu wichtigen Ressourcen eingeschränkt sein. Unternehmen stehen daher vor der Herausforderung, den Zugang zu sensiblen Daten und Systemen zu kontrollieren, während sie gleichzeitig den Zugriff auf Ressourcen sicherstellen und die Produktivität und Benutzerfreundlichkeit ihrer digitalen Arbeitsumgebung verbessern müssen. Ein IAM bietet hier die Lösung, indem es Identitätsverwaltung und Zugriffskontrolle intelligent und effektiv vereint.
In diesem zweiten Teil unserer Blogserie „Workforce IAM – die Evolution, die eine Revolution ist“ gehen wir zunächst auf das Thema der Benutzerprovisionierung ein und differenzieren zwischen den traditionellen und den modernen Ansätzen. Wir erklären Ihnen den Zusammenhang zu einem modernen IAM und geben Ihnen eine Schritt-für-Schritt Anleitung zur Einführung eines modernen IAMs. Abschließend nennen wir Ihnen einige der grundlegenden Punkte, die bei der Auswahl eines modernen IAMs beachtet werden sollten.

Benutzerprovisionierung – traditionelle Ansätze vs. moderne

Was heißt eigentlich Benutzerprovisionierung?

Im Grunde geht es darum, dass ein Benutzer in allen Systemen bekannt gemacht wird, die dieser verwendet. Etwas weiter gefasst kann man auch sagen, dass eine Person, die eingestellt wird, in einem System angelegt wird und dieses System, die Person als Benutzer verwaltet und dann die Verteilung in die weiteren Systeme veranlasst.
Workforce IAM - Die Evolution, die eine Revolution ist: Die (R)evolution des Workforce IAM

Wann benötigt man eine Benutzerprovisionierung?

  • Falls ein System alle Benutzer haben muss, damit dieses korrekt arbeiten kann. Das sind in der Regel Systeme, die für das Management von Personen oder Aufgaben verwendet werden, wie bspw. Personalabrechnung, Projektmanagement.
  • Falls ein System eine dedizierte Zuordnung von Berechtigungen zu einem Benutzer im Voraus benötigt, bspw. Die Zuweisung einer Nutzungslizenz, wie bspw. Eine Kollaborationsplattform.

In vielen Systemen benötigt man jedoch keine Benutzerprovisionierung, wenn die Benutzerinformationen bei der Autorisierung (oder Anmeldung) mitgeliefert werden. Der Benutzer wird dann in dem System verknüpft, falls notwendig.

Die Herausforderungen bei der Benutzerprovisionierung

Benutzer und ggf. deren Berechtigungen in anderen Systemen bereitzustellen ist ein Schnittstellenproblem

  • Das Quellsystem (QS) benötigt Schnittstellen.
  • Jedes Zielsystem (ZS) benötigt Schnittstellen zum Abrufen, Bearbeiten und Löschen von Benutzern und Berechtigungen.
  • Dann muss jeweils eine Abbildung der Schnittstelle des Quellsystems und des Zielsystems erfolgen. Dabei ist zu beachten, dass sich die Schnittstellen des Zielsystems von Version zu Version ändern können.
  • Abhängig von den zur Verfügung stehenden Schnittstellen, werden
    1. Dateischnittstellen verwendet,
    2. proprietäre Schnittstellen verwendet oder
    3. proprietary interfaces are used, or
    4. Daten direkt in der Datenbasis des Zielsystems angepasst (in der Regel eine Datenbank)

Herkömmliche Benutzerprovisionierungsansätze

Dazu sind zunächst die noch eingesetzten Tools zu betrachten und eine Begriffserklärung hilft sicher auch denn oftmals wird der Begriff Identity & Access Management (IAM) etwas vieldeutig verwendet.

Ein IAM sollte einen Identity Provider (IDP) implementieren und alle Methoden für das Access Management bereithalten, um die Benutzerauthentifizierung durchzuführen.

Manche Hersteller betiteln ihr Produkt ebenfalls als IAM, dabei sorgen sie im Wesentlichen für die Benutzerprovisionierung an verschiedene Systeme, ggf. auch die verschiedenen IDPs, und Analysemöglichkeiten. Andere Produkte bieten mehr oder weniger alle Funktionen.

Blickt man auf die zuvor dargestellten Herausforderungen wird schnell klar, dass Systeme, die proklamieren alle möglichen Systeme dieser Welt anbinden zu können, entweder sehr generisch sind und viel Customizing benötigen oder einen unglaublich hohen Aufwand betreiben müssten, um ihre Schnittstellen aktuell zu halten.

Dazu folgende Formel, die die Komplexität für ein allgemeinverwendbares Benutzerprovisionierungs-Werkzeug veranschaulicht:

QS: Quellsystem

If: Schnittstelle

n: n.System

ZS: Zielsystem

V: Versionen

If(QS) *No(QS V) *  If(ZS 1) * V(ZS 1) *  If(ZS 2) * V(ZS 2) * … *  If(ZS n) * No(ZS1 n) 

Tatsächlich versuchen Hersteller einen Mittelweg zu finden, damit viele Systeme einfach provisioniert werden können und bieten dafür Konnektoren an. Dies suggeriert, dass Integrationen einfach möglich sind, tatsächlich sind sie in der Praxis durch die oben dargestellte Kombinatorik (Enumeration) eben doch nicht so einfach.

In der Regel ist die Benutzerprovisionierung in Unternehmen eine Herausforderung, dessen Umsetzung meist viel Aufwand verursacht. Das liegt nicht zuletzt daran, dass Systeme nicht dem Standard der Technik entsprechen, und zwar auf Seiten der Zielsysteme aber auch auf des oder der IAMs.

Moderne Benutzerprovisionierung

Ein fortschrittliches IAM verfügt über geeignete Schnittstellen, die eine Benutzerprovisionierung auslösen auf Basis von Ereignissen, z.B. wenn ein Benutzer eine neue Berechtigung erhält. Damit lassen sich automatische Abläufe auslösen, die dann die Provisionierung durchführen. Dazu können diese Abläufe ihrerseits über die APIs des IAMs Informationen abrufen bzw. aktualisieren.

Auch wenn Unternehmen eine Vielzahl von Softwarelösungen haben, stellt sich die Frage, wie viele der Systeme wirklich mit Benutzerinformationen zu provisionieren sind oder ob nicht idealerweise die Informationen in den tokens ausreichen.

Die Abläufe der Benutzerprovisionierung sind meist nicht besonders komplex, unabhängig davon, können diese entweder mit einfachen Skriptsprachen implementiert werden oder man könnte eine Low-Code/No-Code Plattform (iPaas) verwenden.

Die Vorteile

  • Weniger provisionieren.
  • In Echtzeit provisionieren.
  • Möglichkeit zur Implementierung verschiedener Abläufe, abhängig ausgewählter Berechtigungen.
  • Insgesamt ein geringerer Aufwand für die Implementierung und Betreuung der Benutzerprovisionierung.

Authentifizierung und Berechtigungsmanagement neu gedacht

Authentifizierung für mehr Sicherheit und Zugangssteuerung

Passwortlose Authentifizierungsverfahren sind längst Standard, bietet ein IAM jedoch nicht wenigstens 10 verschiedene Verfahren an, wird es schwierig eine Multi-Faktor Authentifizierung und Step-up-Authentifizierungen vernünftig durchzuführen. Den Zugang zu einer Applikation sollte ein IAM kontrollieren, indem es die entsprechenden Entitlements nach erfolgter Authentifizierung prüft. Umso wichtiger ist es, dass ein IAM alle Applikationen kennt und nicht unternehmensintern eine Applikation nur eine Information oder ein proprietäres Objekt darstellt.

