search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

IAM: Wie man die Identitäten und Zugänge seiner Nutzer verwaltet

IAM: Wie man die Identitäten und Zugänge seiner Nutzer verwaltet

Von François Poulet

Am 28. Oktober 2024

In Ihrem Unternehmen gibt es immer mehr Anwendungen: SaaS und On-Premise. Die Mitarbeiterbewegungen werden immer häufiger.

Um Ihr Benutzer-Ökosystem zu orchestrieren, die Berechtigungen jedes Einzelnen für die Unternehmenssoftware zu automatisieren und zu verwalten, ist es höchste Zeit, herauszufinden, was eine IAM-Software für Sie tun kann.

Was ist IAM? Definition und Grundprinzipien

IAM (Identity and Access Management) oder GIA (Identitäts- und Zugriffsverwaltung) umfasst alle Maßnahmen, die zur Verwaltung der Berechtigungen von Benutzern ergriffen werden, um ihren Zugriff und ihre Rechte auf Anwendungen zu kontrollieren.

Wenn man IAM in einem einfachen (vereinfachenden? 🙂) Satz zusammenfassen wollte, könnte man sagen, dass IAM der Verwaltung von Benutzern und ihren Berechtigungen entspricht.

Seit mehreren Jahren ist IAM zu einer echten Herausforderung im Zentrum der Unternehmensprozesse geworden, die sogar über die Vorrechte der IT-Abteilung hinausgeht.

ℹ️ Warum ist es so wichtig, die Berechtigungen der Benutzer zu verwalten?

In einem Unternehmen müssen die Mitarbeiter auf Software oder Daten mit bestimmten Berechtigungsregeln zugreifen, um ihre Arbeit zu erledigen.

Bei der Ankunft eines jeden Mitarbeiters besteht ein großer Teil des Onboarding-Prozesses in der Erstellung von 2 Gruppen von Ressourcen:

  • Ressourcen, die zum "common trunk" gehören. Dabei handelt es sich um die grundlegenden Bürowerkzeuge wie Active Directory-Konten, E-Mail (Office 365, GSuite...),
  • Die "fachspezifischen" Ressourcen. Diese Ressourcen entsprechen den spezifischen Werkzeugen des Mitarbeiters oder der Abteilung, der er angehört.

Es ist auch wichtig zu beachten, dass für den gemeinsamen Kern die Einstellungen jeder Ressource spezifisch für die Funktion des Benutzers sind. Beispielsweise muss die Erstellung des Active-Directory-Kontos mit der Einstellung der Sicherheitsgruppen einhergehen, die der Funktion des Benutzers entsprechen.

Nach der Ankunft eines Mitarbeiters ist es ebenso notwendig, die Berechtigungen und Werkzeuge des Benutzers entsprechend seiner Entwicklung im Unternehmen weiterzuentwickeln. Wenn er seine Funktion ändert, wenn er in eine neue Abteilung oder ein neues Team kommt, müssen Sicherheitsrechte entzogen und hinzugefügt werden, die Verteilergruppen, denen er angehört, müssen weiterentwickelt werden, er muss neue Rechte für eine neue Software erhalten und vor allem: Vergessen Sie nicht, ihm die Rechte zu entziehen, die er nicht mehr benötigt.

All diese Vorgänge können manuell durchgeführt werden, indem man bestimmten Prozessen folgt. Es muss auch sichergestellt werden, dass die Prozesse entsprechend den Entwicklungen des IS oder des Umfangs des IS weiterentwickelt werden. Dazu muss man ein Inventar der Konten all dieser Software und aller Arten von Berechtigungen (die manchmal auch als Berechtigungsprofile bezeichnet werden) führen und ein Repository der Berechtigungen jedes Benutzers auf dem neuesten Stand halten, damit man weiß, wer auf was Zugriff hat.

ℹ️ Warum ist es so wichtig, ein solches Repository zu haben?

Weil, wenn jemand das Unternehmen verlässt, seine Zugänge nicht offen bleiben sollen. Das Unternehmen Cisco beispielsweise wurde von einem ehemaligen Mitarbeiter gehackt, der noch Monate nach seinem Weggang Zugriff auf alle seine Tools hatte.

Auch weil Sie im Falle eines Audits zeigen müssen, dass Sie die Zugriffe genau kontrollieren: Lassen Sie keinen Raum für Ungefähres oder Handwerkliches, wenn Sie über Berechtigungen sprechen!

Um eine rigorose Verwaltung zu haben, und da wir von mehreren hundert, tausend Benutzern, Zugängen und Berechtigungsparametern sprechen, ist es notwendig, ein Werkzeug zu verwenden, das die Governance und idealerweise die Automatisierung der Pflege dieser Repositories ermöglicht.

Die vier Schritte bei der Einrichtung eines IAM

Schritt 1: Kenne deine Mitarbeiter.

Es mag überraschend klingen, aber ja, es ist wichtig, ALLE Benutzer aufzulisten. Wer hat die Liste der Nutzer in Ihrem Unternehmen? In Wirklichkeit niemand!

Die Personalabteilung hat einen Teil davon (unbefristete und befristete Mitarbeiter usw.), die Fachabteilungen haben einen anderen Teil (Zeitarbeitskräfte, Auftragnehmer usw.). Es ist daher von grundlegender Bedeutung, eine einheitliche Sicht auf alle diese Benutzer zu haben, um ihre Berechtigungen verwalten zu können.

Schritt 2: Erfassen Sie Ihre Software.

Die Aufgabe mag schwierig sein, aber Sie müssen die gesamte Software, die in Ihrem Unternehmen verwendet wird, auflisten. Ich riskiere, Salz in die Wunde zu streuen, aber Sie müssen wirklich alle Software auflisten, auch die, die nicht von der IT verwaltet/bekannt ist.

Wenn Sie die Sicherheit Ihres Unternehmens bis zum Ende gewährleisten wollen, ist es an dieser Stelle sinnvoll, auch alle Materialien zu notieren, die zur Verfügung gestellt werden, wie z. B. Zugangsausweise, Schlüssel und Computerhardware.

Schritt 3: "Versöhnung" von Benutzern und Software

In der Buchhaltung nennt man dies "lettering": Es besteht darin, die verschiedenen Konten aller Anwendungen den richtigen Benutzern zuzuordnen. Dieser Abgleich ermöglicht es, die Liste der für jeden Benutzer zugänglichen Tools festzulegen.

Wenn dieser Abgleich durchgeführt wird, finden Sie "verwaiste" Konten: Das sind entweder "System"-Konten oder Konten von Benutzern, die nicht oder nicht mehr in Ihrem Repository existieren. Dies sind die berühmten "Geisterkonten". Die Benutzer sind weg, aber die Konten sind noch aktiv.

Unser Rat : Führen Sie diese drei Schritte so oft wie möglich durch, denn das ist es, was die Sicherheit Ihres IS gewährleistet.

Eine IAM-Software kann diese 3 Schritte vereinfachen:

Wenn Sie Ihre IAM-Lösung mit Ihrem HRIS verbinden, erhalten Sie die Liste der Mitarbeiter, dann verbinden Sie die Lösung mit Ihrem Active Directory (oder ähnlichem) und erhalten die vollständige Liste der Konten. Die Lösung führt den Abgleich automatisch durch und weist Sie auf fehlerhafte Benutzer und Konten hin. Das erfordert keinerlei Aufwand Ihrerseits und Sie haben alle Informationen, die Sie benötigen, innerhalb weniger Minuten!

Das Schöne an einer IAM-Lösung ist, dass sie, sobald sie eingerichtet ist, diese Aktionen fast in Echtzeit durchführen kann.

Schritt 4: Verwalten Sie die Zugriffsrechte.

