Ein zentrales IAM - Datenmodell und Funktionen

Identity Access Management (IAM) wird zentral. Das Datenmodell und die notwendigen funktionalen Bausteine eines IAM, in dem Mitarbeiter elektronisch kommunizieren und Leistungen via Webanwendungen beziehen müssen, ist jedoch nicht trivial.
Von Margarita Kousseva

Artikel erschienen in Swiss IT Magazine 2020/06

     

Die elektronische Identität (E-Identität) ist die Abbildung einer Person in der digitalen Welt. Dadurch kann mit Ämtern und Unternehmen kommuniziert oder es können am Arbeitsplatz bestimmte Anwendungen bedient und Daten­ eingesehen werden. Ein Identity ­Access Management System verwaltet einerseits die E-Identitäten und anderseits deren Zugriffe auf Anwendungen und Daten. Ein zentrales IAM ist notwendig in einer komplizierten Verwaltungsstruktur, in der gesetzlich vorgegeben ist, dass Entscheide und Tätigkeiten der Mitarbeiter, der Partner-Organisationen und der Kunden in den IT-Systemen dokumentiert und nachvollziehbar sein müssen.

Begriffe und Kernelemente eines IAM

IAM gehört zum Bereich IT-Sicherheit und deckt das gesamte Spektrum der technischen und organisatorischen Massnahmen ab, die sicherstellen, dass Benutzern die richtigen Zugriffsrechte auf IT-Ressourcen gewährt werden. Das Ziel wird durch das Principle-of-Least-Privilege am besten beschrieben – Benutzern von IT- Ressourcen nur die Berechtigungen zu geben, die sie brauchen, um ihre Arbeit zu erledigen.

Zugriff kontrollieren und IAM definieren stellen die IAM-Kernprozesse dar. Subjekt und Ressource sind Realweltobjekte, die ihre Ziele mit Hilfe der IAM-Kernprozesse erreichen. Das Ziel des Subjekts ist der Zugriff auf die gewünschte Ressource. Das Ziel der Ressource ist, sich vor unberechtigten Zugriffen auf Informationen und Services zu schützen.


Damit der kontrollierte Ressourcenzugriff auch in der digitalen Welt funktioniert, werden den Objekten der Realwelt digitale Abbildungen, sogenannte Informationselemente, zugeordnet: Subjekt – E-Identity, Ressource – E-Ressource. Im Informationselement Berechtigung werden Regeln festgelegt, die bestimmen, welche E-Identity unter welchen Bedingungen auf welche E-Ressource zugreifen darf.
Zur Definitionszeit werden E-Identitäten und E-Ressourcen erfasst. Die Berechtigungen werden den E-Identitäten zugewiesen. In Laufzeit wird der Zugriff auf die Ressourcen durch Authentifizierung und Autorisierung kontrolliert. Bei der Authentifizierung wird anhand von Credentials geprüft, ob die entsprechende E-Identität im IAM bekannt ist. Ein Benutzer authentisiert sich gegenüber IAM gemäss der E-Government-Standards von eCH. Authentifizieren wird hingegen aus Sicht des IAM benutzt – IAM authentifiziert den Benutzer.

Nachher wird der Benutzer autorisiert – das IAM prüft, ob die E-Identität für den Zugriff auf die Ressource über die notwendigen Berechtigungen verfügt. Der Prozess IAM steuern bezieht sich auf die Einhaltung von zum Teil zwingenden legalen Vorgaben.

In diesem Artikel sind die Subjekte natürliche Personen, die Ressourcen – Webanwendungen und die Berechtigungen – werden durch Anwendungsrollen modelliert. Daher werden Benutzer als Synonym für Subjekt verwendet und Anwendung als Synonym für Ressource.

Anwendungseigenes IAM

Staatliche Ämter und privatwirtschaftliche Unternehmen verfügen über zahlreiche Anwendungen, von denen jede ihre Benutzer selber verwaltet. Somit können verschiedene Probleme innerhalb einer Organisation entstehen, wie mehrere ­Accounts pro Benutzer, Komplikationen beim Registrierungsprozess, fehlerhafte Zuweisung von Berechtigungen, das ­Löschen oder Deaktivieren von Benutzern, Schwierigkeiten bei der Nachvollziehbarkeit von Benutzeraktivitäten, kein Single Sign On (SSO), Sicherheitslücken oder Unklarheiten bei den Verantwortlichkeiten für den Betrieb, die Sicherheit und die Weiterentwicklung.

Regulatorien und Best-Practice-Datenschutzmassnahmen verlangen die Verantwortung der Benutzer einzugrenzen, wichtige Aktivitäten zu überwachen und nachzuweisen.
In einem zentral betriebenen IAM verhindern Spezialisten und Betreiber Angriffe und Datenlecks und können neue Authentifizierungsverfahren umsetzen. Ein einmaliger Registrierungsprozess und Single Sign On (SSO) verbessern die Benutzererfahrung für alle integrierten Anwendungen.


Anwendungen kommunizieren mit dem zentralen IAM über Standardprotokolle, die einen Token dazu verwenden, um die erforderliche Authentifizierungs- und Autorisierungs-Bestätigung auszutauschen. Der Empfänger des Tokens (die Anwendung) vertraut dem Absender des Tokens (dem IAM), dass die Information im Token korrekt ist. SAML2 und ­OpenID sind Protokolle, die solche Tokens implementieren. Die Voraussetzung ist, dass die Anwendungen Web-fähig sind.

Zentrales IAM – Datenmodell

Das hier beschriebene Datenmodell entspricht den Anforderungen an ein zentrales IAM. Gemäss den Anforderungen haben nicht nur interne Mitarbeiter Zugriff auf die Anwendungen, sondern auch externe Benutzer – das sind entweder Angestellte anderer Organisationen oder ­private Personen.

Wenn eine Person über mehrere Identity Providers (IdPs) authentifiziert wird (z.B. Smartcard, SuisseID), hat sie auch mehrere E-Identitäten im IAM. E-Organisation ist eine Abbildung des Realweltobjekts Organisation, in der die Benutzer gruppiert sind, und als deren Mitarbeiter oder Kunden IT-Services beziehen. Die IAM-eigenen Rollen erlauben dem Benutzer andere Benutzer zu verwalten – das sind IAM-Admin (organisationsübergreifend) und Org-Admin (Benutzerverwaltung innerhalb einer Organisation). Die Ressource Role ist von der Ressource definiert, für SAP könnte eine solche Rolle etwa Account Manager heissen.


Die Ressource Roles werden in Business Roles zusammengefasst. Die Business Roles widerspiegeln Aufgaben, Kompetenzen und Verantwortlichkeiten der jeweiligen Benutzer und sind ressourcenübergreifend. Eine Business Role kann organisationsspezifisch oder -übergreifend sein. Das Berechtigungsprofil ist der Container für Berechtigungen, die Benutzer auf die Ressourcen bekommen:

- Organisations-Profil – für Mitarbeiter einer Organisation, enthält Business Roles, notwendig für Tätigkeiten von Mitarbeitern der Organisation.

- Privates Profil – für Externe und Kunden einer Organisation; enthält Subprofile mit Business Roles. Ein Org-­Admin kann pro Benutzer ausschliesslich ein Subprofil verwalten und sieht keine Berechtigungen erteilt durch andere Organisationen.

Zentrales IAM – funktionale Bausteine

Aus den Anforderungen wurden funktionale Bausteine hergeleitet, die die IAM-Kernprozesse unterstützen. Die Steuerung von IAM wird durch die Funktionen Segregation of Duty, Konfiguration, Re-Zertifizierung und Reporting ­unterstützt. Segregation of Duty bezeichnet die Trennung administrativer und operativer Berechtigungen. Wenn diese Option für eine Organisation gültig ist, darf der Org-Admin die Verwaltungsfunktionen ausschliesslich unter seinem Admin-Berechtigungsprofil ausführen, hingegen muss er auf Ressourcen mit ­einem anderen operativen Berechtigungsprofil zugreifen. Weiterhin darf er sich selber keine Berechtigungen zuweisen.Die Konfiguration ist Voraussetzung für die Verwaltung und die Laufzeit-Services und wird im Prozess IAM-Steuerung spezifiziert durch:

- Mapping Business Roles/Ressourcen-Roles


- Kompatibilitätsmatrix – sie enthält ­Business-Role-Paare, die im Konflikt stehen sowie die möglichen Aktionen bei deren Zuweisung (Warnung, 4-­Augen-Prinzip, Zuweisung ausgeschlossen)

Bei der Re-Zertifizierung geht es ­darum, Organisationzugehörigkeit oder Gültigkeit einer Business Role zu ­bestätigen oder abzulehnen. Dabei kann der IAM-Admin eine Re-Zertifizierung organisationsübergreifend oder organisationsspezifisch auslösen. Die selektierten Benutzer-Profile, die zu rezertifizieren sind, werden in die Aufgabenliste der Org-Admins eingetragen. Ein Org-­Admin kann die Re-Zertifizierung an ein beliebiges Mitglied der Organisation weiterleiten, etwa an den entsprechenden Linienmanager.