Berechtigungssteuerung

Berechtigungsmanagement ist mehr als die Zuordnung oder Wegnahme von Entitlements eines Nutzers, denn insbesondere die Analyse, der effektiven Nutzung von Applikationen und Berechtigungen vereinfachen Prozesse, wie die Rezertifizierung und erlauben auch eine Policy basierte Zugangskontrolle.

Während der Rezertifizierungsprozess die Kontrolle und ggf. Wegnahme von Berechtigungen adressiert wird ein Prozess für die Bestellung von Rollen/Berechtigungen oft implementiert, womit Benutzer für sich oder Kollegen Berechtigungen anfordern können.

Dazu kann man mindestens zwei Berechtigungsanfragen differenzieren:

  • Zugriff auf eine Funktion: diese ist oft gepaart mit den entsprechenden Rollen, mit denen man die Funktion in einem Anwendungssystem ausführen kann. Generell gibt es mehrere Implementierungen dazu in der Praxis:
    1. Das IAM prüft, ob ein Zugriff auf die Applikation möglich ist mit den gegebenen Berechtigungen und die Applikation selbst verwendet diese Berechtigungen für die weitere Benutzungssteuerung – Bsp: ERP-System
    2. Das IAM prüft, ob ein Zugriff auf die Applikation möglich ist mit den gegebenen Berechtigungen und die Applikation steuert und verwaltet, unabhängig die Berechtigungen in der Applikation – Bsp: Collaboration Plattformen
  • Zugriff auf ein Objekt: diese Form der Zugriffssteuerung ist durchaus sinnvoll, allerdings ist dafür erforderlich, dass diese Objekt-Ressourcen im IAM bekannt sind und das IAM den Zugriff darauf auch kontrollieren kann. Denkt man an Dateiverzeichnisse der alten Generation war das, durch die Kenntnis mit genau einem bekannten IAM möglich. Moderne Datei- oder Verzeichnisfreigaben heute durch Services in der Cloud, die dazu die Informationen des Benutzer-Tokens verwenden, das dazu die Berechtigungen und Benutzerinformationen verwendet, was dem Punkt 2 in „Zugriff auf eine Funktion“ entspricht.

Mit einem fortschrittlichen IAM:

  • Sollten Bestellprozesse flexibel implementiert werden können, weil
    1. Applikationsdefinitionen und die definierten Berechtigungen per API abgerufen werden können,
    2. Benutzern per API entsprechende Berechtigungen zugeordnet bzw. entzogen werden können.
  • Sollten Änderungen beim Benutzer in entsprechenden Audit-Logs unbegrenzt nachvollzogen werden können.
  • Werden „nur“ relevante Benutzer- und Benutzerberechtigungen an die Applikation übermittelt.
  • Sollten erweiterte Zugangsprüfungen durch erneute Authentifizierung – Step-Up möglich sein, um eine Berechtigung zu bestätigen.
  • Lassen sich die effektive Nutzung von Berechtigungen durch einen Nutzer verfolgen, der Abgleich von zugewiesenen Berechtigungen zu den genutzten Berechtigungen auf der einen Seite und einer allenfalls gewünschten Verifikation einer Aufgabentrennung (Segregation of duties) ist damit einfach möglich.
  • Sollten regelmäßige Exporte aller Benutzer in einem Batchverfahren nicht notwendig werden, weil das IAM über jede Änderung bei einem Nutzer informiert und eben nur bei Änderungen. Das hat mehrere Vorteile:
    1. Werden Änderungen zeitnah bekannt,
    2. funktioniert dieser Ansatz auch bei einer großen Benutzerbasis einwandfrei,
    3. ist das Verfahren energetisch viel effizienter, so dass der Weg zur Green IT konsequent verfolgt werden kann.

Der Weg zum neuen Workforce IAM

Der folgende Top-Level Prozess mag trivial ausschauen, tatsächlich aber sollte mit der Ziel-Architektur begonnen werden. Beim Zielbild lassen sich nämlich recht rasch die besten Ergebnisse erzielen, weil viele Eckpunkte im Grunde durch Standards vorgegeben sind und welche weiteren Anforderungen benötigt werden, sich bspw. aufgrund der Sicherheitsvorgaben, ableiten lassen. An der Anforderung einer Multi-Faktor Authentifizierung zweifelt niemand mehr.

Die Erhebung der Ist-Architektur bedarf ggf. einer gründlichen Analyse, jedoch kommt es dabei im Wesentlichen darauf an, dass sich mit diesem Ergebnis verschiedene Bereiche ableiten lassen, die bei der Festlegung des Migrationspfades in eine Iteration fallen können.

Migration eines neuen IAMs – Top Level Prozess

Die Migration sollte, wenn möglich in Schritten durchgeführt werden. Das macht die gesamte Einführung beherrschbar, im Migrationspfad sollte auch unbedingt eine zeitliche Terminplanung skizziert werden, damit der Migrationsfortschritt auch überwacht werden kann. Leider sind Migrationen auch von externen Voraussetzungen oder Ergebnissen abhängig, deshalb sollte der Migrationspfad auch immer alternative Reihenfolgen vorsehen.

Die Migrationsschritte sollten so erfolgen, dass kontinuierlich weitere Applikationen das Ziel- IAM nutzen und demnach die veralteten Lösungen immer weniger Bedeutung haben.

Migration eines neuen IAMs – Schritt für Schritt

Die folgenden Punkte können für die Einführung des Ziel IAM hilfreich sein:

  • Legen Sie fest, dass neue Softwarelösungen nur dann eingeführt werden, wenn Sie den Standards des Ziel IAM entsprechen und vorzugsweise das OIDC/OAuth2 Protokoll oder zumindest SAML2 Protokoll unterstützen.
  • Definieren Sie eine Roadmap, in welcher Reihenfolge Sie das IAM in Ihre existierenden Applikationen integrieren wollen. Beginnen Sie in Bereichen, die aufgrund Ihrer Digitalisierungsstrategie sowieso größeren Änderungen unterworfen sind und planen Sie diese Änderungen mit dem neuen IAM.
  • Wählen Sie ein Ziel IAM, dass als Identity Hub agieren kann und bei dem es möglich ist, ihren alten IDP zu integrieren, so dass die Mehrzahl der Nutzer bereits das Ziel IAM nutzen kann

Fazit

Durch die Einführung eines IAM können Unternehmen nicht nur ihre digitalen Assets schützen, sondern auch die Compliance mit Datenschutzbestimmungen sicherstellen. Mit einem IAM-System können Unternehmen die Benutzeridentitäten verwalten, den Zugriff auf Ressourcen kontrollieren und gleichzeitig eine nahtlose Benutzererfahrung gewährleisten. Dies ermöglicht nicht nur einen sichereren Betrieb, sondern auch eine erhöhte Agilität in einer sich ständig verändernden Geschäftswelt.

Die Verwendung eines fortschrittlichen IAMs ist dabei unablässig, ansonsten sind neue Applikationen nur schwer zu integrieren. Die IAM-Ziel-Architektur sollte dabei mit höchster Priorität definiert werden.

Bei der Auswahl einer IAM-Lösung sind sicher viele Aspekte wichtig, einige grundlegende Punkte sollen die Entscheidung vereinfachen:

  • Eine IAM-Plattform soll konsequent auf Standards aufbauen, diese Standards sind essenziell für eine einfache, nachhaltige Verwendung, sowie die Akzeptanz im Unternehmen.
  • Die IAM-Plattform soll umfassende, sichere Web-APIs haben und eine ereignisgetriebene Architektur implementieren, damit wird die Integration mit allen Lösungen im Unternehmen und auch für Dritte viel einfacher.
  • Von einem Identity & Access Management darf man aktive Sicherheitsmaßnahmen erwarten, wie eine Betrugserkennung und -verhinderung, sowie Security Dashboards.
  • Ein IAM muss über eine hervorragende UX verfügen, weil die Nutzer das IAM regelmäßig nutzen und die Akzeptanz schnell schwindet, wenn diese nicht gegeben ist.
  • Benutzerprovisionierungen sollten mit Maß und Ziel erfolgen, grundsätzlich gilt:
    • Besser Benutzerinformationen bei der Nutzung mit der Applikation zu teilen, weil diese maximal aktuell sind, sowie die Übermittlung sicher und standardisiert im Rahmen der Authentifizierung erfolgt – also keine Provisionierung durchführen.
    • Ein IAM ist nicht deshalb gut, weil es über die „meisten Konnektoren“ verfügt, zumeist sind nämlich individuelle Anpassungen notwendig oder die Konnektoren sind im Kontext nicht verwendbar und viele Konnektoren braucht man gar nicht, dafür aber welche, die nicht im Repertoire sind.
    • Mit No-Code/Low-Code-Plattformen oder aber Integrationsskripten lässt sich die Provisionierung meist besser und treffsicherer implementieren.
  • Eine Differenzierung zwischen IAM und Identity Governance (Analyse, Rezertifizierung, Modellierung ggf. auch Bestellprozesse) ist der richtige Weg. Über APIs kann zumeist eine einfache Verbindung geschaffen werden. Ein IAM sollte zwar über entsprechende Funktionen verfügen, in der Praxis aber gibt es bspw. für Bestellungen vielleicht schon andere Wege und die Bestellung von Berechtigungen ist nur ein Teilschritt. Auch kann die Modellierung von Rollen und die Definition der erforderlichen Berechtigungen im Rahmen von Prozessanalysen an anderer Stelle erfolgen.
  • Aus mehreren Gründen ist es zu empfehlen eine SaaS-Lösung als Ziel-IAM zu verwenden:
    • Das spart viel Zeit, Aufwand und Kosten bei der Einrichtung sowie insbesondere beim Betrieb.
    • Das Einsatzgebiet des Workforce IAM strahlt längst über die eigenen physischen Lokationen hinaus, wird von Mitarbeitern mobil eingesetzt, auch sind mehr und mehr Applikationen ebenfalls Cloud Lösungen.
    • Fortschrittliche IAM-Plattformen werden stets aktualisiert, auch im laufenden Betrieb, so dass hinsichtlich Sicherheit und Aktualität der Lösung keine Maßnahmen im Unternehmen einzuplanen sind

Zusatzfunktionen runden das Repertoire der IAM-Plattform ab. Mit dem führenden Identity & Access Management von cidaas erhält man ein zukunftssicheres IAM, dass darüber hinaus auch weitere sehr gute Features anbietet wie bspw. ein Consent-Management. Damit können für interne oder externe Mitarbeiter digital Einwilligungen z.B. zu Datenschutzbestimmungen oder Datenverarbeitungszwecken beim Login angefragt werden.

Der cidaas ID validator bietet eine hochsichere und effiziente Online-Identitätsprüfung mit Hilfe von künstlicher Intelligenz und maschinellem Lernen.  Er identifiziert eine Person mit Ausweisdokument und Gesichtsabgleich nach der eIDAS-Verordnung, dank AutoIdent-Verfahren voll automatisiert und ohne Interaktion mit einer weiteren Person. Damit lassen sich neue Mitarbeiter und Partner onboarden, ohne dass diese in die Unternehmenszentrale kommen müssen. Auch kann er verwendet werden, um den Zugang zu hochsicheren Applikationen zu gewähren.

Verpassen Sie nicht unseren ersten Teil der Blogserie „Workforce IAM – die Evolution, die eine Revolution ist“: