Ein zentrales IAM - Datenmodell und Funktionen

Ein zentrales IAM - Datenmodell und Funktionen

Artikel erschienen in IT Magazine 2020/06

Anwendungseigenes IAM

Staatliche Ämter und privatwirtschaftliche Unternehmen verfügen über zahlreiche Anwendungen, von denen jede ihre Benutzer selber verwaltet. Somit können verschiedene Probleme innerhalb einer Organisation entstehen, wie mehrere ­Accounts pro Benutzer, Komplikationen beim Registrierungsprozess, fehlerhafte Zuweisung von Berechtigungen, das ­Löschen oder Deaktivieren von Benutzern, Schwierigkeiten bei der Nachvollziehbarkeit von Benutzeraktivitäten, kein Single Sign On (SSO), Sicherheitslücken oder Unklarheiten bei den Verantwortlichkeiten für den Betrieb, die Sicherheit und die Weiterentwicklung.

Regulatorien und Best-Practice-Datenschutzmassnahmen verlangen die Verantwortung der Benutzer einzugrenzen, wichtige Aktivitäten zu überwachen und nachzuweisen.
In einem zentral betriebenen IAM verhindern Spezialisten und Betreiber Angriffe und Datenlecks und können neue Authentifizierungsverfahren umsetzen. Ein einmaliger Registrierungsprozess und Single Sign On (SSO) verbessern die Benutzererfahrung für alle integrierten Anwendungen.

Anwendungen kommunizieren mit dem zentralen IAM über Standardprotokolle, die einen Token dazu verwenden, um die erforderliche Authentifizierungs- und Autorisierungs-Bestätigung auszutauschen. Der Empfänger des Tokens (die Anwendung) vertraut dem Absender des Tokens (dem IAM), dass die Information im Token korrekt ist. SAML2 und ­OpenID sind Protokolle, die solche Tokens implementieren. Die Voraussetzung ist, dass die Anwendungen Web-fähig sind.

Zentrales IAM – Datenmodell

Das hier beschriebene Datenmodell entspricht den Anforderungen an ein zentrales IAM. Gemäss den Anforderungen haben nicht nur interne Mitarbeiter Zugriff auf die Anwendungen, sondern auch externe Benutzer – das sind entweder Angestellte anderer Organisationen oder ­private Personen.

Wenn eine Person über mehrere Identity Providers (IdPs) authentifiziert wird (z.B. Smartcard, SuisseID), hat sie auch mehrere E-Identitäten im IAM. E-Organisation ist eine Abbildung des Realweltobjekts Organisation, in der die Benutzer gruppiert sind, und als deren Mitarbeiter oder Kunden IT-Services beziehen. Die IAM-eigenen Rollen erlauben dem Benutzer andere Benutzer zu verwalten – das sind IAM-Admin (organisationsübergreifend) und Org-Admin (Benutzerverwaltung innerhalb einer Organisation). Die Ressource Role ist von der Ressource definiert, für SAP könnte eine solche Rolle etwa Account Manager heissen.

Die Ressource Roles werden in Business Roles zusammengefasst. Die Business Roles widerspiegeln Aufgaben, Kompetenzen und Verantwortlichkeiten der jeweiligen Benutzer und sind ressourcenübergreifend. Eine Business Role kann organisationsspezifisch oder -übergreifend sein. Das Berechtigungsprofil ist der Container für Berechtigungen, die Benutzer auf die Ressourcen bekommen:

- Organisations-Profil – für Mitarbeiter einer Organisation, enthält Business Roles, notwendig für Tätigkeiten von Mitarbeitern der Organisation.

- Privates Profil – für Externe und Kunden einer Organisation; enthält Subprofile mit Business Roles. Ein Org-­Admin kann pro Benutzer ausschliesslich ein Subprofil verwalten und sieht keine Berechtigungen erteilt durch andere Organisationen.

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER