Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
21.11.2016

Effizient und effektiv zugleich

Auf die Konzeption und Umsetzung des Identity-Management-Portals kommt es an; von Hadi Stiel *)

Hadi Stiel

Zur Vergrößerung anklicken

Andreas Martin

Identity and Access Management (IAM)-Module werden von den Anbietern als verlässliches Instrumentarium für eine hieb- und stichfeste Zugriffskontrolle auf Daten, Anwendungen und Systeme des Unternehmens vermarktet. Die Grundproblematik dieser Modulsets: Sie sind über die vielen Jahre ihrer Entwicklung viel zu komplex und unhandlich geworden. Das rächt sich für Unternehmen in hohen Integrations-, Installations-, Betriebs- und Weiterentwicklungskosten, außerdem in einer unmotivierten sowie unsachgemäßen Bedienung und Verwaltung, was wiederum die Zugriffskontrolle unterhöhlt.

Andreas Martin, Vorstand und CEO des Consulting-Unternehmens FirstAttribute AG, sagt: "Dies alles muss nicht sein." Eine intelligent und zeitgemäß konzipierte und umgesetzte Identity-Management- und Zugriffskontrolllösung räume mit all diesen Nachteilen auf. ComputerPartner hat nachgehakt.

Was zeichnet eine solche Lösung intelligenter und zeitgemäßer Machart aus?

Andreas Martin: Sie spart bewusst wenig nutzbringende Funktionen sowie komplizierte Konnektoren und Workflow-Prozesse mit fehleranfälligen Synchronisationen aus. Sie ist konsequent als Identity-Management (IdM)-Portal mit integriertem Berechtigungs-Management ausgerichtet, in dem ein Benutzer-Self-Service eine zentrale Rolle spielt. Und sie überzeugt in Design und Sprache mit einer einfachen Bedieneroberfläche, in der technische Details für die Benutzer im Hintergrund bleiben und die Benutzer nur das zu sehen bekommen, was sie sehen sollen.

Das hört sich gut an. Aber wie können beispielsweise Unternehmen sicher sein, dass das IdM-Portal ihrer Wahl Funktionen ohne Mehrwert für die Benutzer von vornherein ausspart?

Martin: Wir haben dazu beim IdM-Portal von FirstAttribute konsequent vorgearbeitet. In vielen Workshops mit Kunden, Software-Entwicklern und Beratern haben wir kritisch hinterfragt, was die Benutzer tatsächlich brauchen und welche Funktionen für das Unternehmen gewinnbringend eingesetzt werden können. Alle anderen Funktionen haben wir bereinigt oder erst gar nicht entwickelt. Auf diese Weise haben wir die Komplexität bereits auf funktioneller Ebene reduziert.

Der Einsatz komplizierter Konnektoren und von Workflow-Prozessen erscheint mir innerhalb eines IAM-Systems als unausweichlich. Sie sagen aber, auch darauf könne in den meisten Fällen verzichtet werden. Wie ist das möglich?

Martin: Indem innerhalb des IdM-Portals der Wahl Active Directory als zentraler  Verzeichnisdienst zum Einsatz kommt, die Benutzerverwaltung von Active Directory genutzt wird und ein sogenannter Power Shell-Service in Aktion tritt. Über Active Directory als zentralem Verzeichnisdienst kann auf jedes AD-Objekt zugegriffen werden. Dadurch ist die Verwaltung nicht nur auf Identitäten und ihre Berechtigungen begrenzt, sondern sie bezieht auch andere Objekte wie Clients und Drucker ein. Nicht Microsoft-Objekte können über Power Shell Extensions ins Active Directory-Verzeichnis integriert werden. Viele der Hersteller dieser Systeme bieten solche Power Shell Extensions mit an.

Mit der Benutzerverwaltung von Active Directory können die Berechtigungen einfach und sicher mittels Rollen verwaltet werden. Das eröffnet unter anderem eine rollenbasierende Delegation von Verwaltungsaufgaben, die im Vergleich zu Genehmigungs-Workflows mit komplizierter Synchronisation erheblich einfacher und zudem fehlerfrei bewerkstelligt werden kann. Der Power Shell-Service übersetzt die Aktionen und Sprache der Oberfläche in die Strukturen, Logik und Formate der beteiligten Zielsysteme. Dadurch erspart er den Einsatz komplexer Konnektoren mit fehlerträchtigen Synchronisationen. Auch für die rollenbasierende Delegation von Verwaltungsaufgaben ist der Power Shell-Service im Hintergrund die ausführende Instanz.

Können Sie genauer auf die Funktionsweise des Power Shell-Services eingehen?

Martin: Der Power Shell Service bedient sich als ausführendes Organ Skripts, die sich wiederum Vorlagen, hinterlegt in einer Vorlagen-Datenbank, bedienen. Der Hauptvorteil dieser Skripts besteht darin, dass sie einfach angepasst werden können. Selbst komplexe Aktionen wie die Verwaltung von Mailboxen, Home Shares und anderen spezifischen Aufgaben sind darüber leicht umsetzbar und ebenso einfach beispielsweise an normale Benutzer delegierbar. Das Zusammenspiel von anpassbaren Skripts und Vorlagen garantiert außerdem eine hohe Datenqualität, insbesondere dann, wenn die Vorlagen an Gruppen von Benutzern wie Abteilungen oder Teams ausgerichtet werden. Unter dieser Voraussetzung ordnet der Power Shell-Service automatisch den einzelnen Vorlagen die dazugehörigen Berechtigungen und sonstigen Rollen zu.

Um diesen Hintergrundmechanismus für eine sichere Zugriffskontrolle anzustoßen, müssen die Benutzer lediglich ihren vollen Namen und ihre Organisationseinheit eingeben. Natürlich erleichtert die Skript-/Vorlage-Kombination im Zusammenspiel mit dem Power Shell-Service auch den IT-Administratoren die Arbeit. Sie können Regeln und Standards zur Identitäts- und Berechtigungsverwaltung ohne großen Aufwand und für alle Zielgruppen verbindlich vorgeben.

Sie haben eine konsequente Ausrichtung als IdM-Portal herausgehoben, in dem ein Benutzer-Self-Service eine zentrale Rolle spielt. Ist das nicht auch bei den klassischen und über die Zeit gewachsenen IAM-Suiten der aktuelle Stand der Technik?

Martin: Nein. Auf den ersten Blick verfügen sie zwar alle über ein Self-Service-Portal. Diese Portale sind aber nur eingeschränkt Self-Service-tauglich, weil sie nachträglich aufgesetzt wurden. Dies äußert sich für die Unternehmen darin, dass Änderungen durch die Benutzer oft erst nach Stunden in den Zielsystemen, angebunden über Konnektoren, synchronisiert werden. Anders, wenn direkt der Power Shell-Service in Aktion tritt. Dann werden die Änderungen ad hoc in die betroffenen Zielsysteme geschrieben. Die Änderungen sind damit sofort aktiv. Diese schnelle Umsetzung motiviert natürlich auch die Mitarbeiter, das Self-Service-Portal engagiert zu nutzen.

Womit wir beim Thema "einfache und eingängliche Bedieneroberfläche" wären. Inwieweit muss dazu der Hersteller des IdM-Portals vorgearbeitet haben?

Martin: Die konsequente Reduzierung der technischen Komplexität kommt auch einer gut ersichtlichen Bedieneroberfläche zugute. Es bleibt mehr Raum für eine in Design und Sprache zeitgemäße Oberfläche, die die Benutzer organisations- und aufgabennah abholt. Mit Active Directory kommt hinzu, dass die Strukturen des zentralen Verzeichnisdienstes für die Benutzer und Administratoren ohnehin im Hintergrund bleiben. Zudem kann über die rollenbasierende Verwaltung und Delegation gesteuert werden, dass die Benutzer auf der Bedieneroberfläche nur das zu sehen bekommen, was sie zur Erfüllung ihrer Aufgaben brauchen. Die technische Umsetzung der Verwaltungs- und Delegationsaktivitäten ist in der darunterliegenden Active Directory-Schnittstelle implementiert. Sie können somit nicht aus der Oberfläche heraus beeinflusst oder manipuliert werden. Für das Unternehmen ist dies ein zusätzliches Sicherheitsfeature. 

Inwieweit zahlt sich ein IdM-Portal mit integriertem Berechtigungs-Management dieser Machart für Unternehmen aus?

Martin: Wir haben für unsere Offerte "FirstWare IdM-Portal" nachgerechnet. Unternehmen können mit dieser Lösung ihre Lizenzkosten im Vergleich zu klassischen IAM-Suiten um mindestens 50% reduzieren. Die Gesamtkosten des FirstWare IdM-Portals machen in der Regel weniger als ein Drittel der IAM-Boliden aus. Die geringere Komplexität der Gesamtlösung zahlt sich auch hinsichtlich der Implementation aus. Das IdM-Portal kann in nur wenigen Tagen im Unternehmen eingeführt werden.

Danke für das Gespräch.

*) Das Interview führte Hadi Stiel, freier Journalist und Kommunikationsberater in Bad Camberg.
 +