Der letzte Schritt besteht darin, die Zugriffsrechte Ihrer Nutzer zu verwalten. Sie haben nämlich gerade gesagt, wer welche Software nutzen darf, aber jetzt müssen Sie noch festlegen, was sie mit dieser Software tun dürfen.

Achtung: Der häufigste Fehler ist, allen das Administratorrecht zu geben. Wenn Sie jedem volle Befugnisse geben, können Sie auch gleich sagen, dass Sie keine Politik für die Rechteverwaltung haben!

Wenn Sie Administratorrechte vergeben, sollten Sie sich gut überlegen, welche Verantwortlichkeiten die Person hat, die diese Rechte erhält. Achten Sie besonders auf diese Zugänge, denn wenn sie gehackt werden, ist der Schaden natürlich katastrophal.

Einige IAM-Systeme ermöglichen es, bestimmte sensible Zugriffsrechte zu überwachen, um bei Änderungen informiert zu werden (z. B. ein Benutzer, der zum Administrator einer Ressource ernannt wird).

Macht man die Verwaltung der Konten seiner Benutzer selbst oder wählt man eine externe Lösung?

Nachdem Sie die vier Schritte gelesen haben, mit denen Sie Ihre Identitäts- und Zugriffsverwaltung selbst durchführen können, denken Sie entweder :

  • OK, ich werde das umsetzen ODER
  • es erscheint mir etwas zeitraubend, all diese Maßnahmen regelmäßig und ohne die Gewissheit, dass sie vollständig sind, durchzuführen.

Was Sie zu diesem Zeitpunkt denken, ist bereits ein guter Indikator dafür, ob Sie eine vollwertige IAM-Lösung benötigen oder nicht.

Die Größe Ihres Unternehmens und Ihre Fluktuation sind weitere wichtige Kriterien.

Die einfachen Antworten: Ab einer Mitarbeiterzahl von 100 und/oder wenn Sie einen hohen Turnover haben, sollten Sie sich für eine IAM-Plattform entscheiden.

Bei mehr als 200 Mitarbeitern ist ein Betrieb ohne ein solches System nicht mehr denkbar.

Die drei klassischsten Fehler, die Sie beim IAM nicht machen sollten.

Fehler Nr. 1: IAM mit SSO verwechseln.

SSO ist ein Authentifizierungssystem, während IAM ein System zur Verwaltung von Konten ist.

IAM und SSO funktionieren sehr gut zusammen, erfüllen aber keineswegs die gleichen Funktionen.

Am Anfang dieser Verwirrung steht die Definition des Bedarfs, die nicht unbedingt sehr klar definiert ist: Die IT-Abteilung möchte die Verwaltung der Passwörter für die Benutzer vereinfachen/zentralisieren. Diese Anforderung liegt an der Schnittstelle zwischen IAM, SSO und Passwortmanagern.

Die Einführung eines SSO-Systems ermöglicht es, einen Teil der Authentifizierung der Benutzer auf ihren verschiedenen Konten zu zentralisieren. Aufgrund der technischen Einschränkungen bei der Einrichtung, der Kompatibilität und der Wartung wird SSO jedoch nur teilweise auf die verschiedenen Anwendungen des Unternehmens angewendet.

Wenn man eine Metapher verwenden wollte:
Mit SSO entscheiden Sie, wer das Haus betreten darf;
mit IAM entscheiden Sie, wer die Möbel umstellen, die Wände streichen oder sich nur hinsetzen darf.

Mit SSO können Sie die Berechtigungsstufen nicht richtig verwalten, Sie haben keinen Gesamtüberblick über Ihre Tools und Software, da nicht alle kompatibel sind, und Sie haben auch keinen Gesamtüberblick über die Personen, die in Ihrem Unternehmen arbeiten, da dieses nicht mit dem HRIS verbunden ist.

Fehler Nr. 2: Verwechseln Sie Benutzer und Konten.

Wenn ich mit einem Unternehmen in Kontakt trete und sie frage, ob sie ein Repository haben, in dem alle Benutzer zentralisiert sind, bekomme ich regelmäßig die Antwort: "Ja, das Active Directory ist die Referenz". Genau das ist aber der Fehler, den man nicht machen darf: Benutzer und Konten zu verwechseln.

Benutzer sind natürliche Personen, die einen Vor- und Nachnamen, ein Ankunftsdatum und eventuell ein Abreisedatum haben.

Diesen Nutzern gibt man Zugriffskonten, die auf funktionalen HR-Parametern basieren.

Wenn Sie diesen grundlegenden Unterschied verinnerlichen, sind Sie auf dem richtigen Weg, um ein intelligentes Identitätsmanagement in Ihrem Unternehmen einzuführen.

Fehler Nr. 3: Zu denken, dass das einmal eingeführte IAM-Tool von selbst funktioniert.

Sie können Ihr IAM-Projekt völlig verfehlen, wenn Sie nicht jemanden mit der Verwaltung des Tools beauftragen. Ja, eine IAM-Lösung, selbst die beste, braucht jemanden, der sich um sie kümmert. Neuzugänge, Kontoerstellungen, Suspendierungen brauchen Ihre Intervention und nur wenn Sie Ihr IS pflegen, wird es "sauber" bleiben und korrekt mit den HR-Informationen synchronisiert werden.

Zum Schluss noch die wichtigsten Punkte, um loszulegen

👉 Wählen Sie eine "benutzerfreundliche" Lösung: Sie werden das Tool regelmäßig nutzen und die von Ihnen gewählte Lösung sollte einfach und ergonomisch sein.

👉 Eine SaaS-Lösung: Bietet Ihnen absolute Flexibilität, keine schwerfällige Software, die installiert und gewartet werden muss. Ihre Lösung ist ständig auf dem neuesten Stand, die Gesamtbetriebskosten sind im gehosteten Modus wesentlich günstiger.

👉 Die Kompatibilität mit Ihren Anwendungen: Ihre Anwendungen sind zum Teil "On premise" und zum Teil als SaaS (z. B. Office 365) verfügbar. Es ist wichtig, dass Sie genau prüfen, ob Sie Ihre Anwendungen unabhängig von ihrer Technologie integrieren können, damit Sie den gesamten Umfang des Informationssystems abdecken können. Die Hauptschwierigkeit besteht oft darin, proprietäre On-Premise-Tools zu integrieren. Aus diesem Grund haben wir bei Youzer insbesondere einen Universalkonnektor eingeführt, damit unsere Kunden für jede ihrer Anwendungen einen individuellen Konnektor "herstellen" können.

👉 Ein reaktiver Kundenservice : Wenn Sie sich manchmal über mehrere Jahre an eine IAM-Lösung binden, müssen Sie einen reaktiven Kundenservice vor sich haben, um auf Ihre Fragen und Blockaden reagieren zu können. Wenn Sie sich auf einer riesigen Plattform befinden, stellen Sie sicher, dass die Antwortzeit korrekt ist und die Person technisch versiert ist (damit Sie nicht herumgereicht werden, bevor Sie Ihre Antwort erhalten 🙃).

👉 Eine Lösung, die sich weiterentwickelt: Wählen Sie eine Lösung, die sich weiterentwickelt. Es ist heute nicht ungewöhnlich, Softwareplattformen zu sehen, die sich seit mehreren Jahren oder Jahrzehnten nicht weiterentwickelt haben. Da sich Technologien und Nutzungen sehr schnell verändern, ist es wichtig, eine flexible und entwicklungsfähige Plattform zu wählen.

Ein gesponserter Artikel. Die Experten sind Autoren, die von der Redaktion von appvizer unabhängig sind. Ihre Aussagen und Positionen sind persönlich.

Artikel übersetzt aus dem Französischen