Identity- und Access-Management

Wie Benutzerrechte Verwaltungskosten senken

11.07.2012 von Johann Baumeister
Benutzerverwaltung und Access-Management fristen in der IT-Administration häufig ein Schattendasein. Zu Unrecht: Richtig angewandt, senken sie nicht nur die Verwaltungskosten und erhöhen die Sicherheit von Systemen und Daten, sondern tragen auch dazu bei, dass die Compliance-Vorgaben eingehalten werden.
IAM fristet in der IT-Administration häufig zu Unrecht ein Schattendasein.
Foto: HP

Der Aufgabenkomplex der Benutzerverwaltung und deren Rechte in Bezug auf Programme und Daten ist meist nur unzureichend definiert. Oft fehlt schon eine klare Begriffsdefinition. Benutzer- beziehungsweise Access-Management, Zugriffsverwaltung, Single Sign-On, Authentisierung und Autorisierung sind die häufigsten Schlagworte in diesem Kontext. Im Windows-Umfeld wird vieles mit dem Active Directory assoziiert, was allerdings zu kurz greift. Die Nutzer von IBM-Großrechnern wiederum bringen RACF oder den Tivoli Access Manager ins Spiel, während Anwender im Unix/Linux-Umfeld auf LDAP und dessen begleitende Konzepte setzen. Dabei sind die Anforderungen keineswegs neu. Bereits in den 1970er-Jahren stellte IBM mit RACF -Resource Access Control Facility - ein Zugangssystem vor, das den Zugang zu den Rechnerressourcen regelt und bis heute Bestand hat.

Ergebnisse: Anwender sind nach Einführung eines zentralen Identity Managements offenbar sehr zufrieden. Das ergab eine Umfrage von Deron Consulting.

So vielfältig die Aufgabe, so eindeutig die Zielsetzung. Bei all diesen Techniken geht es um nicht weniger als um den Zugang der Anwender zu ihren Daten und Programmen. Richtig umgesetzt verhilft es zu einer einfacheren und somit auch kostengünstigeren Verwaltung. Daneben sorgt mehr Transparenz in Hinblick auf die Benutzer und ihre Rechte implizit für höhere Sicherheit, da klare und übersichtliche Strukturen sicherer sind als chaotische Aggregationen jeglicher Couleur. Worin aber liegt das Einsparpotenzial bei der Verwaltung von Benutzerberechtigungen - und wie müssen Systeme für eine kostengünstigere Verwaltung aussehen?

Das Benutzerobjekt und seine Rechte

Wer die Benutzerstrukturen vereinfachen will, muss sich zunächst mit dem "Objekt Benutzer" und seinen "Rechten" auseinandersetzen. Um den Zugriff auf die Applikation und die durch sie verwalteten Daten zu regeln, werden die Zugriffslogiken oft fest damit verwoben. Der Zugriff auf die strukturierten Daten beispielsweise wird meist durch eigene Benutzerkennungen in der Datenbank realisiert. Die Berechtigungen wiederum sind häufig in den SQL-Kommandos fest codiert. Die gesamte Benutzerverwaltung wird damit zwischen der Datenbank und dem Code der Applikation geteilt. Das ermöglicht eine granulare Rechteverwaltung, erfordert aber auch entsprechende Änderungen an diesen beiden Stellen.

Ganz anders stellt sich die Situation bei unstrukturierten Dokumenten dar, wo die Rechte oft nur auf die Verzeichnisse oder Laufwerksfreigaben gelegt werden. Daneben stehen weiterhin die Applikationen und Systeme, die ihre eigene Rechtverwaltung mitbringen. Das sind der allgemeine Zugang zum Rechner und zum Netz, die Berechtigung für das Mail-System, der Zugang zum Warenwirtschaftsystem, zur Fibu sowie zum Grafikprogramm oder zum Drucker. Diese mehrfache Verwaltung von Benutzern und deren Rechten ist jedoch aufwendig und fehleranfällig.

Mehrfache Verwaltung führt zu hohen Verwaltungskosten

Zentrale Verwaltung: IBM bündelt die Werkzeuge zur Benutzer- und Zugangsverwaltung in Tivoli. Dazu gehören unter anderem der Access Manager, der Compliance Manager und mehrere Varianten des Identity Managers.

Um die Verwaltung zu vereinfachen, bietet der Markt übergreifende Tool-Sets. Diese Werkzeuge klinken sich just an der Stelle ein, an der die Mitarbeiter des Unternehmens - und somit die Nutzer der IT-Infrastruktur - zuerst bekannt gemacht werden. Meist handelt es sich dabei um ein Personalverwaltungssystem wie etwa SAP HR. In diesem wird jeder neue Mitarbeiter einmalig erfasst. Aus seinen Personalstammdaten und seiner Zugehörigkeit zu einer Abteilung und Kostenstelle werden dann alle weiteren IT-Systeme mit den notwendigen Angaben versorgt.

Unterlegt mit Regeln und Genehmigungsprozessen erfolgt somit eine vollautomatisierte Erfassung und Verwaltung der Benutzer. Eine manuelle Zuweisung der Rechte etwa für die Mail- und Druckernutzung oder den Zugriff auf die Unternehmensdateien ist nicht mehr erforderlich. Die Automatisierung der Benutzerverwaltung ist, verglichen mit den entsprechenden manuellen Eingriffen, nicht nur weit schneller, sondern spart auch eine Menge Verwaltungsaufwand und ist zudem sicherer. Ferner sorgen diese Tools für die Löschung nicht mehr benötigter Rechte und Benutzerkennungen in Systemen, auf die der Benutzer ursprünglich Zugriff hatte. Dabei übernehmen die Werkzeuge die vollständig Entfernung oder Deaktivierung der Benutzer und ihrer Rechte.

Single-Sign-on: der Universalschlüssel

Ein weiterer Aspekt betrifft die eigentliche Anmeldung der Benutzer bei den Systemen: Muss sich ein Anwender an jedem System, das er nutzen möchte, separat anmelden, ist das zeitaufwendig und führt nicht selten zu Falscheingaben. Ideal aus Sicht des Anwenders ist, wenn er sich nur einmal anmelden muss. Genau diesen Ansatz verfolgt Single Sign-on (SSO).

Nach einer einmaligen Anmeldung am System findet im Hintergrund die jeweils spezifische Anmeldung an weiteren Applikationen statt. Die Logik des SSO ist nur einmal zu implementieren. Für alle weiteren Benutzer und deren Rechte entfällt damit die Verwaltung, was wiederum den Kostenaufwand für alle nachfolgenden Aufgaben reduziert.

Fazit

Die Verwaltung der Benutzer rückt immer mehr in den Vordergrund. Eine effiziente Verwaltung von Identitäten kann nicht nur die Kosten senken, sondern wird angesichts sich verschärfender Compliance-Forderungen auch immer dringender. Hinzu kommt die weitere Flexibilisierung der Arbeitsleistung.

Zu guter Letzt sprechen auch die zunehmende Integration externer Dienstleister und die Mobilisierung der eigenen Mitarbeiter für eine klare und effiziente Benutzer- und Zugangsverwaltung.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)