Verwaltung

Zur Definitionszeit werden Benutzer, Organisationen, Ressourcen und Berechtigungen, beziehungsweise deren Abbilder verwaltet. In der Benutzerverwaltung können dabei mehrere Benutzerkategorien unterschieden werden: anonyme Benutzer, Privatpersonen, Mitarbeiter privatwirtschaftlicher Firmen und amtliche Mitarbeiter (Bund, Kanton). Org-Admins können in deren Organisation Benutzer vorerfassen. Das ist insbesondere dann notwendig, wenn Mitarbeiter zu einem definierten Datum in der Zukunft angestellt werden. Die E-Identität wird erst aktiviert, wenn sich der Benutzer selber registriert und sein vorerfasstes Organisations-Profil mit der Registration abgestimmt wird.

Der IAM-Admin kann eine E-Identität für alle Anwendungen sperren respektive entsperren. Durch den Import und Export von E-Identitäten können Benutzer derweil mit anderen IAM-Systemen abgeglichen werden. Damit ein zentrales IAM mit einer ­grossen Benutzerzahl umgehen kann, muss es neben Selbstregistrierung auch dezentrale Benutzerverwaltung anbieten.


Die Organisation ist die Einheit, innerhalb welcher die Benutzer autonom verwaltet werden. Jede Organisation verfügt daher über Org-Admins. Die Organisations-Verwaltung wird durch IAM-Admins bedient:

- IAM-Admin erfasst, ändert oder deaktiviert Organisationen
- IAM-Admin ernennt oder denominiert Org-Admins
- IAM-Admin weist den Org-Admins die Business Roles zu, die sie weitergeben können

Durch die Ressourcen-Verwaltung kann der IAM-Admin Ressourcen, Ressourcen-Roles und Zugriffsregeln (z.B. Ressourcenzugriff ausschliesslich mit starker Authentifizierung) erfassen. Die Berechtigungs-Verwaltung dient zur Berechtigung der registrierten Benutzer. Benutzt werden das vorkonfigurierte Mapping Busines Role/Ressource Roles wie auch die Kompatibilitätsmatrix:

- On- und Off-Boarding
- Org-Admin kann andere Benutzer zu Org-Admins ernennen oder denominieren
- Org-Admins können unter Berücksichtigung der Kompatibilitätsmatrix Benutzern Business Roles zuweisen oder entziehen. Die Überprüfung wird über alle E-Identitäten und Berechtigungsprofile einer Person durchgeführt
- Org-Admins können Benutzern ausserhalb der Organisation Business Roles vergeben und entziehen
- Ein Benutzer kann vor seiner Selbstregistrierung onboarded werden und Business Roles zugewiesen bekommen, sobald er sich selber mit dieser E-Identität registriert, kann er auf die entsprechenden Ressourcen zugreifen

Eine weitere Komponente, beispielsweise genannt Mein Account, kann jedem Benutzer unter anderem folgende Funktionen zur Verfügung stellen:

- Selbstregistrierung: Die so erstellte E-Identität ist mit keinen Berechtigungen verknüpft
- Selbstverwaltung: Der Benutzer kann selber seine Stammdaten verwalten, die Organisationszugehörigkeit oder seinen IAM-Account löschen
- Stellvertretung: Mitarbeitende können Stellvertreter ernennen

Logging & Monitoring

Zu den Laufzeit-Services gehören Logging und Monitoring. Ereignisse wie ­Berechtigungsvergabe, Benutzerregistrierung, erfolgreiche und erfolglose Anwendungszugriffe werden geloggt.Weiterführend beantwortet die Komponente Fragen, etwa wer zu welchem Zeitpunkt über welche Berechtigungen verfügte und wer Mutationen durchführte. Zu diesem Zweck wird bei jeder Änderung der E-Identitäten und der Profile pro Benutzer ein Snapshot gespeichert.


In einem zentralen IAM macht es Sinn, bestehende Authentifizierungsmethoden samt Identity Providers anzubinden anstatt neue zu implementieren. Der Schwerpunkt liegt dann auf der Erstellung der Zugriffsverwaltung. Eine der Herausforderungen ist, ein generisches Berechtigungsmodell zu definieren, das für alle integrierte Anwendungen gültig ist, jedoch kein Über-Set von Daten, die von allen Anwendungen benötigt werden. Für die dezentrale Verwaltung genügt eine flache Hierarchie von Administratoren, die jeweils eine Organisation verwalten.

Die Autorin

Margarita Kousseva ist Informatik-Ingenieurin der ETHZ. Sie hat 25-jährige Erfahrung als Programmiererin, IT-Architektin und -Projektleiterin. Seit fünf Jahren arbeitet sie bei der Bundesverwaltung ­im Bereich E-Government.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER