Leadership Compass

Identity Governance & Administration 2021

Der Markt für Identity Governance und Administration (IGA) entwickelt sich durch tiefer integrierte Lösungen für Identity Lifecycle Management und Access Governance stetig weiter, die nun zunehmend durch intelligente Funktionen ergänzt werden. Dieser Leadership Compass gibt einen Überblick sowie Einblicke in den IGA-Markt und bietet Ihnen einen Leitfaden zur Auswahl von Produkten, welche die notwendigen Kriterien für erfolgreiche IGA-Implementierungen erfüllen können.

Richard Hill

rh@kuppingercole.com

1 Einführung/Zusammenfassung

Identity Governance and Administration (IGA) ist eine Kombination der traditionellen Märkte User Access Provisioning (UAP) und Identity and Access Governance (IAG). Während viele Anbieter heute kombinierte Funktionen anbieten, um sich auf den Markt für IGA zu etablieren, bieten einige wenige – insbesondere die neuen Marktteilnehmer - entweder Identity Lifecycle Management- (ILM) oder Access Governance-Funktionen an, um die spezifischen Anforderungen von Unternehmen zu erfüllen.

Die IGA-Anbieter unterscheiden sich in der Tiefe und Breite der angebotenen Funktionalitäten und können deshalb entweder als Provisioning- oder als Governance-fokussiert eingestuft werden. Dieser Leadership Compass von KuppingerCole bietet einen Überblick über den IGA-Markt mit namhaften Anbietern und ihren auf dem Markt angebotenen Produkten oder Services.

Bei unserer Interaktion mit Unternehmen mit unterschiedlichem IAM-Reifegrad aus verschiedenen Branchen stellen wir fest, dass einige immer noch nach einer Identity-Lifecycle-Management-Lösung mit begrenzten oder keinen Access-Governance-Funktionen suchen, während viele andere eine starke Access-Governance-Lösung wünschen. Letzteres ist vor allem dann der Fall, wenn Unternehmen bereits über ein Identity-Lifecycle-Management-System verfügen oder wenn Access Governance ihr Ausgangspunkt ist. Bei einem der Nutzungsmuster, die wir auf dem Markt beobachten konnten, erfolgt das Fulfillment durch Identity Lifecycle Management über einen Managed Service. Dabei wird die Access Governance durch und innerhalb des Unternehmens selbst betrieben, um die vollständige Kontrolle über die Governance-Funktionen zu behalten. Es gibt mehrere andere Nutzungsmuster im Markt, bei denen sich die unmittelbaren Anforderungen der Kunden entweder auf Identity Lifecycle Management oder Access Governance beschränken, aber keine IGA-Lösung erfordern. In den meisten anderen Fällen, in denen ein Bedarf für beides besteht, werden IGA-Produkte gegenüber reinen Provisioning- oder Governance-Lösungen bevorzugt, um die gewünschte Kombination aus Fähigkeiten zu erreichen. Dies gilt im Allgemeinen für Greenfield-IAM-Implementierungen, die sowohl Identity-Lifecycle-Management- als auch Access-Governance-Funktionen benötigen. Es ist wichtig, dass Unternehmen ihre IGA-Anforderungen eingehend analysieren, bevor sie mit der Evaluierung von IGA-Produkten beginnen, die sich im Umfang der IGA-Funktionen unterscheiden, so dass die meisten von ihnen entweder besser für die Bereitstellung oder für Governance-orientierte Implementierungen geeignet sind.

Basierend auf den Nutzungstrends, den sich ändernden Kundenprioritäten und den Implementierungsmustern haben wir beschlossen, Identity Governance und Administration als Ganzes in den Mittelpunkt zu stellen, um Sicherheitsverantwortlichen dabei zu helfen, relevante IAM-Marktsegmente zu identifizieren und anschließend die am besten geeigneten Technologieanbieter auf der Grundlage ihrer unmittelbaren IAM-Prioritäten in die engere Wahl zu nehmen. In diesem Leadership Compass zu Identity Governance and Administration liegt das Hauptaugenmerk auf den Anbietern, die sowohl Identity-Lifecycle-Management- als auch Access-Governance-Funktionen liefern – entweder als einziges Produkt oder als separate, aber integrierbare Produktkomponenten – um Funktionen aus dem gesamten IGA-Spektrum bereitzustellen.

Dieser Leadership Compass zu IGA-Lösungen wird durch zwei weitere Leadership-Compass-Dokumente ergänzt: Das erste ist der LC IGA für KMUs (kleine und mittelständische Unternehmen), das die funktionalen und betrieblichen IGA-Anforderungen von KMUs identifiziert und fokussiert, die sich im Hinblick auf Zielsetzung und Umfang von denen großer Unternehmen unterscheiden. Der zweite Leadership Compass ist der LC IAM Suites, der sich auf umfassende IAM-Suites konzentriert und Anbieter nach der Vollständigkeit und funktionalen Tiefe ihres IAM-Portfolios bewertet, das neben IGA als integriertes Angebot auch Kern- und sogar angrenzende IAM-Funktionen wie Privilege Management, Enterprise SSO, Identity Federation, Web Access Management, API Gateways, Fraud Detection and Prevention usw. umfasst.

Mit diesen verschiedenen LCs möchten wir CISOs und Sicherheitsverantwortlichen, die für IAM zuständig sind, praktische und relevante Informationen zur Verfügung stellen, damit sie Technologieanbieter auf der Grundlage der spezifischen Anforderungen des jeweiligen Anwendungsfalls evaluieren können, unabhängig davon, ob diese IGA-getrieben, auf die Bereitstellung fokussiert, auf Governance fokussiert, auf umfassende IAM-Suiten ausgerichtet oder eine Kombination davon sind.

1.1 Highlights

  • In diesem Leadership Compass werden über 20 % mehr IGA-Produktanbieter als im Vorjahr bewertet.
  • Der IGA-Markt wächst, und obwohl er immer ausgereifter wird, entwickelt er sich eben auch weiter.
  • IGA ist als strategischer Ansatz zur Gewährleistung der IT-Sicherheit insgesamt sowie zur Einhaltung gesetzlicher Vorschriften für Unternehmen ein unerlässliches Tool.
  • Der Grad der Identity und Access Intelligence ist zu einem wichtigen Unterscheidungsmerkmal zwischen IGA-Produktlösungen geworden.
  • Automatisierung ist ein wichtiger Trend im Hinblick auf IGA, um die Arbeitsbelastung für die Verwaltung durch die Automatisierung von Aufgaben und die Implementierung von Prozessabläufen zu verringern.
  • Führende IGA-Anbieter konzentrieren sich zunehmend darauf, die Kompatibilität mit anderen Produkten und Services durch die Bereitstellung von sicheren APIs zu verbessern.
  • Die Overall Leaders sind (in alphabetischer Reihenfolge): Avatier, Broadcom, EmpowerID, ForgeRock, Hitachi ID, IBM, Ilantus, Micro Focus, One Identity, Oracle, SailPoint, Saviynt, SecurID und Simeio.
  • Die Product Leaders sind (in alphabetischer Reihenfolge) : Avatier, Beta Systems, Broadcom, EmpowerID, Atos (Evidian), ForgeRock, Hitachi ID, IBM, Ilantus, Micro Focus, Omada, One Identity, Oracle, SailPoint, Saviynt, SecurID und Simeio.
  • Die Innovation Leaders sind (in alphabetischer Reihenfolge): Avatier, EmpowerID, ForgeRock, IBM, Ilantus, Micro Focus, One Identity, Oracle, SailPoint, Saviynt, SecurID und Simeio.
  • Führende Anbieter im Hinblick auf Innovationen und Markt (auch als die „Big Ones" bezeichnet) im IGA-Markt sind (in alphabetischer Reihenfolge): EmpowerID, ForgeRock, IBM, Ilantus, Micro Focus, One Identity, Oracle, SailPoint, Saviynt und SecurID.

1.2 Marketsegment

„Identity Governance und Administration" umfasst die zunehmend integrierten Märkte für Identity Lifecycle Management und Access Governance. Während das Identity Lifecycle Management sich auf Aufgaben in Zusammenhang mit der Verwaltung von Access Fulfilment und Berechtigungen über den gesamten Identitätslebenszyklus konzentriert, stellt Access Governance die notwendigen Tools (meist Self-Service-Tools) für Unternehmen bereit, um Workflows und Zugriffsberechtigungen zu verwalten und Berichte, Kampagnen zur Zugriffszertifizierung sowie SoD-Prüfungen durchzuführen. Access Intelligence ist die Bezeichnung für die analytische Ebene oberhalb des Identity Lifecycle Management und der Access Governance. Sie bietet geschäftsbezogene Einblicke, um eine effektive Entscheidungsfindung zu unterstützen und die Governance potenziell zu verbessern.

Während Identity Lifecycle Management nach wie vor eine zentrale IAM-Anforderung ist, entwickelt Access Governance sich zu einer immer stärker nachgefragten Fähigkeit für Unternehmen, die eine bessere Übersicht über die Identitätsverwaltung und Zugriffsberechtigungen in ihrer gesamten IT-Infrastruktur benötigen. Governance geht über einfaches Reporting und Dashboarding hinaus und bietet fortschrittliche Funktionen, die Machine-Learning-Verfahren zur Mustererkennung nutzen, um wertvolle Informationen für die Prozessoptimierung, das Rollendesign, automatische Überprüfungen sowie die Erkennung von Anomalien zu liefern.

IGA umfasst die Fähigkeiten im IAM-Markt, die sich im Großen und Ganzen mit End-to-End-Identity-Lifecycle-Management, Zugriffsberechtigungen, Workflow- und Policy-Management, Rollenverwaltung, Zugriffszertifizierung, SoD-Risikoanalysen, Reporting und Access Intelligence beschäftigen. Da IGA sich zu einer wichtigen Sicherheitsrisiko- und Managementdisziplin entwickelt, die sich direkt auf die Sicherheitslage jedes Unternehmens auswirkt, können fehlende grundlegende IGA-Fähigkeiten dazu führen, dass Unternehmen sich Risiken aussetzen, die von einer ineffizienten Verwaltung von Identitäten, Zugriffsberechtigungen und Rollen sowie einem Mangel an adäquaten Audits und Berichten ausgehen. Diese Risiken reichen von Identitätsdiebstahl bis hin zu nicht genehmigten und unautorisierten Änderungen, Access Creep, aufgeblähten Rollen, Verzögerungen hinsichtlich des Access Fulfilments, verwaisten Rollen und Konten sowie SoD-Konflikten, die zu betrieblichen und anderen internen Betrugsfällen führen. Mehrere Vorfälle in der jüngsten Vergangenheit haben gezeigt, wie wichtig verbesserte IGA-Funktionen für Unternehmen jeder Größe und aus allen Branchen sind.

Produkte für Identity Governance and Administration (IGA) unterstützen die Konsolidierung von Identitätsinformationen über mehrere Repositorys und Aufzeichnungssysteme, wie beispielsweise HR- und ERP-Systeme in der IT-Umgebung eines Unternehmens. Die Identitätsinformationen, einschließlich der Benutzerkonten, der zugehörigen Zugriffsberechtigungen und anderer Identitätsattribute, werden von den angebundenen Zielsystemen gesammelt, um sie zu korrelieren und einzelne Identitäten, Benutzergruppen sowie Rollen über eine zentrale Administrationskonsole zu verwalten.

IGA-Produkte sind in erster Linie darauf ausgerichtet, die folgenden Aktivitäten innerhalb eines Unternehmens zu unterstützen:

  • Automatisches Provisioning und De-Provisioning von Benutzerkonten in verschiedenen nominierten Zielsystemen
  • Synchronisierung von Identitätsattributen und Zugriffsberechtigungen in Bezug auf Benutzerkonten und Gruppen über verschiedene Identitäts-Repositorys hinweg
  • Verwaltung von Zugriffsberechtigungen und zugehörigen Rollen von Benutzern innerhalb der gesamten IT-Umgebung
  • Konfiguration und Durchsetzung von statischen sowie ereignisgesteuerten Zugriffsrichtlinien für Konten zwecks Zugriff auf IT-Systeme und -Anwendungen
  • Möglichkeit für Benutzer, ihren Zugriff auf Systeme und Anwendungen zu validieren, Passwörter zurückzusetzen und neue Zugriffsanfragen über Self-Service-Optionen zu erstellen
  • Überprüfung und Synchronisierung von Passwörtern für Benutzerkonten sowie anderen Identitätsattributen über ein autorisierten Ereignis und eine autorisierte Quelle in verschiedenen Identitäts-Repositorys
  • Abgleich von Zugriffen innerhalb der gesamten IT-Umgebung auf Basis festgelegter Richtlinien zur Sicherstellung der Compliance und zur Vermeidung von SoD- und anderen Richtlinienverstößen
  • Unterstützung von bedarfs- und ereignisgesteuerten Kampagnen zur Zertifizierung des Benutzerzugriffs, um Zugriffsverletzungen zu erkennen und zu verhindern
  • Auditing und Reporting von Zugriffsaktivitäten, die wichtige Informationen für die Serviceüberwachung und -optimierung liefern

In den meisten Unternehmen stehen traditionelle IGA-Implementierungen vor vielen Herausforderungen, die von komplexen Implementierungen und langwierigen Produkt-Upgrade-Zyklen bis hin zur Wartung von übermäßig angepassten IGA-Produkten und mangelnder Unterstützung für neue funktionale Anforderungen reichen. Die fehlende Verbindung zwischen Unternehmens- und IT-Sicherheitsfunktionen ist ein weiterer wichtiger Grund, warum IGA-Implementierungen scheitern. In vielen Unternehmen wird die IT-Sicherheit in erster Linie durch die Einhaltung gesetzlicher Vorschriften vorangetrieben, was zu einer unerwünschten Verschiebung der IGA-Prioritäten von administrativer Effizienz und besserem Risikomanagement hin zu Auditing und Reporting führt. Sicherheitsverantwortliche, die sich auf IAM konzentrieren, müssen sicherstellen, dass sie den Erfolg von IGA-Implementierungen frühzeitig mit ersten Implementierungsphasen demonstrieren können, um Glaubwürdigkeit aufzubauen und den Konsens zu erreichen, der für die Unterstützung von IGA-Initiativen durch IAM-Stakeholder erforderlich ist.

Der IGA-Markt hat in den letzten Jahren mehrere Trends erlebt, darunter eine wesentliche Verschiebung von Produktstrategien und Entwicklungsplänen hin zu einer integrierten Unterstützung für Cloud-Anwendungen. Diese Weiterentwicklungen zur Unterstützung der Cloud-Integrationen weisen in zwei Richtungen:

  1. Einerseits haben IGA-Anbieter ihre Produkte so verändert, dass sie eine Identitätsüberbrückungsfunktion zur Integration mit Cloud-Anbietern unter Verwendung von Branchenspezifikationen bieten. Manche IGA-Anbieter haben Partnerschaften mit speziellen Identitätsbrokern geschlossen, um die On-Premise-IGA-Funktionen auf Cloud-Anwendungen auszuweiten. Solche Ansätze eignen sich für Unternehmen mit einem annehmbaren On-Premises-IT-Footprint und Anforderungen zur Unterstützung komplexer IGA-Szenarien für ältere On-Premises-Anwendungen.

  2. Andererseits bieten manche IGA-Anbieter jetzt IGA-Produkte an, die in der Cloud eingesetzt werden können und über fertige Integrationen mit gängigen Cloud-Anwendungen sowie mit standardmäßigen On-Premise-Anwendungen verfügen. Dieser Ansatz eignet sich eher für Unternehmen, die einen massiven strategischen Fokus auf den Wechsel zur Cloud legen und kurzfristig die Vorteile von Cloud-IGA-Implementierungen, wie kürzere Bereitstellungszyklen, schnellere Upgrades und niedrigere TCO, erreichen möchten.

Die zunehmende Einführung von Cloud-basierten Identitätsspeichern und -verzeichnissen, wie Microsoft Azure Active Directory (AAD), hat zusätzlichen Druck auf IGA-Tools erzeugt, Out-of-the-Box (OOB)-Integrationen mit Cloud-Diensten zu unterstützen, die auf Industriespezifikationen wie SCIM basieren. Viele IGA-Anbieter bieten bereits fertige Integrationen mit Unified-Endpoint-Management-Tools (UEM) an, um Unterstützung für mobile Geräte zu bieten, mit dem Ziel, die Benutzererfahrung (UX) zu verbessern, die zu einem wichtigen Kriterium für die Bewertung von IGA-Produkten durch Unternehmen geworden ist. Die meisten IGA-Anbieter haben ihre Benutzer- und Verwaltungsoberflächen wesentlich überarbeitet, aber die mobile Unterstützung für kritische IGA-Funktionen, wie Zugriffszertifizierungen und Anforderungsgenehmigungen, hat keine hohe Priorität für viele Unternehmen, da diese Aufgaben mit besonderer Sorgfalt durchgeführt werden müssen. Falsche Zugriffszertifizierungen und unsichere Genehmigungen von Zugriffsanforderungen, die sich darauf zurückführen lassen, dass Benutzer keine angemessene Due-Diligence-Prüfung auf mobilen Geräten durchführen können, haben unter Umständen verheerende langfristige Auswirkungen auf die allgemeine Sicherheitslage eines Unternehmens. Viele IAM- und Sicherheitsverantwortliche plädieren deshalb dafür, Unternehmen keine mobile Unterstützung für solch kritische IGA-Funktionen anzubieten.

Auch die Integration von IGA mit anderen Unternehmenssystemen, wie ITSSM-Tools (IT Service & Support Management) sowie PAM-Tools (Privileged Access Management) ist zur Norm in der Branche geworden: Mehr als 80 % der IGA-Anbieter auf dem Markt bieten heute entweder eine OOB-Integration an oder nutzen verfügbare APIs für die erforderliche Integration. Die Integration mit ITSSM-Tools, insbesondere ServiceNow, ist ein beliebter Ansatz für Unternehmen, die IGA-Benutzerfunktionen (Zugriffsanfragen, Passwortverwaltung usw.) mit anderen Helpdesk-Funktionen des Unternehmens auf einer gemeinsamen Benutzeroberfläche (UI) oder in einem Portal für IT-bezogene Anforderungen konsolidieren möchten. ServiceNow-APIs können zur Integration mit dem IGA-Produkt im Hintergrund zwecks Anforderungserfüllung im Zielsystem eingesetzt werden.

Die Integration von IGA mit PAM-Tools ist ein weiterer Trend, der vor allem in stark regulierten Branchen aggressiv zunimmt. Es wurden nur wenige Integrationspunkte beobachtet, aber die Integration von IGA-Workflows für die Zertifizierung von privilegierten Zugriffen sowie des rollenbasierten Zugriffs von Administratoren auf das PAM-System gehören zu den Aspekten, die der IAM-Anwendung eines Unternehmens unmittelbare Glaubwürdigkeit und einen geschäftlichen Nutzen verleihen.

Auch die Integration von IGA-Tools mit User-Behavior-Analytics- (UBA) sowie Data-Governance-Tools (DG) spielt je nach den Zielen und dem erwarteten Geschäftswert solcher Integrationen eine immer wichtigere Rolle. UBA-Tools können von der Integration mit IGA-Tools profitieren, indem sie die Zugriffsaktivitäten eines Benutzers, wie z. B. Authentifizierungs- und Autorisierungsinformationen, über IT-Anwendungen und -Systeme hinweg analysieren, um Zugriffsmuster des jeweiligen Benutzers basierend auf seiner Rolle und im Vergleich mit seinen Kollegen zu erstellen und kontinuierlich zu aktualisieren. In ähnlicher Weise können DAG-Tools von IGA-Integrationen profitieren, indem sie Informationen zur Benutzeridentität und zu Zugriffsberechtigungen analysieren und den IGA-Tools im Gegenzug kontextbezogene Informationen über Geräteendpunkte sowie über Daten, die sich auf einem Gerät und in anderen Quellen befinden, zur Verbesserung der Richtlinienverwaltung bereitstellen.

Einige IGA-Anbieter haben ihre Bemühungen verstärkt, ihre Produktentwicklungs-Roadmap mit DevSecOps-Initiativen von Unternehmen abzustimmen, um containerbasierte Bereitstellungen zu unterstützen. Mit der zunehmenden Marktnachfrage bezüglich der Bereitstellung von IAM-Microservices werden in Zukunft immer mehr IGA-Funktionen basierend auf ihren funktionalen Zielen und Nutzungsmustern gruppiert und als Microservices bereitgestellt werden.

Bei KuppingerCole haben wir die folgenden Kernfunktionen von IGA-Anbietern identifiziert, die hauptsächlich in zwei Produktkategorien unterteilt werden können: Identity Lifecycle Management und Access Governance.

Identity Lifecycle Management:

  • Identitäts-Repository: Identitäts-Repositorys stellen eine Kernkomponente von IGA-Implementierungen dar und bieten einen Mechanismus zur Verwaltung von Identitäten, Identitätsattributen, Zugriffsberechtigungen und anderen identitätsbezogenen Informationen, die an verschiedenen Stellen in einer IT-Umgebung zu finden sind. Informationen zu Zugriffsrechten sowie anderen Berechtigungen innerhalb den Identitäts-Repositorys werden im Rahmen der Verwaltung der Zugriffsberechtigungen erfasst und korreliert, um den Zugriff von Benutzern auf die verschiedenen Systeme zu bestimmen. Identitäts-Repositorys werden oft als Teil eines IGA-Tools gebündelt und bieten eine konsolidierte Übersicht über Identitätsdaten. Bei separaten Identitäts-Repositorys wird die Virtualisierung von Identitätsinformationen durch virtuelle Verzeichnisse erreicht.

  • Identity Lifecycle Management: Das Identity Lifecycle Management stellt die Mechanismen für die Erstellung, Änderung und Löschung von Benutzeridentitäten sowie zugehörigen Kontoinformationen in Zielsystemen und -anwendungen bereit. Das häufig als JML-Prozess (Joiners, Movers and Leavers) bezeichnete Identity Lifecycle Management bietet eine umfassende Unterstützung für alle identitätsbezogenen Ereignisse, entweder über verfügbare Konnektoren für das automatische Provisioning/De-Provisionierung oder durch die Verwendung von Workflows für manuelle Eingriffe. Die Verwaltung von Benutzerkonten und Zugriffsberechtigungen über eine Vielzahl von IT-Systemen, einschließlich Cloud-basierter Anwendungen, hinweg stellt eine immer wichtigere Anforderung an die Identity-Lifecycle-Management-Funktionen heutiger IGA-Tools dar.

  • Passwortverwaltung: Die Self-Service-Passwortverwaltung ermöglicht das Zurücksetzen von Passwörtern und die Wiederherstellung von Benutzerkonten in Zielsystemen und -anwendungen, wenn Benutzer ihre Passwörter vergessen. Mittels Kennwortsynchronisierung wird sichergestellt, dass Kennwortänderungen erfolgreich über alle erforderlichen Systeme hinweg propagiert und übermittelt werden. Fortschrittliche IGA-Anbieter bieten neben mehreren Formfaktoren der Benutzerauthentifizierung zur Initiierung von Passwortänderungen auch risikogerechte Mechanismen zur Identitätsprüfung für die Wiederherstellung von Konten bei vergessenen Passwörtern an.

  • Verwaltung von Zugriffsanforderungen: Self-Service-Oberfläche für Benutzer zur Beantragung des Zugriffs auf IT-Ressourcen, wie Anwendungen, Datenbanken und anderen Ressourcen. Die Verwaltung von Zugriffsanforderungen umfasst den gesamten Prozess der Bereitstellung eines benutzerfreundlichen Ansatzes für die Beantragung des Zugriffs. Dies schließt die Suche nach sowie die Auswahl der gewünschten Ressource aus dem verfügbaren Ressourcenkatalog ein, um die im System verfügbaren Hierarchiemodelle zu durchsuchen und das Klonen des Zugriffs anzufordern. Immer häufiger kommt der Warenkorbansatz für die Suche und die Zugriffsanforderung zum Einsatz, um Benutzern eine bessere Erfahrung zu bieten. Mehrere Anbieter ermöglichen die Flexibilität, Workflows so zu konfigurieren, dass eine Änderung von Zugriffsanforderungen nach dem Einreichen der Anforderung und vor der tatsächlichen Ausführung basierend auf den Anforderungen des Geschäftsprozesses möglich ist.

  • Richtlinien- und Workflowmanagement: Das Richtlinienmanagement bietet einen Mechanismus für die regelbasierte Entscheidungsfindung auf der Grundlage vorkonfigurierter Regeln für Identitäts-Lebenszyklus-Ereignisse, wie Kontoschließungen, Rollenänderungen, Ausnahmegenehmigungen, Delegation von Rechten und Minderung von SoD-Vorfällen. Die Durchsetzung von Richtlinien wird entweder durch Lebenszyklusereignisse ausgelöst oder durch zugehörige Workflows bestimmt. Das Workflowmanagement befasst sich mit der Definition der notwendigen Aktionen, die zur Unterstützung einer erfolgreichen Ereignisausführung oder eines Entscheidungsprozesses erforderlich sind. Dies beinhaltet die Orchestrierung von Aufgaben innerhalb des gesamten Entscheidungsprozesses, um die Unternehmensanforderungen zu unterstützen. Das Workflowmanagement sollte einfache Anpassungen ermöglichen, um gängige Geschäftsszenarien wie Genehmigungsdelegationen und Eskalationen einzubeziehen.

  • Rollenmanagement: Das Rollenmanagement umfasst Funktionen für die Verwaltung von Zugriffsberechtigungen, indem es diese auf der Grundlage relevanter Zugriffsmuster gruppiert, um die Verwaltungseffizienz zu verbessern. Rollen können auf verschiedenen Ebenen definiert werden, am häufigsten auf Personen-, Ressourcen- und Anwendungsebene. Die Zugriffsmuster für die logische Gruppierung von Berechtigungen können mithilfe der Role-Mining-Funktionen von IGA-Tools abgeleitet werden, die Teil der Rollenverwaltung sind. Rollen-Governance, eine wichtige Funktion innerhalb der breiteren Access Governance, umfasst die grundlegende Rollenverwaltung als Teil des gesamten Lebenszyklusmanagements einer Rolle.

Access Governance:

  • Identity Analytics & AI/ML: Identity Analytics & AI/ML verwendet Datenanalyse- und Machine-Learning-Verfahren, um aussagekräftige Informationen aus der Masse an Protokollierungs- und Auditing-Daten abzuleiten, die von den Systemen generiert werden, mit dem Ziel, die Gesamteffizienz der IGA-Prozesse in einem Unternehmen zu verbessern. Dazu gehören Empfehlungen für die effiziente Nutzung von Rollen, die risikobasierte Minderung von Verstößen gegen Zugriffsrichtlinien, automatisierte Zugriffsüberprüfungen und sogar die Korrelation von Identitätsereignissen über verschiedene Systeme hinweg, um daraus verwertbare Erkenntnisse abzuleiten. Identity Analytics & AI/ML entwickelt sich schnell zu einem wichtigen Instrument, um Transparenz bezüglich des Betriebszustands von IGA-Prozessen zu erlangen, indem die von IGA-Tools generierten Betriebsdaten analysiert werden, um die Prozessreife und die Einhaltung von Service-Qualitätsstandards sowie von Compliance-Vorgaben zu bewerten. Identitätsanalysen können auch Benutzerzugriffsinformationen aus Authentifizierungs- und Autorisierungsereignissen in KI/ML-Tools einspeisen, um Muster im Benutzerzugriffsverhalten zu prototypisieren und anomale Zugriffe zu erkennen.

  • Zugriffszertifizierung: Eine weitere Schlüsselfunktion, um einen unternehmensweiten Überblick über den Status des Zugriffs auf eine Vielzahl von Geräten, Systemen und Anwendungen zu erhalten, einschließlich des Zugriffs auf Cloud-basierte Anwendungen. Mit der Zugriffszertifizierung können Prozess- und Rollenverantwortliche bei Bedarf oder in regelmäßigen Abständen Zugriffsüberprüfungen einleiten, um sicherzustellen, dass Benutzer nur die Zugriffsrechte haben, die für die Ausführung ihrer Aufgaben erforderlich sind. Zugriffszertifizierungskampagnen ermöglichen eine schnellere und genauere Überprüfung von Zugriffen, indem sie Richtlinienverstöße und Berechtigungskonflikte in den Zugriffsberechtigungen von Benutzern anwendungsübergreifend aufzeigen, die widerrufen oder im Rahmen von festgelegten Ausnahmen genehmigt werden sollen. Üblicherweise basieren die Zugriffszertifizierungsfunktionen auf Anforderungen der Ressourcenebene oder -hierarchie und werden zunehmend risikobewusst, um Mikrozertifizierungen auf der Grundlage des Risikos eines Ereignisses im Identitätslebenszyklus einzubeziehen. Im Gegensatz zu periodischen Zugriffszertifizierungen tragen ereignisbasierte Mikrozertifizierungen wesentlich zur kontinuierlichen Access-Governance eines Unternehmens bei.

  • Role Governance: Role Governance bezieht sich auf die Fähigkeit, den gesamten Lebenszyklus einer Rolle zu kontrollieren und zu überblicken – von der Einführung bis hin zur Außerbetriebnahme. Bei einer typischen rollenbasierten Zugriffskontrolle (RBAC) überwacht und verfolgt die Rollen-Governance die folgenden Schlüsselprozesse zur Steuerung des Rollenlebenszyklus. IGA-Tools bieten ein unterschiedliches Maß an Unterstützung für die Steuerung jedes dieser Ereignisse im Rollenlebenszyklus:

  1. Rollendefinition – Definition einer Rolle basierend auf Geschäftsfunktionen und logisches Gruppieren von Zugriffsberechtigungen auf der Grundlage der genehmigten Prototypen
  2. Rollengenehmigung – Der Prozess der Einholung der Zustimmung von Geschäfts-, Prozess- oder Rollenverantwortlichen, einschließlich der entsprechenden Rollenanalyse und der Dokumentation von Genehmigungen mit zugehörigen Workflows
  3. Rollenerstellung – Überwachung und Prüfung der Aufgaben im Zusammenhang mit der Implementierung der genehmigten Rollen in der Produktion
  4. Rollenzuweisung – Durchführung von SoD- und anderen Richtlinienprüfungen, um sicherzustellen, dass die Rollenzuweisung konform ist
  5. Rollenänderung – Sicherstellen, dass Änderungen an bestehenden Rollen genehmigt und nachverfolgt werden und keine neuen Risiken verursachen
  6. Rollenoptimierung – Nutzung von Erkenntnissen aus der Identitätsanalyse zur Identifizierung einer ineffizienten Verwendung von Rollen und Genehmigungsprozessen sowie die Implementierung von Maßnahmen zur Rollenoptimierung, um die Effizienz der Benutzerzugriffsverwaltung zu steigern.
  • SoD Controls Management: Segregation of Duties (SoD) Controls Management bezieht sich auf wichtige Kontrollen zur Identifizierung, Dokumentation, Meldung und häufig Minderung von Verstößen gegen die SoD-Richtlinien, die zu erheblichen Risiken für interne Betrugsfälle in einem Unternehmen führen. Diese Kontrollen sind unerlässlich, um rollenbasierte Berechtigungen in Anwendungen mit komplexem Berechtigungsmodell zu verwalten. IGA-Kontrollen bieten jedoch Möglichkeiten zur Identifizierung von SoD-Risiken, die grobkörniger als die Möglichkeiten auf der feinkörnigen Berechtigungsebene sind, wie sie bei anderen komplexen, selbst entwickelten Anwendungen, insbesondere ERP-Lösungen, zu finden sind. Zu den wichtigsten Kontrollen, die im Rahmen des SoD-Kontrollmanagements angeboten werden, gehören die systemübergreifende SoD-Risikoanalyse, ein konformes Benutzer-Provisioning, das Notfall-Zugriffsmanagement, das erweiterte Rollenmanagement, die Zugriffszertifizierung mit SoD-Analyse, die Transaktionsüberwachung sowie Auditing und Reporting.

  • Reporting und Dashboards: Dies bezieht sich auf die Erstellung von wertvollen Einblicken in Formaten, die von den Geschäftsfunktionen leicht aufgenommen werden können, um die Governance zu verbessern und die Entscheidungsfindung zu unterstützen. Das Berichtswesen wird durch integrierte Berichte erleichtert, wobei Vorkehrungen für benutzerdefinierte Berichte vorgesehen sind. Dashboarding ist eine wichtige Auditing-Kontrolle, die eine einfache und geschäftsfreundliche Abstraktion von Metriken sowie Datenmodellierung zur Überwachung des effektiven Betriebs von IGA-Prozessen ermöglicht. IGA-Anbieter bieten integrierte Vorlagen für das Reporting mit der Möglichkeit, es an die Prüfungs- und Berichtsziele des Unternehmens anzupassen. Die meisten Anbieter ermöglichen den Export von IGA-Daten unter Verwendung branchenspezifischer Formate in Reporting- und Analysetools von Drittanbietern für eine erweiterte Datenmodellierung und Business Intelligence. Für die Bewertung der Reporting- und Dashboarding-Fähigkeiten von IGA-Anbietern in diesem Leadership Compass betrachten wir neben dem allgemeinen Reporting unter Verwendung integrierter Vorlagen auch die Fähigkeit der Anbieter, die Breite und Flexibilität des Datenmodells für ein individuelles Reporting anzupassen, sowie die Dashboarding-Fähigkeit zur Unterstützung komplexer und granulärer Datenmetriken bereitzustellen, um die Interpretation zu vereinfachen.

Neben den oben beschriebenen IGA-Kernfähigkeiten berücksichtigen wir bei der Bewertung von IGA-Anbietern für diesen Leadership Compass auch verschiedene betriebliche Faktoren. Diese Kriterien sind:

  • Benutzererfahrung (UX): UX ist ein wichtiger Aspekt von IGA für Leader in den Bereichen Sicherheit und IAM, welche die Lücke zwischen den unangenehmen Seiten von Sicherheitskontrollen und der Nachfrage nach einem verbessertem Benutzerengagement durch Self-Service-Optionen schließen möchten. Herkömmliche IGA-Kontrollen leiden unter verschiedenen Ineffizienzen, darunter ein schlechtes Design der Benutzer- und Administrationsoberflächen, die das Verständnis und die Ausführung gängiger IGA-Aufgaben erschweren. Unternehmen haben einen höheren Bedarf, sicherzustellen, dass IGA-Tools ihre UX-Ziele unterstützen. Die meisten Anbieter haben ihre Benutzeroberflächen erheblich überarbeitet, um eine bessere UX zu bieten, wobei der Warenkorbpansatz bei Zugriffsanforderungen heute am häufigsten zum Einsatz kommt. Viele andere Anbieter bieten mobile Unterstützung für gängige IGA-Aufgaben wie Zugangsanforderungen, Passwortwiederherstellungen und Anforderungsgenehmigungen.

  • Automatisierungsunterstützung: Die Automatisierung gängiger IGA-Aufgaben war schon immer eine Priorität für Unternehmen, um die Ungenauigkeit und administrative Ineffizienz zu reduzieren, die bei der manuellen Erledigung von IGA-Aufgaben auftritt, mit dem Ziel, den IGA-Betrieb schlanker zu gestalten und die TCO zu senken. Die meisten IGA-Tools bieten Unterstützung für das automatisierte Provisioning und Fulfilment, was zu einer grundlegenden Automatisierung von IGA-Anforderungen führt. Einige Unternehmen stellen umfangreichere Anforderungen an die Automatisierung, wie z. B. automatisierte Zugriffsüberprüfungen und ereignisgesteuerte Zugriffszertifizierungen. Während einige Anbieter damit begonnen haben, diese Funktionen zu unterstützen, müssen IAM-Leader noch für die richtige Mischung aus manuellen und automatisierten IGA-Prozessen sorgen, um die Effektivität der Prozesse durch kontinuierliche Überwachung anhand definierter Leistungskennzahlen (KPIs) zu gewährleisten.

  • Einfache Implementierung: Ein Mangel an Fachkenntnissen in Verbindung mit der Komplexität von IGA-Implementierungen hat dazu geführt, dass Unternehmen externe Hilfe suchen und aktiv professionelle IAM-Serviceanbieter engagieren, die sie bei der Implementierung unterstützen. Dies kann die Gesamt-TCO von IGA-Implementierungen in den ersten Jahren fast um das Dreifache erhöhen. Es ist wichtig, dass IGA-Anbieter Unternehmen einen einfachen Implementierungsansatz ermöglichen, um die Verwaltung mit den verfügbaren internen Ressourcen zu erleichtern. Neben dem zugrundeliegenden Software-Design sollten IGA-Produkte einfache Anpassungen mit gängigen Skriptsprachen ermöglichen sowie Unterstützung für das Konfigurations- und Änderungsmanagement bieten. Dazu gehören Funktionen, die Unternehmen dabei helfen, umgebungsbasierte Konfigurationen zu reduzieren, wie z. B. die Unterstützung von DevSecOps und skriptgesteuerten Implementierungen. Wir evaluieren auch die Einfachheit von Produkt-Upgrades in Verbindung mit der Frage, wie einfach ein Produkt für betriebliche Anforderungen wie Hochverfügbarkeit, automatischem Failover und Disaster Recovery konfiguriert werden kann.

  • Integration von Drittanbietern: IGA-Produkte müssen mit verschiedenen anderen Unternehmensprodukten und -anwendungen integriert werden, um den erwarteten Geschäftswert zu liefern. Auf dem Markt erhältliche IGA-Produkte werden am häufigsten mit den folgenden Tools integriert:

  1. IT-Service-Management-Tools (ITSM), in erster Linie ServiceNow, um im Wesentlichen ein gemeinsames Front-End für Benutzer für Zugriffsanforderungen und anderen Helpdesk-bezogenen Aufgaben anzubieten
  2. Unified-Endpoint-Management-Tools (UEM), um IGA-Aufgaben auf mobilen Geräten zugänglich zu machen und sogar mobiles Single Sign-On auf IGA auszuweiten
  3. Privileged-Access-Management-Tools (PAM), die eine Notfall-Zugriffsverwaltung für Anwendungen mit komplexen Berechtigungsmodellen sowie für eine privilegierte Access Governance bieten
  4. User-Behavior-Analytics-Tools (UBA), die Unternehmen dabei helfen, eine Vergleichsgrundlage bezüglich des Benutzerverhaltens mit Feeds aus der Identitätsanalyse zu erstellen und anomale Verhaltensweisen zu erkennen.
  5. Data-Governance-Tools (DG) zur Ausweitung der standardmäßigen IGA-Kontrollen auf Daten und Informationen, die auf einer Vielzahl von Systemen gespeichert sind, einschließlich Geräteendpunkten, geteilten Datenspeichern, Netzlaufwerken usw.

Skalierbarkeit und Leistung: Aufgrund der stetig wachsenden IT-Landschaft für Unternehmen können IGA-Implementierungen leicht unter Druck geraten, um eine bessere Leistung in Bezug auf die Prozessausführung, die Zielintegration sowie die allgemeine Skalierbarkeit zu erzielen. IGA-Produkte werden auf der Grundlage ihrer Skalierbarkeit für die Aufnahme einer steigenden Anzahl von Benutzern, Identitätsattributen, Rollen, verwalteten Zielen und Systemverbindungen bewertet. Viele IGA-Tools haben in letzter Zeit eine umfassende Produktumgestaltung durchlaufen, um den Anforderungen von Unternehmen an die Skalierbarkeit und Leistung im digitalen Zeitalter gerecht zu werden.

Representation of core IGA functions by 'Identity Lifecycle Management' and 'Access Governance' categories
Figure 9: Representation of core IGA functions by 'Identity Lifecycle Management' and 'Access Governance' categories

Darstellung der IGA-Kernfunktionen nach den Kategorien „Identity Lifecycle Management" und „Access Governance"

1.3 Liefermodelle

Dieser Leadership Compass konzentriert sich auf Produkte, die als On-Premise-Version angeboten werden, die entweder am Standort des Kunden oder als verwalteter Service von einem Managed IAM Service Provider bereitgestellt werden. IDaaS-Angebote (Identity-as-a-Service) betrachten wir in diesem Leadership Compass nicht.

KuppingerCole hat einen separaten Leadership Compass zu IDaaS veröffentlicht, einschließlich IDaaS B2E, das sich auf IDaaS-Lösungen konzentriert, die IGA für hybride Umgebungen unterstützen und die als Service bereitgestellt werden.

1.4 Erforderliche Funktionalität

Bei unserer Bewertung von IGA-Anbietern im Rahmen dieses Leadership Compass nutzen wir mehrere Bewertungskriterien, einschließlich, aber nicht beschränkt auf die folgenden Funktionsgruppen:

  • Zielsystemkonnektivität
  • Zugriffsanforderung & -genehmigung
  • Zugriffsprüfung
  • Access Intelligence
  • Zugriffsrisikomanagement
  • Authentifizierung
  • Benutzeroberfläche und mobile Unterstützung
  • Datenmodell

Jede der oben genannten Funktionsgruppen muss eine oder mehrere der unten aufgeführten Funktionen umfassen, um die Kriterien zu erfüllen:

  • Workflow-Unterstützung für Anforderungs- und Genehmigungsprozesse
  • Workflow-Unterstützung für das Lebenszyklusmanagement für Rollen
  • Tools, welche die grafische Erstellung und Anpassung von Workflows und Richtlinien unterstützen
  • Zentralisiertes Identitäts-Repository
  • Access-Intelligence-Funktionen
  • Flexibles Rollenmanagement mit Unterstützung für Role Governance
  • Unterstützung für risikobasierte, ereignisbasierte Zugriffsüberprüfungszertifizierungen sowie gezielte Zugriffsüberprüfungsanforderungen
  • Unterstützung für SoD-Richtlinien sowie kontinuierliche Überwachung von SoD-Kontrollen
  • Flexible Anpassung der Benutzeroberfläche an die spezifischen Anforderungen des Kundenunternehmens
  • Basiskonnektivität zu Zielsystemen und Identity-Lifecycle-Management-Systemen
  • Cloud-Konnektoren, die Access-Governance-Unterstützung für gängige Cloud-Services bieten
  • Anpassung von Zuordnungsregeln zwischen zentralen Identitäten und den Konten pro Zielsystem
  • Unternehmensfreundliche Benutzeroberfläche
  • Starke und flexible Delegationsfunktionen

Zusätzlich zu den oben genannten Funktionen bewerten wir in diesem Leadership Compass auch die Tiefe der technischen Spezifikationen der Produkte. Zu diesen Produktspezifikationen zählen vor allem die Folgenden:

  • Konnektivität
    Die Fähigkeit, Verbindungen zu verschiedenen Quellen von Zielsystemen herzustellen, einschließlich direkter Verbindungen, Integration mit bestehenden Identity-Lifecycle-Management-Tools verschiedener Anbieter und Integration mit ITSM (IT Service Management) oder Helpdesk-Ticketing-Tools. Generell erwarten wir von modernen Access-Governance-Lösungen, dass sie nicht nur Daten aus den Zielsystemen lesen, sondern auch das Fulfillment initiieren und Änderungen abgleichen.

  • Übernahme von Konnektoren
    Die Nutzung von OEM-Konnektoren oder von Partnern bereitgestellten Konnektoren wird nicht empfohlen und als Risiko für den laufenden Support und das vorhandene Know-how beim Anbieter gewertet.

  • SRM-Schnittstellen
    Wir erwarten, dass die Systeme eine Out-of-the-Box-Integration zu führenden ITSM-Systemen für das manuelle Fulfilment von Provisioning-Anforderungen bieten.

  • SPML-/SCIM-Unterstützung
    Die Unterstützung von SCIM (System for Cross-domain Identity Management) wird gegenüber der traditionellen SPML (Service Provisioning Markup Language) sowohl für die föderierte als auch für die On-Premise-Implementierung bevorzugt. Wir evaluieren jedoch die Unterstützung für beide Standards in Abhängigkeit von spezifischen Anwendungsfällen.

  • Bereitstellungsmodelle
    Die Unterstützung mehrerer Bereitstellungsoptionen, wie Hard-/Soft-Appliances und optionale MSP-Services, bietet Kunden eine größere Auswahl.

  • Anpassung
    Bevorzugt werden Systeme, die wenig oder keine Codierung erfordern und Skripting oder, falls Programmierung erforderlich ist, SDKs sowie eine Reihe von Programmiersprachen unterstützen. Wir berücksichtigen in diesem Zusammenhang auch Transportmechanismen zwischen IT-Umgebungen (z.B. Entwicklung, Testing und Produktion) sowie die Möglichkeit, Anpassungen nach Upgrades unverändert beizubehalten.

  • Mobile Schnittstellen
    Sichere Apps, die mobilen Zugriff auf bestimmte Schlüsselfunktionen des Produkts bieten, wie z. B. die Freigabe von Zugriffsanforderungen usw.

  • Authentifizierungsmechanismus
    Wir erwarten, dass IGA-Produkte grundlegende Authentifizierungsmethoden unterstützen, allerdings wird die Verwendung von Multi-Faktor-Authentifizierungsmethoden zur Begrenzung des Betrugsrisikos bei diesen Systemen als Vorteil gewertet. Der sichere, aber vereinfachte Zugriff für Geschäftsbenutzer hat Vorrang.

  • Internes Sicherheitsmodell
    Alle Systeme müssen über eine ausreichend starke und feinkörnige interne Sicherheitsarchitektur verfügen.

  • Hohe Verfügbarkeit
    Wir erwarten von IGA-Produkten, dass sie integrierte Hochverfügbarkeitsoptionen oder Unterstützung für HA-Komponenten von Drittanbietern bieten, wo dies erforderlich ist.

  • Einfache Implementierung
    Die Komplexität der Produktarchitektur und ihre erforderliche relative Implementierungsdauer sowie die Konfiguration und Integration grundlegender Dienste wie Authentifizierung, Single Sign-On, Failover und Disaster Recovery sollte minimal sein.

  • Mehrmandantenfähigkeit
    Angesichts der zunehmenden Anzahl von Cloud-Implementierungen, aber auch der spezifischen Anforderungen multinationaler und großer Unternehmen, ist die Unterstützung von Multi-Tenancy sehr empfehlenswert.

  • Warenkorbansatz
    Diese Ansätze sind sehr beliebt, um die Verwaltung von Zugriffsanforderungen zu vereinfachen, indem sie ein den Benutzern vertrautes Warenkorbparadigma verwenden.

  • Standards
    Unterstützung von Branchenstandards für das direkte Provisioning, einschließlich bekannter Protokolle wie HTTP, Telnet, SSH, FTP usw.

    Unterstützung von Branchenstandards für das föderierte Provisioning, einschließlich OpenID Connect, OAuth und SCIM.

  • Analysefunktionen
    Analyse von Identitäts- und Berechtigungsdaten zur Unterstützung von Funktionen wie Rollenmanagement, Zugriffsanforderungen und Richtlinienmanagement. Fortgeschrittene Analysefunktionen, die über das Reporting hinausgehen und die Standard-BI-Technologien (Business Intelligence) oder andere fortschrittliche Ansätze, wie z. B. tiefes maschinelles Lernen für automatisierte Überprüfungen, nutzen, werden immer bedeutender.

  • Rollen- und Risikomodelle
    Gerade für den Governance-Aspekt von IGA-Produkten spielen die Qualität und Flexibilität von Rollen- und Risikomodellen eine immer größere Rolle. Diese Modelle müssen nicht nur relevant sein, sondern auch einen starken konzeptionellen Hintergrund mit ausreichender Flexibilität zur Anpassung an die Risikomanagement-Prioritäten des Kunden aufweisen. Es ist wichtig, dass Unternehmen nicht viel Aufwand betreiben müssen, um ihre Geschäftsprozesse an die vom Tool angebotenen Vorlagen anzupassen, sondern dass sie ein Tool nutzen können, das genügend Flexibilität bietet, um sich an ihre IGA-Anforderungen anzupassen.

  • Data Governance
    Unterstützung für Data Governance, d. h. die Fähigkeit, den Zugriff auf Datenbestände zu steuern (Rollen, Richtlinien) und Unternehmen bei der Einhaltung von Daten-Compliance-Vorschriften zu unterstützen.

  • Rollen-/SoD-Konzept
    Das Produkt sollte die Möglichkeit bieten, sowohl Unternehmens- als auch Anwendungsrollen auf inhärente SoD-Risiken (Segregation of Duty) zu analysieren, und kontinuierlich überwachen, ob neue SoD-Risiken eingeführt wurden, sowie dazu dann Abhilfemaßnahmen anbieten.

Alle diese technischen Spezifikationen werden anschließend ausgewertet, um jeden Anbieter im Rahmen dieses Leadership Compass zu bewerten. Die Punktzahl, die sich aus der Bewertung dieser technischen Spezifikationen ergibt, wird zu unserer Bewertung der IGA-Produkte hinzuaddiert. In der Gesamtbewertung betrachten wir auch spezifische Alleinstellungsmerkmale (Unique Selling Propositions, USP) und innovative Funktionen von Produkten, die sie von anderen Angeboten auf dem Markt unterscheiden.

Continue reading...
Read the full report and get access to KuppingerCole Research for 4 weeks.
Start Your Free Trial
Already a subscriber? Click here to login.