Rollenmanagement gehört zu den Top-Trends in der Identitäts- und Benutzerverwaltung. Gemäss aktuellen Marktdaten von Analysten stehen Investitionen in diesem Bereich an dritter Stelle. Das Konzept des Rollenmanagements kann unter anderem helfen, eines der häufigsten Probleme in den Betrieben von heute zu lösen: die Verwaltung der Zugriffsrechte. In vielen Unternehmen und Organisationen sind die Zugriffsrechte aus dem Augenblick heraus verteilt worden. In der Folge besteht häufig keine Kontrolle, welcher Mitarbeiter welche Rechte hat und ob diese überhaupt benötigt werden. Wenn ein Mitarbeiter aber zu viele Rechte hat, stellt das ein Risiko für die Organisation dar. Genau hier kommt das Rollenmanagement ins Spiel.
Nehmen wir als Beispiel die BusinessCorp, eine Firma mit 20 Geschäftsapplikationen. Tritt ein neuer Mitarbeiter in die Firma ein, erhält er in jedem Fall einen Windows-Account (Active Directory) sowie eine Mailbox. Ein Administrator macht die Zuweisung aufgrund eines Mails der Personalabteilung. Berechtigungen auf weitere Systeme erhält der Mitarbeiter durch einen Systemadministrator der jeweiligen Applikation, üblicherweise indem die Berechtigungen eines «ähnlichen» Mitarbeiters manuell kopiert werden (sog. «Templating»). Langjährige Mitarbeiter haben oftmals Zugriffsrechte in allen Applikationen akkumuliert. Rechte werden kaum oder gar nicht weggenommen. Wenn ein Mitarbeiter die Firma verlässt, bleiben die Accounts in den meisten Systemen erhalten, oft sogar aktiv.
Rollen übernehmen zwei wichtige Aufgaben: Bündelung und Standardisierung. Eine Rolle fasst üblicherweise Berechtigungen für mehrere Zielsysteme zusammen, welche für die Erfüllung einer Aufgabe notwendig sind. Eine Rolle beinhaltet also zum Beispiel zwei Gruppen im Active Directory, eine Gruppe im LDAP-Verzeichnis sowie einige Werte in einer Datenbanktabelle. Wenn nun diese Rolle in einem «rollen-fähigen» Identity-Managementsystem einem Mitarbeiter zugewiesen wird, erhält der Mitarbeiter dadurch die in der Rolle definierten Berechtigungen im entsprechenden Zielsystem und kann so die damit verbundenen Funktionen nutzen.
Damit muss derjenige, der die Rolle zuweist oder eine Überprüfung durchführt, nicht mehr die einzelnen Berechtigungsattribute und Zielsysteme verstehen. Die Konsistenz und Zuverlässigkeit sowohl bei der Rollenvergabe wie auch beim Rollenentzug wird damit sichergestellt. Berechtigungen können mit Hilfe von Rollen nun auch durch Nicht-Informatiker oder den Helpdesk vergeben werden, da jetzt nicht mehr detaillierte Kenntnisse der Zielsysteme notwendig sind. Als Nebeneffekt ergibt sich auch eine Standardisierung der verschiedenen Berechtigungsprofile, da es wenig Sinn macht jedem Benutzer in der Firma eine individuelle Rolle masszuschneidern. Rollen haben üblicherweise auch einen Verantwortlichen (Owner), welcher zuständig für den Inhalt der Rolle und die Zuordnung an Benutzer ist.
Beim Role-Mining geht es um das Finden von Rollen. Üblicherweise wird dabei eine Kombination von Top-Down- und Bottom-Up-
Approach gewählt. Mit Hilfe des Top-Down-Ansatzes werden Benutzer und Benutzergruppen aufgrund von Job-Titel, Geschäftseinheit, Lokation oder anderen Gemeinsamkeiten analysiert, um auf diesem Weg Kandidatenrollen zu finden. Bottom-Up bezeichnet die Identifikation von Benutzergruppen aufgrund der aktuellen Berechtigungen in den Zielsystemen, was auch zu Kandidatenrollen führt.
Die gefundenen Rollen müssen dann analysiert, verfeinert und allenfalls kombiniert werden, um diejenigen Rollen zu finden, welche aus Benutzer- und Verwaltungssicht Sinn machen. Dieser Prozess wird als Role-Engineering bezeichnet. Dabei darf nicht die Sicht der Informatiker im Vordergrund stehen, sondern die Sicht derjenigen Personen-«Owner», welche die Rollen zuordnen, verwalten und verantworten. Dabei wird unterschieden zwischen technischen Rollen und Geschäftsrollen. Technische Rollen bilden die einzelnen angebundenen Zielsysteme mit den Applikationsrechten ab. Geschäftsrollen fassen mehrere technische Rollen zusammen und werden Benutzern zugeordnet. Eine technische Rolle kann somit in mehreren Geschäftsrollen verwendet werden. Über eine Identity-Managementlösung werden die durch das Role-Engineering definierten Rollen auf die Zielsysteme provisioniert und de-provisioniert.
Wichtig bei jedem Rollenmanagementprojekt ist, dass die sogenannten «Owner» von Anfang an in das Projekt einbezogen werden. Da diese Personen üblicherweise in der Business-Abteilung der Firma und nicht in der Informatik sitzen, muss ein solches Projekt Unterstützung seitens des Top-Managements erhalten, um erfolgreich umgesetzt zu werden.
Ein oft geäusserter Vorbehalt gegenüber einem Rollenmanagementprojekt ist die Komplexität und die Menge der zu berücksichtigenden Faktoren und die allenfalls daraus resultierende grosse Zahl an Rollen. Dank heute verfügbarer Werkzeuge ist ein solches Projekt erfolgreich durchführ- sowie verwaltbar. Um die Erfolgschancen des Projektes zu steigern, wird ein iteratives Vorgehen gewählt. Dabei wird eine Auswahl der wichtigsten Zielsysteme und Organisationen/Benutzergruppen für die erste Iteration des Projektes bestimmt. Damit können ein Überblick bewahrt und frühzeitig Resultate erarbeitet werden. Wiederum dank Tool-Unterstützung können schrittweise weitere Applikationen oder Benutzergruppen in das Rollenmanagement einbezogen werden.
Sind Rollen eingeführt, können auch präventive Mechanismen («preventative controls») umgesetzt werden, um zum Beispiel SoD-Verletzungen bereits bei der Vergabe der Rechte zu verhindern. Rollen können damit sowohl vorbeugend wie auch für Reviews eingesetzt werden, um sicherzustellen, dass die im Unternehmen geltenden Richtlinien bezüglich Applikationsrechten eingehalten werden. Durch die Einführung von Rollen wird somit die Erfüllung von Compliance-Anforderungen effektiv unterstützt. Und durch die nun mögliche Automatisierung und Delegation von Verwaltungsaufgaben werden zudem generell Effizienzgewinne in der Verwaltung der Benutzerberechtigungen realisiert.
Peter Gassmann realisiert Projekte mit den Identity- und Rollen-Management Produkten von Sun Microsystems. http://www.sun.com/identity, peter.gassmann@sun.com
