Als Kernelement von Identity- und Access-Management-Infrastrukturen sind viele Provisioning-Projekte darauf ausgerichtet, ein Tool für alle Anforderungen zu nutzen. Tatsächlich gibt es aber eine große Zahl an Architekturalternativen. Viele davon sind geeignet, die Projektrisiken zu reduzieren und Projekte schneller umzusetzen als das bei einem monolithischen Ansatz oft der Fall ist. Das Problem dabei: der Integrationsaufwand steigt und das Auditing wird komplexer.
Identity und Access Management (IAM) ist eines der Kernelemente jeder IT-Infrastruktur. Die „richtige“ Vergabe von Zugriffsberechtigungen ist unverzichtbar, um Sicherheitsrisiken zu verringern. Die vielen bekannt gewordenen Vorfälle der vergangenen Monate, in denen unbefugt auf Systeme zugegriffen und Daten geklaut oder unerlaubte Wertpapiertransaktionen durchgeführt wurden, stehen exemplarisch dafür. Das Problem ist aber viel umfassender. Vertrauliche Dokumente, die in falsche Hände geraten, Industriespionage und viele andere Herausforderungen für Unternehmen sind untrennbar mit dem Management von Zugriffsberechtigungen verbunden. Deshalb steht dieses Thema beim Risikomanagement auch sehr weit oben in der Liste dessen, was adressiert werden muss.
Innerhalb des Themenfeldes IAM sind wiederum Provisioning-Lösungen von erheblicher Bedeutung. Diese Produkte unterstützen die (weitgehend) automatisierte, auf definierten und nachvollziehbaren Prozessen Steuerung von Berechtigungen in angeschlossenen Systemen. Dort, wo es entweder um besonders viele oder besonders sensitive Daten geht, ist diese Automatisierung unerlässlich. Natürlich muss sie in den meisten Fällen um manuelle Prozesse ergänzt werden, wenn es um Systeme ohne geeignete Schnittstellen oder Anwendungen mit nur wenigen Benutzern geht, bei denen sich die Integration nicht lohnen würde. Dennoch nehmen Provisioning-Lösungen eine zentrale Stellung in IAM-Konzepten ein.
Access Governance – die Erweiterung
Das gilt auch und gerade mit Blick auf das derzeit sehr populäre Thema der „Access Governance“. Unter diesem Schlagwort werden Ansätze zusammengefasst, mit denen man die „korrekte“ Umsetzung des Access Managements sicherstellen möchte. Dazu gehören Auditing- und Analysefunktionen, die manuelle Attestierung der korrekten Vergabe von Berechtigungen und eben die Steuerungsfunktionen für Zugriffsberechtigungen entsprechend vorgegebener Richtlinien. Diese Richtlinien sollten die Business-Anforderungen abbilden und in die IT-Systeme umgesetzt werden.
Bei der Access Governance geht es dabei keineswegs nur um die Attestierung, wie der eine oder andere Hersteller gerne glauben machen möchte. Es geht um ein Gesamtkonzept, das auch die aktive Steuerung umfassen möchte. Denn die „detective controls“ der nachträglichen Analyse reichen nicht aus – alles, was man über „preventive controls“, also die aktive, vorausschauende Steuerung an Problemen vermeiden kann, sollte man auch ausschließen. Und bei der Umsetzung solcher „preventive controls“ spielt das Provisioning eine zentrale Rolle, ergänzt durch manuelle Workflows und kontrollierte eMail-Benachrichtigungen und andere Maßnahmen.
Herausforderung Provisioning
Trotz der in den vergangenen Jahren deutlich gestiegenen Reife von Provisioning-Produkten und der großen Erfahrung vieler Hersteller und Integratoren in der Umsetzung von Provisioning-Projekten sind das immer noch komplexe Projekte. Oft nimmt schon die Phase bis hin zum Projektstart – aus Sicht der Anbieter ihr „Sales Cycle“ – nicht nur Monate, sondern Jahre ein.
Dafür gibt es einige Gründe. Die größte Hürde ist aber, dass es sich um ein Querschnittsprojekt über viele Bereiche hinweg handelt, bei dem unterschiedlichste Systeme integriert werden sollen. Das ist nicht nur eine technische Herausforderung, sondern oft auch mit viel „Politik“ verbunden, weil unterschiedliche Bereiche einerseits (keineswegs zu Unrecht) eine für ihre Plattformen optimale Lösung fordern und andererseits oft auch das Produkt „ihres“ bevorzugten Lieferanten durchsetzen möchten.
Aber nicht nur das, sondern auch die Tatsache, dass mehrere Provisioning-Produkte gerade in größeren Unternehmen eher die Regel denn die Ausnahme sind, spricht dafür, sich mit Optionen zu monolithischen Architekturen auseinanderzusetzen. Mehrere Produkte gibt es oft, weil Punktlösungen in unterschiedlichen Unternehmensbereichen umgesetzt wurden, aber auch als Folge von Akquisitionen. Und nicht immer macht es Sinn, ein bestehendes Tool abzulösen. Wenn es beispielsweise mit einem System wie beispielsweise dem Mainframe sehr eng integriert ist, kann es günstiger sein, das Alt-System einzubinden und die Service-Gebühren weiter zu tragen statt es abzulösen.
Access Governance – Teil des Provisioning-Tools?
Eine der Fragen, die sich stellen ist die danach, ob man Access Governance in erster Linie als eine Funktion von Provisioning-Lösungen versteht oder nicht. Die Anbieter von Provisioning-Tools integrieren immer mehr Funktionalität beispielsweise für die Attestierung. Und über die Workflows kann man natürlich auch manuelle Aktivitäten anstoßen für Systeme, die nicht technisch integriert sind. Welchen Weg man wählt, hängt aber von vielen Faktoren ab. Zu diesen gehören beispielsweise die Funktionalität des Provisioning-Tools, die Komplexität der Systemumwelt und der Automatisierungsgrad beim Provisioning und die spezifischen Anforderungen an Access Governance.
Mehrere Tools effizient integrieren
Es gibt aber durchaus auch den Ansatz, Access Governance als Schicht oberhalb von einem oder mehreren Provisioning-Tools zu sehen. Damit können spezielle Access Governance-Lösungen auch die integrierende Schicht bilden. Nicht unterschätzen darf man dabei, dass man damit oft für die Analyse und Attestierung andere Schnittstellen zu den Zielsystemen als für die aktive Steuerung hat. Die Systemumwelt wird komplexer und der Detailgrad der Kontrolle mag auch sinken.
Dennoch kann das interessant sein, um einheitliche Richtlinien und Kontrollfunktionen über verschiedene bestehende oder neue Systeme umzusetzen. Denn die Nutzung mehrerer Provisioning-Tools hat natürlich den Reiz, dass man spezialisierte Lösungen für ausgewählte wichtige Systemplattformen nutzen kann und manchen „politischen“ Diskussionen aus dem Weg gehen kann. Zudem sind Projekte, die in kleinere Einheiten gegliedert werden, mit weniger Risiken und potenziell weniger Kosten behaftet – wobei man immer den Integrationsaufwand gegenrechnen muss.
Neben der Nutzung von Access Governance-Tools können natürlich auch eigene Workflow-Systeme oder vergleichbare Lösungen oder ESBs (Enterprise Service Bus) als Integrationsplattform genutzt werden. Auch hier gilt wieder: Das hängt stark von den spezifischen Anforderungen und der bestehenden IT-Infrastruktur ab. Lösungen, die nicht auf ein Standardwerkzeug aufbauen, haben dabei allerdings immer Risiken bezüglich eines sinnvollen Verhältnisses von Implementierungsaufwand zur erreichbaren Funktionalität.
Provisioning und IT Service Management
Ein anderer Ansatz ist die Einbindung von Provisioning-Lösungen in IT Service Management-Ansätze und hier spezifisch Service Desk-Lösungen – ein Weg, der gut in zentralisierte und standardisierte IT-Management-Konzepte passt, aber auch Risiken birgt.
Das größte Risiko ist, dass solche Lösungen häufig sehr stark auf die Innenwelt des Unternehmens fokussiert sind. Es geht aber nicht nur um die Zugriffssteuerung für interne Benutzer, sondern auch für externe Benutzergruppen. Hinzu kommt, dass IT Service Management-Projekte für sich genommen meist schon komplex sind. Hier muss man genau analysieren, ob die Anforderungen an die Access Governance und das Access Management für alle Systeme und Benutzergruppen wirklich erfüllt werden können oder ob man nicht zu viele Aspekte nicht oder nur mit hohem Aufwand integrieren kann. Klar ist aber: Man kann hier auch mehrere Provisioning-Lösungen einbinden.
Enterprise-Architekturen zur Bündelung von Antragsverfahren
Ein anderes Modell, das immer wichtiger wird, ist die Bündelung von unterschiedlichsten Antragsverfahren in einem Portal – also nicht nur das Management von Benutzern und Zugriffsberechtigungen, sondern auch andere Beschaffungsvorgänge in der IT und darüber hinaus, bis hin zum Büromaterial oder der Reservierung von Fuhrparkfahrzeugen.
Bei solchen Ansätzen sind derzeit allerdings oft zwei fundamentale Fehler zu beobachten. Zum einen liegt der Fokus meist beim Portal und nicht bei der Prozessschicht darunter. Das Portal ist aber „nur“ die Benutzerschnittstelle. Die Prozesse müssen im Mittelpunkt stehen. Der zweite Fehler ist, dass solche Projekte oft das Zugriffsmanagement vernachlässigen, also die Sicherheit der Antragsverfahren selbst. Das IAM muss aber natürlich genau diese Verfahren auch schützen.
Der Ansatz ist aber interessant und auch geeignet, um unterschiedliche Provisioning-Systeme zu integrieren. Er ist aber architektonisch komplex und damit derzeit primär eine Option für Unternehmen, die stark in der Definition und Umsetzung von Enterprise-IT-Architekturen sind.
Die richtige Wahl aus der Vielfalt an Möglichkeiten
Innerhalb dieses skizzierten Spektrums von Architekturansätzen für das Identity Provisioning gibt es nicht die generell richtige Lösung. Wichtig ist aber, dass man sich immer wieder bewusst macht, welche Optionen es gibt und nicht einfach versucht, einen monolithischen Ansatz durchzusetzen. Dieser, also das Provisioning-Tool, das auch Access Governance unterstützt, ist oft ein interessanter Ansatz. Aber oft gibt es auch bessere Lösungsansätze. Mit einem offenen Blick kann man viele Diskussionen bei Provisioning-Projekten auf eine sachliche Ebene heben und bessere Entscheidungen treffen.