Ein zentrales IAM - Datenmodell und Funktionen

Ein zentrales IAM - Datenmodell und Funktionen

6. Juni 2020 - Identity Access Management (IAM) wird zentral. Das Datenmodell und die notwendigen funktionalen Bausteine eines IAM, in dem Mitarbeiter elektronisch kommunizieren und Leistungen via Webanwendungen beziehen müssen, ist jedoch nicht trivial.
Von Margarita Kousseva
Artikel erschienen in IT Magazine 2020/06
Die elektronische Identität (E-Identität) ist die Abbildung einer Person in der digitalen Welt. Dadurch kann mit Ämtern und Unternehmen kommuniziert oder es können am Arbeitsplatz bestimmte Anwendungen bedient und Daten­ eingesehen werden. Ein Identity ­Access Management System verwaltet einerseits die E-Identitäten und anderseits deren Zugriffe auf Anwendungen und Daten. Ein zentrales IAM ist notwendig in einer komplizierten Verwaltungsstruktur, in der gesetzlich vorgegeben ist, dass Entscheide und Tätigkeiten der Mitarbeiter, der Partner-Organisationen und der Kunden in den IT-Systemen dokumentiert und nachvollziehbar sein müssen.

Begriffe und Kernelemente eines IAM

IAM gehört zum Bereich IT-Sicherheit und deckt das gesamte Spektrum der technischen und organisatorischen Massnahmen ab, die sicherstellen, dass Benutzern die richtigen Zugriffsrechte auf IT-Ressourcen gewährt werden. Das Ziel wird durch das Principle-of-Least-Privilege am besten beschrieben – Benutzern von IT- Ressourcen nur die Berechtigungen zu geben, die sie brauchen, um ihre Arbeit zu erledigen.

Zugriff kontrollieren und IAM definieren stellen die IAM-Kernprozesse dar. Subjekt und Ressource sind Realweltobjekte, die ihre Ziele mit Hilfe der IAM-Kernprozesse erreichen. Das Ziel des Subjekts ist der Zugriff auf die gewünschte Ressource. Das Ziel der Ressource ist, sich vor unberechtigten Zugriffen auf Informationen und Services zu schützen.

Damit der kontrollierte Ressourcenzugriff auch in der digitalen Welt funktioniert, werden den Objekten der Realwelt digitale Abbildungen, sogenannte Informationselemente, zugeordnet: Subjekt – E-Identity, Ressource – E-Ressource. Im Informationselement Berechtigung werden Regeln festgelegt, die bestimmen, welche E-Identity unter welchen Bedingungen auf welche E-Ressource zugreifen darf.
Zur Definitionszeit werden E-Identitäten und E-Ressourcen erfasst. Die Berechtigungen werden den E-Identitäten zugewiesen. In Laufzeit wird der Zugriff auf die Ressourcen durch Authentifizierung und Autorisierung kontrolliert. Bei der Authentifizierung wird anhand von Credentials geprüft, ob die entsprechende E-Identität im IAM bekannt ist. Ein Benutzer authentisiert sich gegenüber IAM gemäss der E-Government-Standards von eCH. Authentifizieren wird hingegen aus Sicht des IAM benutzt – IAM authentifiziert den Benutzer.

Nachher wird der Benutzer autorisiert – das IAM prüft, ob die E-Identität für den Zugriff auf die Ressource über die notwendigen Berechtigungen verfügt. Der Prozess IAM steuern bezieht sich auf die Einhaltung von zum Teil zwingenden legalen Vorgaben.

In diesem Artikel sind die Subjekte natürliche Personen, die Ressourcen – Webanwendungen und die Berechtigungen – werden durch Anwendungsrollen modelliert. Daher werden Benutzer als Synonym für Subjekt verwendet und Anwendung als Synonym für Ressource.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
SPONSOREN & PARTNER