Zugriffsrechte im Griff mit Rollenmanagement

Die Verwaltung von Benutzerberechtigungen wird durch Rollen vereinfacht und die Effizienz gesteigert. Gleichzeitig unterstützen Rollen auch das Risikomanagement.

Artikel erschienen in Swiss IT Magazine 2008/18

     

Rollenmanagement gehört zu den Top-Trends in der Identitäts- und Benutzerverwaltung. Gemäss aktuellen Marktdaten von Analysten stehen Investi­tionen in diesem Bereich an dritter Stelle. Das Konzept des Rollenmanagements kann unter anderem helfen, eines der häufigsten Probleme in den Betrieben von heute zu lösen: die Verwaltung der Zugriffsrechte. In vielen Unternehmen und Organisationen sind die Zugriffsrechte aus dem Augenblick heraus verteilt worden. In der Folge besteht häufig keine Kontrolle, welcher Mitarbeiter welche Rechte hat und ob diese überhaupt benötigt werden. Wenn ein Mitarbeiter aber zu viele Rechte hat, stellt das ein Risiko für die Organisation dar. Genau hier kommt das Rollen­management ins Spiel.

Ad-hoc-Berechtigungen

Nehmen wir als Beispiel die BusinessCorp, eine Firma mit 20 Geschäftsapplikationen. Tritt ein neuer Mitarbeiter in die Firma ein, erhält er in jedem Fall einen Windows-Account (Active Directory) sowie eine Mailbox. Ein Administrator macht die Zuweisung aufgrund eines Mails der Personalabteilung. Berechtigungen auf weitere Systeme erhält der Mitarbeiter durch einen Systemadministrator der jeweiligen Applikation, üblicherweise indem die Berechtigungen eines «ähnlichen» Mitarbeiters manuell kopiert werden (sog. «Templating»). Langjährige Mitarbeiter haben oftmals Zugriffsrechte in allen Applikationen akkumuliert. Rechte werden kaum oder gar nicht weggenommen. Wenn ein Mitarbeiter die Firma verlässt, bleiben die Accounts in den meisten Systemen erhalten, oft sogar aktiv.



Diese Situation führt zu mindestens zwei Problemen: der Verletzung des «least privilege»-Prinzips (LP), das verlangt, dass ein Benutzer nur die tatsächlich benötigten Berechtigungen hat. Meist wird auch das «segregation of duties»-Prinzip (SoD) verletzt, das heisst Mitarbeiter haben Berechtigungskombina­tionen, welche ein Risiko für die Firma darstellen. Da die Applikationsberechtigungen der Benutzer im wesentlichen nur für die Admi­nistratoren sichtbar sind, kann niemand aus dem Geschäftsbereich realisieren, dass Vorschriften verletzt werden oder erhebliche Risiken vorhanden sind. Überprüfungen von Benutzerberechtigungen werden in verschiedenen Vorschriften gefordert (SOX, Basel II, EuroSOX...). Immer mehr Firmen kommen aber auch ohne regulativen Zwang zum Schluss, dass die Kontrolle der Benutzerrechte ein wichtiger Kernprozess im Umgang mit Risiken ist.


Konsistenz durch Rollen

Rollen übernehmen zwei wichtige Aufgaben: Bündelung und Standardisierung. Eine Rolle fasst üblicherweise Berechtigungen für mehrere Zielsysteme zusammen, welche für die Erfüllung einer Aufgabe notwendig sind. Eine Rolle beinhaltet also zum Beispiel zwei Gruppen im Active Directory, eine Gruppe im LDAP-Verzeichnis sowie einige Werte in einer Datenbanktabelle. Wenn nun diese Rolle in einem «rollen-fähigen» Identity-Managementsystem einem Mitarbeiter zugewiesen wird, erhält der Mitarbeiter dadurch die in der Rolle definierten Berechtigungen im entsprechenden Zielsystem und kann so die damit verbundenen Funktionen nutzen.



Damit muss derjenige, der die Rolle zuweist oder eine Überprüfung durchführt, nicht mehr die einzelnen Berechtigungsattribute und Zielsysteme verstehen. Die Konsistenz und Zuverlässigkeit sowohl bei der Rollenvergabe wie auch beim Rollenentzug wird damit sichergestellt. Berechtigungen können mit Hilfe von Rollen nun auch durch Nicht-Informatiker oder den Helpdesk vergeben werden, da jetzt nicht mehr detaillierte Kenntnisse der Zielsysteme notwendig sind. Als Nebeneffekt ergibt sich auch eine Standardisierung der verschiedenen Berechtigungsprofile, da es wenig Sinn macht jedem Benutzer in der Firma eine individuelle Rolle masszuschneidern. Rollen haben üblicherweise auch einen Verantwortlichen (Owner), welcher zuständig für den Inhalt der Rolle und die Zuordnung an Benutzer ist.




Damit ergibt sich ein natürlicher Anknüpfungspunkt für Verwaltungsaufgaben wie auch für Reviews und Audits. Und dank dem (hoffentlich) aussagekräftigen Rollennamen ist der Zweck der Rolle schnell erkennbar, insbesondere auch für einen Auditor. Rollen können auch einfacher automatisiert zugeordnet werden als alle möglichen einzelnen Attribute, zum Beispiel über die Organisationszugehörigkeit oder aufgrund anderer Attribute des Benutzers. Speziell dieser Aspekt trägt dazu bei, dass die Benutzer dank Rollen jederzeit automatisch genau diejenigen Berechtigungen haben, welche für ihre Position und Funktion in der Firma notwendig und korrekt sind.


Role-Mining und Role-Engineering

Beim Role-Mining geht es um das Finden von Rollen. Üblicherweise wird dabei eine Kombination von Top-Down- und Bottom-Up-
Approach gewählt. Mit Hilfe des Top-Down-Ansatzes werden Benutzer und Benutzergruppen aufgrund von Job-Titel, Geschäftseinheit, Lokation oder anderen Gemeinsamkeiten analysiert, um auf diesem Weg Kandidatenrollen zu finden. Bottom-Up bezeichnet die Identifikation von Benutzergruppen aufgrund der aktuellen Berechtigungen in den Zielsystemen, was auch zu Kandidatenrollen führt.

Die gefundenen Rollen müssen dann analysiert, verfeinert und allenfalls kombiniert werden, um diejenigen Rollen zu finden, welche aus Benutzer- und Verwaltungssicht Sinn machen. Dieser Prozess wird als Role-Engineering bezeichnet. Dabei darf nicht die Sicht der Informatiker im Vordergrund stehen, sondern die Sicht derjenigen Personen-«Owner», welche die Rollen zuordnen, verwalten und verantworten. Dabei wird unterschieden zwischen technischen Rollen und Geschäftsrollen. Technische Rollen bilden die einzelnen angebundenen Zielsysteme mit den Applikationsrechten ab. Geschäftsrollen fassen mehrere technische Rollen zusammen und werden Benutzern zugeordnet. Eine technische Rolle kann somit in mehreren Geschäftsrollen verwendet werden. Über eine Identity-Managementlösung werden die durch das Role-Engineering definierten Rollen auf die Zielsysteme provisioniert und de-provisioniert.


Projektfaktoren

Wichtig bei jedem Rollenmanagementprojekt ist, dass die sogenannten «Owner» von Anfang an in das Projekt einbezogen werden. Da diese Personen üblicherweise in der Business-Abteilung der Firma und nicht in der Informatik sitzen, muss ein solches Projekt Unterstützung seitens des Top-Managements erhalten, um erfolgreich umgesetzt zu werden.


Ein oft geäusserter Vorbehalt gegenüber einem Rollenmanagementprojekt ist die Komplexität und die Menge der zu berücksichtigenden Faktoren und die allenfalls daraus resultierende grosse Zahl an Rollen. Dank heute verfügbarer Werkzeuge ist ein solches Projekt erfolgreich durchführ- sowie verwaltbar. Um die Erfolgschancen des Projektes zu steigern, wird ein iteratives Vorgehen gewählt. Dabei wird eine Auswahl der wichtigsten Zielsysteme und Organisationen/Benutzergruppen für die erste Iteration des Projektes bestimmt. Damit können ein Überblick bewahrt und frühzeitig Resultate erarbeitet werden. Wiederum dank Tool-Unterstützung können schrittweise weitere Applikationen oder Benutzergruppen in das Rollenmanagement einbezogen werden.


Fazit

Sind Rollen eingeführt, können auch präventive Mechanismen («preventative controls») umgesetzt werden, um zum Beispiel SoD-Verletzungen bereits bei der Vergabe der Rechte zu verhindern. Rollen können damit sowohl vorbeugend wie auch für Reviews eingesetzt werden, um sicherzustellen, dass die im Unternehmen geltenden Richtlinien bezüglich Applikationsrechten eingehalten werden. Durch die Einführung von Rollen wird somit die Erfüllung von Compliance-Anforderungen effektiv unterstützt. Und durch die nun mögliche Automatisierung und Delegation von Verwaltungsaufgaben werden zudem generell Effizienzgewinne in der Verwaltung der Benutzerberechtigungen realisiert.


Der Autor

Peter Gassmann realisiert Projekte mit den Identity- und Rollen-Management Produkten von Sun Microsystems. http://www.sun.com/identity, peter.gassmann@sun.com




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER