IAM Begriffe, Bausteine und Funktionen

Identity & Access Management, Identity Governance and Administration, Identity & Access Governance, Identity Governance, Identity Management, Access Management, User Provisioning, IAM Workflow, User Self Services...

Wer sich nicht ständig mit dem Thema Identity & Access Management (IAM) und den aktuellen Begriffen und Funktionen befasst, hat es nicht leicht zu verstehen, was sich dahinter verbirgt. Erschwerend kommt noch hinzu, dass es keine allgemeingültige Definition für IAM gibt. Analysten wie Gartner, Forrester oder KuppingerCole haben ihre eigene Sicht auf IAM und erfinden immer wieder neue Überschriften und Begriffe, um Produktfunktionalitäten zu gruppieren, zu bewerten und sie danach in ihren Quadranten, Analysen, Reports und Marktstudien unterzubringen. Auch die Marketingabteilungen der IAM Produkthersteller kreieren ständig neue wohlklingende Begriffe für ihre Produkte und Module, um Interesse und Aufmerksamkeit beim Kunden zu wecken und sich so von ihren Mitbewerbern abzuheben. Systemintegratoren und IAM Berater wiederum müssen zum einen die gebräuchlichen und beim Kunden bekannten Begriffe der Analysten und Hersteller verwenden, versuchen aber auch eigene, verständliche Begriffe zu benutzen, in denen sich Kunden mit ihren Anforderungen wiederfinden und die auch vom Kunden verstanden werden.

Letztendlich gibt es aber bei vielen Begriffen kein richtig oder falsch, es kommt immer darauf an, woher sie kommen und in welchem Zusammenhang oder von wem sie verwendet werden. Aus unserer Erfahrung ist es daher am wichtigsten, dass sich alle Projektbeteiligten, bevor man ein IAM Projekt beginnt, zuerst auf ein gemeinsames Verständnis einigen. So gehen Sie sicher, nicht aneinander vorbei zu reden.

Nachfolgend finden Sie die wichtigsten IAM Begriffe, Bausteine und Funktionen mit der aus unserer Sicht gebräuchlichsten Erklärung. Im Erklärungstext fett markierte Begriffe werden jeweils noch separat erläutert. Wir beginnen mit den Überbegriffen Identity & Access Management (IAM), Identity Governance and Administration (IGA) und Identity Governance (IG), die anschließend folgenden Begriffe finden Sie in alphabetischer Reihenfolge.

Identity & Access Management (IAM) 

Identity & Access Management ist aus unserer Sicht immer noch der am häufigsten verwendete Überbegriff für einen der elementaren Bausteine der IT Security, vereinfacht formuliert geht es bei IAM um die Sicherheit im Bereich von Benutzern und deren IT-Zugriffrechten. IAM setzt sich zusammen aus dem Identity Management (IDM) und dem Access Management (AM).

Identity Management (IDM)

Der Teil des Identity Managements (IDM) betrachtet alle digitalen Identitäten (Benutzer) eines Unternehmens und ihre Zugriffrechte und stellt sicher, dass alle Arten von Benutzern (Mitarbeiter, Kunden, Lieferanten, Leiharbeiter, externe Mitarbeiter etc.), die auf Ressourcen (Anwendungen, Dokumente, Daten, Webshops etc.) zugreifen, zum richtigen Zeitpunkt auch nur genau die Zugriffe (auch bekannt als Least Privilege Prinzip) bekommen, die sie für ihre Arbeit oder zum Erlangen von Information benötigen. Dabei muss das IDM auch dafür sorgen, dass dies über den kompletten User LifeCycle eines Benutzers hinweg gewährleistet ist.

Die funktionellen Bausteine des Identity Managements sind das User LifeCycle Management, User Provisioning / Deprovisioning, Role Based Access Control (RBAC), Workflow und User Self Services.

Access Management (AM)

Beim Access Management geht es darum, es den genannten Benutzergruppen zu ermöglichen, über Portale wie Intranet oder Extranet (Web Access Management) oder Single Sign On (SSO) auf die Ressourcen des Unternehmens zuzugreifen. Dabei darf es keine Rolle spielen, über welche Endgeräte (PC, Tablet, Handy etc.) die Benutzer zugreifen, das Erlebnis für den Benutzer sollte immer dasselbe sein. Des Weiteren stellt das Access Management sicher, dass nur autorisierte Personen Zugriff haben, über entsprechende Verfahren der Multi-Faktor Authentifizierung (Fingerprint, Augenscan oder Pin/Tan etc.) kann überprüft werden, ob eine Person auch diejenige ist, die sie vorgibt zu sein.

Alternativ zu Identity & Access Management findet noch der von Gartner kreierte Ausdruck Identity Governance and Administration (IGA) Verwendung, allerdings stellen wir zur Zeit immer wieder fest, dass er vor allem bei Kunden noch nicht sehr gebräuchlich ist.

Identity Governance and Administration (IGA)

Gartner entschied sich im Jahr 2013 dafür, ihre Magic Quadranten für User Provisioning und Identity & Access Governance zu einem Quadranten zusammenzuführen, dafür schufen Sie den Überbegriff Identity Governance and Administration (IGA). Bei Gartner scheint man sich aber selbst nicht ganz einig zu sein, welches denn nun der bessere Überbegriff für diesen Bereich ist, der Quadrant nennt sich jetzt zwar Magic Quadrant for Identity Governance and Administration, die jährliche Gartner Veranstaltung zum Thema trägt aber weiterhin den Titel Identity & Access Management Summit.

Bei Forrester bezeichnet man den Bereich übrigens immer noch mit Identity and Access Management und bei KuppingerCole mit Identity & Access Management / Governance.

Identity Governance (IG)

In Ergänzung zu Identity & Access Management (IAM) geht es bei Identity Governance (IG) um die strukturierte und regelmäßige Überprüfung der Berechtigungsstände aller Benutzer bzw. Benutzergruppen, um die Einhaltung von Vorschriften und gesetzlichen Regelungen sicherzustellen. Dabei wird der ermittelte Ist-Zustand der Berechtigungen aus den zu prüfenden Systemen ausgelesen, verständlich aufbereitet und den jeweils verantwortlichen Personen wie beispielsweise den Fachvorgesetzten oder Anwendungsverantwortlichen vorgelegt. Diese überprüfen die Berechtigungen für ihre Mitarbeiter und gleichen sie mit den Vorgaben ab. Werden dabei Abweichungen festgestellt, müssen die nicht mehr erforderlichen Berechtigungen entzogen werden. Identity Governance Produkte oder integrierte Identity Management Systeme können durch entsprechend implementierte Mechanismen für die notwendige Korrektur sorgen. Dieser Prozess wird als Rezertifizierung von Benutzerberechtigungen bezeichnet.

Alternativ zu Identity Governance werden auch die Bezeichnungen Identity & Access Governance (IAG) oder Access Governance verwendet, die Bedeutung ist dieselbe.

Ab hier folgende Begriffe finden Sie in alphabetischer Reihenfolge.

Audit

Audits im Bereich des Identity & Access Management dienen dem Nachweis der Datensicherheit und der Einhaltung gesetzlichen Vorgaben und Regularien. Bei einem Audit werden die Ist-Zustände in Systemen und Datenbanken mit dem durch die genannten Regularien definierten Soll-Zustand verglichen. Dabei werden meist stichprobenartig unterschiedliche Benutzertypen untersucht und deren Berechtigungsstände überprüft, dabei gilt es Fragen wie „welche Zugriffe hatte Benutzer A am Tag B und wer hat dies genehmigt“ zu beantworten.

Durchgeführt von Wirtschaftsprüfern, Aufsichtsbehörden oder Revision können negative Audits gravierende Auswirkungen auf Unternehmen haben und zur Herabstufung des Ranking oder sogar zum Verlust von Geschäftsbeziehungen führen.

Compliance 

Compliance hat zunächst einmal nicht nur mit IAM zu tun, sondern ist für alle IT Bereiche eines Unternehmens gleichermaßen wichtig. Innerhalb des Identity & Access Managements bedeutet Compliance die Einhaltung aller gesetzlicher Vorgaben und Regularien im Bereich von Benutzern und deren IT-Zugriffrechten.

Die Einhaltung der Compliance kann durch regelmäßige Audits überprüft werden, dabei werden die Ist-Zustände in den Systemen und Datenbanken mit dem Soll Zustand, der durch die gesetzlichen Vorgaben und Regularien definiert ist, verglichen. Entspricht der Ist-Zustand dem Soll, ist die Compliance erfüllt.

Customer Identity & Access Management (CIAM)

Online-Shop Kunden können sich über ihre Accounts bei sozialen Netzwerken wie Facebook, Google+ oder Twitter anmelden, was die Registrierung und Authentifizierung gravierend vereinfacht. Über die Verwaltung der Kundenidentitäten hinaus geht es bei CIAM aber auch um die die Zusammenführung von Kundeninformationen über Systeme wie IAM, CRM und Web-Anwendungen zu besseren Sicht auf den Kunden.

Federated Identity Management (FIM)

Als Federated Identity Management bezeichnet man die Verwaltung von Benutzern und deren Zugriffberechtigungen über Unternehmensgrenzen hinweg, so dass Nutzer dieselben Identitätsdaten über ein oder mehrere Unternehmen verwenden können.

Identity & Access Governance  (IAG)

Siehe Identity Governance. Alternativ zu Identity & Access Governance werden auch die Bezeichnungen Identity Governance oder Access Governance verwendet, die Bedeutung ist dieselbe. Identity Governance ist davon der zur Zeit der am häufigsten verwendete Begriff.

Multi-Faktor Authentifizierung (MFA)

In jüngster Zeit bekannt gewordene Sicherheitsvorfälle und zunehmendes „Social Engineering“ lassen immer mehr Zweifel an der alleinigen Sicherheit von Passwörtern aufkommen. Die Multi-Faktor Authentifizierung bzw. meist Zwei-Faktor-Authentifizierung gewährleistet, dass eine Person auch diejenige ist, die sie vorgibt zu sein. Eine Kombination der Faktoren Wissen (Passwort oder PIN), Haben (Smartcard oder Token) und Sein (biometrische Merkmale durch Fingerabdruck oder Augenscan) erhöht die Sicherheit der Benutzerkonten und schützt Unternehmensnetzwerke zuverlässig.

Privileged Account Management (PAM)

Lösungen für Privileged Account Management (PAM) oder auch Privileged Identity Management (PIM) verwalten, überwachen und schützen die privilegierten Accounts von Administratoren oder Superusern. Durch die  Zunahme und die Tragweite von Sicherheitsverstößen infolge des Missbrauch durch privilegierte Benutzer sowie ständig steigender Compliance-Anforderungen ist PAM für Unternehmen unverzichtbar geworden. 

Der große Vorteil von PAM Lösungen ist dabei, dass Administratoren und Superuser ihre Passwörter nicht mehr kennen und so auch nicht weitergeben können. Eine durchgängige Protokollierung aller Aktivitäten privilegierter Benutzer macht transparent, wer Zugang zu vertraulichen Informationen hat, was er mit diesen Informationen macht und erfüllt Audit- und Revisionsanforderungen zuverlässig.

Role Based Access Control (RBAC)

Die rollenbasierte Zugriffskontrolle ist ein Verfahren zur Vergabe von Berechtigungen und Steuerung der Zugriffe auf die Ressourcen (Anwendungen, Dokumente, Daten, Webshops etc.) eines Unternehmens. Das RBAC-Modell wurde bereits 1992 entwickelt und sieht die Berechtigungsvergabe anhand von Benutzerrollen vor. Diese Benutzer- oder Businessrollen wiederum bestehen aus Gruppen in denen Einzelberechtigungen gebündelt werden. Kriterien für die Bildung der Gruppen können funktionale Eigenschaften wie Tätigkeit, Abteilungszugehörigkeit oder Projektmitgliedschaft und hierarchische Attribute wie Position im Unternehmen oder Standort sein.

Der Vorteil von RBAC liegt darin, Berechtigungen nicht mehr einzeln vergeben zu müssen und  dadurch die Vergabe übersichtlicher und weniger fehleranfällig zu gestalten. Gleichzeitig erhöht sich die Nachvollziehbarkeit gravierend was auch die Überschneidung kritischer Berechtigung (SoD - Segregation of Duties) verhindert und die Einhaltung der Compliance gewährleistet.

Als Herz eines Identity Management Systems bringt RBAC den größten Nutzen, allerdings liegt gleichzeitig auch die größte Herausforderung eines IAM Projekts darin, das Rollenmodell zu erarbeiten. Bei der Rollenmodellierung sollte auf jeden Fall das Pareto Prinzip beachtet werden, ca. 80% der Berechtigungen automatisiert über Rollen zu vergeben ist für viele Unternehmen ein erreichbares Ziel, alles darüber hinaus kann jedoch zu einem erheblich höheren Aufwand bei der Erarbeitung der Rollen führen, hier gilt es Aufwand und Nutzen kritisch gegenüber zu stellen.

Single Sign On (SSO)

SSO ermöglicht es dem Benutzer nach einer einmaligen Anmeldung auf alle Anwendungen und Systeme zuzugreifen. Die aktuellen Herausforderungen für SSO-Lösungen sind die Integration von mobilen Endgeräten, von Social Media und Anwendungen aus der Cloud.

User LifeCycle Management

Beim User LifeCycle Management geht es darum, einen Benutzer über seinen kompletten Lebenszyklus im Unternehmen zu verwalten und dabei stets auch alle relevanten Informationen mitzuführen, die Auswirkungen auf die Vergabe (Provisionierung) und den Entzug (Deprovisionierung) von Berechtigungen haben. Benutzer können dabei nicht nur die Mitarbeiter eines Unternehmens sein, sondern auch Kunden, Lieferanten, Leiharbeiter oder externe Mitarbeiter.

User Provisioning / Deprovisioning

User Provisioning / Deprovisioning ist ein funktionaler Baustein des Identity Managements (IDM) und steht für die automatisierte rollenbasierte und nachweisliche Vergabe von Berechtigungen über zahlreiche Anwendungen und Systeme. Somit kann das Onboarding eines neuen Mitarbeiters transparent, nachvollziehbar, zeitgerecht und unter der Berücksichtigung der Compliance erfolgen. Das Deprovisioning sorgt dafür, dass beispielsweise nach einem Projekt, bei einem Abteilungswechsel oder Austritt (Offboarding) die entsprechenden Berechtigungen wieder entzogen werden. 

User Self Services

Beantragung von Berechtigungen, Zurücksetzen von Passwörtern, Entsperren von Accounts. Wie der Name User Self Services schon verrät, können Benutzer sich über Webformulare oder ein Art Webshop selbst helfen, wenn es um ihre Accounts, Berechtigungen, Zugriffe und Passwörter geht. Diese Services sind für den Benutzer rund um die Uhr verfügbar, beschleunigen die Durchlaufzeiten und entlasten gleichzeitig den Helpdesk.

Workflow

In Ergänzung zum User Provisioning bieten Workflows die Möglichkeit das Identity Management um die Interaktion mit den Benutzern zu erweitern. Aus dem Provisionierungsprozess heraus kann beispielsweise ein Genehmigungsworkflow für eine Berechtigung oder eine Rolle ausgelöst werden. Über ein Webformular hat der Vorgesetzte die Möglichkeit, die Berechtigung oder Rolle zu genehmigen oder abzulehnen. Vertretungsregelungen sorgen bei Abwesenheit für eine Delegation des Workflows, sollte der Workflow über einen definierten Zeitraum nicht bearbeitet werden, kann die Genehmigung beispielsweise an den nächsthöheren Vorgesetzten eskaliert werden.

Eine weitere Anwendungsmöglichkeit der Workflows ist ein Antragsverfahren, mit dem ein Benutzer selbst eine Berechtigung oder Rolle beantragen kann, was wiederum einen Genehmigungsworkflow auslösen kann, siehe User Self Services.