die Folien bitte eins weiter schlucken wenn es geht also ganz kurz zu mir mein Name ist in den die richter, ich bin Wirtschaftsingenieur an der Universität karlsruhe und bin seit mehr als 18 jahren in diversen positionen bei Ihnen wie die und anderswo tätig, aktuell bin ich schief Architekt des Identity und Organisation der Data management Systems, der in die und außerdem arbeite ich noch als Dozentin für Identity Access Management in der sozialen investieren plaid seins und aus so bitte eins weiter beim thema heute wird es darum gehen wie inter press zusammenarbeit in der Realität aussieht. Ja, also auch bei uns ist das so wie bei vielen anderen auch Kollaboration Szenarien sprudeln in einem überangebot bei uns in die Firma rein, jede menge auch als Ad hoc Szenarien. Wir haben auch viel Spaß dadurch, dass viele Leute im Home Office sind, das pusht das ganze Cloud Angebot immer noch weiter nach vorne und wir haben auch versucht hier ich hab mal versucht zusammenzufassen, was man da alles zum Thema Access Management machen können machen sollte, vielleicht auch nicht machen sollte und welche Fragestellungen man da irgendwie betrachten muss, also ein bisschen Homo Zusammenarbeit und digitale Kooperation.
Was gibt es da ein typischen Situationen wie sieht der typische glaubt Tool Landschaft aus und wo gibt es ein paar Patterns und Anti Paartanz, mit denen man da das Access Management ein bisschen unter Kontrolle bekommt? Bitte geradeaus weiter ja der Begriff für sich ist schon mal recht lustig also auf deutsch heißt das Kollaboration. Der deutsche Begriff hat zwei nette Bedeutung, dass eine wird auf Englisch als Kollaboration bezeichnet, das ist das, was wir meinen, wenn ein oder mehrere Leute aus einer oder mehrere Organisationen irgendwie zusammenarbeiten und irgendein Ergebnis zu erzielen typischerweise auch in digitaler Form. Und dann gibt es den Cola Brad und müssen. Das ist während der Zeit des Krieges, wenn man eines aus dem historischen Kontext wenn man mit dem Feind kollaboriert da der Begriff im deutschen Haider nicht unterschieden wird, bleiben wir besser beim neudeutschen Begriff Kollaboration. Eins Weiter bitte den unteren, den des historischen betrachten wird es nicht, könnten wir uns weiter vor Wir haben also eine Organisation, die besteht aus Mitarbeitern, Strukturen und Regeln und jede Menge IT, das ist unsere Organisation eins, die nehmen wir als Beispiel, die wird uns jetzt beide verfolgen weiter bitte!
Und wir haben eine Organisation zwei die hat andere Mitarbeiter, andere Strukturen und Regeln und andere Team. Eins weiter wenn wir jetzt betrachten was hier an Austausch stattfindet, gibt es erstmal Informationen. Das ist immer dann, wenn wir von der organisation eins in die organisation zwei irgendwas übertragen vielleicht früher über den falsche oder Geschichten das per e mail hin eins wetter wenn wir Kommunikation betrachten, dann ist das schon ein biotech beat direktion a ler kommunikationskanal dazu würde ich meine tele co telekommunikationsverbindungen zellen vielleicht auch e mail ist mit bisschen latenzzeit aber irgendwie kann man ein bisschen im pingpong hinkriegen, wie man mit einer zweiten organisation zusammenarbeiten kann oder bitte eins wetter hier die dritte variante dass es die kollaboration, das man dann echt die interaktive und gemeinsame nutzung von irgendwelchen city zurück bitte ins wetter die wir nehmen als definition für kollaboration oder kohl operation die intensiv und digitale zusammenarbeit über organisations grenzen hinweg und das bedeutet immer auch eine intensive zusammenarbeit über die Grenzen hinweg so wie geht das im Detail mit dem nächsten Pool?
Also gestern haben wir das üblicherweise so gemacht, da hat man sich darauf geeinigt, dass die Organisation eins oder die Organisation zwei. Irgendjemand muss halt in seinem Rechenzentrum irgendeinen Kohle Ovations Tool installieren, dann liegt man zwischen den beiden Organisationen irgendwie einen gesicherten Kanal, meist in Form eines die Bands Dort hat die ein zugehöriger IT Infrastruktur auf nicht die Verwaltung ein und stellt fest, dass ganze Bucht und die Zeit zum Einrichten das kostet Auch eskaliert nicht wirklich und für spontane Situationen Wenn ich jetzt noch eine Organisation 345 und sechs anderen ziehen, mit denen ich schnell mal was machen möchte, ist das jetzt nicht wirklich geeignet. Eins Weiter bitte! Heute sieht die ganze Geschichte so aus Wir nehmen das Internet als Universal des Transport Medium, machen zwar verschlüsselte Verbindung, aber die gerne in leicht gewichtig und treffen uns auf irgendwelchen Cloud Service es als universelles Come Together Plattformen, das ist allgemein und schnell verfügbar.
Geringe Einstiegs Würde und skaliert ganz prima, wie geht das im Detail mit eins weiter? Hans Peter, also gucken was das noch mal an was brauchen wir eigentlich? Damit? Das funktioniert also eine Organisation eins brauchen wir als Voraussetzung für die Teilnahme einen Web Browser mit Internetzugang wie E Mails meistens vonnöten und eine Kreditkarte. Wenn irgendjemand muss ja auch den Cloud Provider bezahlen, wo wir hier die Kooperations Software oder die Plattform anmieten und dann können wir mit der Organisation zwei zusammenarbeiten. Bitte eins weiter wie sieht so ein typischer cloud provider, der einen collaboration service anbietet, büros ist der aufgebaut? Also da haben wir erst mal den eigentlichen kooperations service mit dem content auf dem da oder mit dem da kollaboriert werden soll das kann per sass pass oder ihr soll es sein? Unter uns weiter wir haben den alberti provider, da haben wir user id und passwort hat darauf das ist das ding das irgendwie das login und den user historisch bewerkstelligt damit die kooperations plattform überhaupt funktioniert.
Ein 2. bitte und wir haben eine oberfläche für die verwaltung, der hat in der menschen aus organisation einst viel spaß bei der darsteller die sachen eintippen und eins weiter und typischerweise haben wir auch ein irgendeine form von einladungs service damit für weitere kooperationspartner und user hier überhaupt auf die plattform bringen können. Noch eins weiter es gibt natürlich noch ein paar weitere service ist das muss ja auch irgendwie in rechnung gestellt werden und so weiter. Aber die betrachten wir einmal nicht im Detail, weil das darauf kommt es nicht an, wenn es weiter bitte also zu beginnen, ist dieser Identity Provider schlicht und einfach leer, weil wir können zwar ein stolzer Vice mieten, der ist aber nicht vorgefühlt üblicherweise. Jetzt kommt die Strafe. Spannende Fragen für das Thema Access Management Wie kommen wir dort die User rein? Ein 2. Mittel also die Theorie ist ganz einfach das ist auch nur ein IT Systemen und User reinzukriegen gibt es User life Cycle das folgt üblicherweise einen krampf, Pattern kratzt, das steht für, kräht, also erzeugen wie lesen oder Nutzen ab, Daten ändern und die Lied für löschen also wir müssen gucken, dass Nutzer erzeugt gelesen werden können, ändern und löschen können.
Okay, geht das jetzt bei so einem Klotz? Das bitte eins weiter wir werden unseren Kooperations Service gemietet, das was immer geht ist wir haben bestimmen in unserer Organisation ein Verwalter, drücken dem die Verwaltungs Oberfläche in die Hand und wünschen ihnen viel Spaß beim Eintippen. Wo das endet, damit wenn man viele Cloud Services hat oder viele kooperations plattform, hat man auch viele lokale User mit vielen lokalen Passwörtern. Es gibt kein Single sein und unsere wirklich toll skalieren diese Variante der Benutzer pflege auch nicht, es ist aber die Variante mit der wirklich jeder klotzes auf die welt kommt wird ansonsten wäre er nicht verkäuflich. So gebe eins weiter gucken uns die praxis zwei jahren das ist auch noch ging wir verwenden vorhandene konnten. Wir haben bestimmt in unserer organisation einen eigenen identity provider, der ist auch schon gut gefüllt bei den gips und cremes ist oder sonst wo und wenn wir eine trust beziehung mit dem identity provider des glaube war, das einrichten können einen user sink einrichten, dann können wir entsprechend die user aus unserer organisation der um verwenden müssen sie nicht per hand eintippen, dass die Qualität von diesem live säcke hängt ganz stark davon ab, wie man das ausgestaltet.
Es gibt häufig, dass man einfach sagt finde benutze ich akzeptiere in den klotz du bist einfach alle blauen benutzer wenn sich eine anmeldet würde akzeptiert von den blauen und dann übertragen wir auf seine user daten und richt nimmt er sein konto ein oder was halt auch immer einen klotz missbraucht das ist ein provision i rung bei lung in das deckt das kräht also das Erzeugen des Fußes ganz prima abt ab, nutzen kann man es auch ab der Jetzt kommen wir immer nur höchstens dann rüber, wenn man sich frisch anmeldet. Löschen fehlt komplett, da müssen Sie noch eine Gabel Kollektion dazu in stellen. Hoffentlich hat der Cloud Provider dran gedacht Unsere Erfahrung ist Das wird meistens sträflich vernachlässigt, ist nicht so schön viel besser mittlerweile gibt haben auch viele Schnittstelle, um hier systematischer Provision Währung zu betreiben, zum Beispiel übers Kinn und dann sieht die Sache ganz okay aus den haben sie einfach jeden ganz normal.
User sind Prozess eingerichtet Aber die ganze Sache hat auch so hier ein Haken also das Einrichten von vielen Identity Provider Trust ist jetzt eben auch nicht mal so ein super agiler Prozess kann ihnen auch nicht möglich toll und Access rechte der hier eigentlich in welchen Inhalt was darf oder wir wollen haben wir auch noch keine eingerichtet, also ganz zufrieden stellen ist das auch noch nicht deshalb immer auch eine Folge weiter Praxis? Drei, die eigentlich die Probleme haben dann oder Cloud Provider haben dann gesagt Das muss doch irgendwie auch besser gehen, machen wir das doch mit Einladungs Volk floss also unser einer, der schon in unserem Cloud Collaboration Service vorhandenes möge bitte auf den Einlade Knopf drücken und per E Mail eine Einladung an den nächsten schicken, den er gerne hier in zum cloud kollaborieren einladen möchte der Held typischerweise per e mail, so ein einlade link vervollständigt seine eigenen Angaben bei der ersten Anmeldung in dem Zuge.
Durch die Einladung kann man auch gleich sehr schön das Access management, also den zugriffs rollen innerhalb der Applikation was da einzurichten es einrichten und dann haben wir hier so eine Mischung aus einem verteilten selbst seines pflegers Szenario. Das kann man häufig für lokale User daraus können lokale User entstehen, daraus können aber auch User aus anderen Idee PS mit der Trust Beziehung entstehen oder Mischmasch aus beiden weiter. Bitte ja das ist Krefeld funktioniert ganz prima, weil da ganz viele Anwender auf diesem einlade bronson einlade button ruhmlosen können laden die auch ganz viele anderen ein? Also da gibt es eigentlich mit den krebs nie probleme die app des gehen auch so einigermaßen, weil die leute können in der regel bei den Szenarien im selbst ihre eigenen daten ab daten und soweit sie es stört, dass sie nicht aktuell sind, tun sie es dann auch nicht so schön bitte die nächste nicht so schön ist natürlich die Situation ist sehr verteilt und sehr übersichtlich, also wenn sie der 20.000 User haben die halt im selbst service das theoretisch das ganze Internet einladen können, ist es relativ schwierig noch irgendwie Prozesse und Kontrolle darüber auszuüben.
Und realistisch gesehen ist löschen ohne weiteres zutun und ohne weitere maßnahmen hier praktisch unmöglich, weil kein mensch kann sagen ob dieser user da unten noch benötigt wird oder nicht bei der ist recht ist hier von fünf leuten mittlerweile eingeladen und es lässt sich nicht mehr nachvollziehen ist jetzt auch nicht so im sinne von access management ten super ordentlicher zustand. Wir gehen einen folge weiter bitte! Es geht aber noch schlimmer also der berühmte link zugang das es kollaboration ohne user das funktioniert eigentlich wie das ding mit user nur ist es so. Ich verschicke nicht einen ganzen user der sich dann erzeugt und ich richtete hast beziehungen ein sonnig verschickt einfach ein link an irgendjemanden der kant kriegt in den der e mail der link hat hoffentlich eine kryptische ernie erkannt da drauf drücken und kann dann einfach dieses kooperation szenarien einen beschränken benutzen. Meistens kann er den link weiter schicken.
Die können natürlich auch im internet weiter schicken den können mit einem möglichen leute benutzen. Das ist alles nicht so ganz so tollen bitte eins weiter das heißt es ist in der Regel sehr einfach zu bedienen. Braucht auch nicht wie sich eine kunden einrichtungen man muss nur die immer interesse 100 funktioniert das und eins weiter, aber durch die weiterleite Ray und dadurch das meist auch ein Verfallsdatum fehlt ist eine Gabe die Kollektion praktisch unmöglich. Und die insgesamt tendiert die ganze Situation zu einer starken Unübersichtlichkeit in der Linken. Erst mal ein halbes Jahr um Blick mag sich vielleicht auch der konnten mittlerweile von öffentlich auf kritisch geändert. Man kann sich gar nicht mehr dran erinnern wir da alles in den verschickt hat ist jetzt wirklich nicht so toll. Eins weiter bitte! Das heißt die zentrale Frage, die wir hier haben, ist Wer räumt das eigentlich alles auf?
Ein ordentlicher Live zeigte auf diese exaktes praktisch nicht möglich technische Nutzungs. Polizist gehen auch fast nicht und organisatorische Polizistin auch sehr schwierig hinzubekommen. Vielleicht kann man so was machen, wir, dass man sich auch sehr unwichtigen und sehr kurzlebigen konnten, beschränkt, aber selbst bei den kurzlebigen Sachen gibt es Missbrauch, also nur das Stichwort zum Bombigen. Das ist eigentlich typisches Links Hering und geht trotzdem schief. Obwohl das nur flechten paar minuten benutzt wird. Ja dann eins weiter wir haben noch einen weiteren zugangs a art, die wir betrachten sollte es ist das thema bringe ohne count umfeld, also bisher haben wir Betrachtung im business kontext gemacht, grundsätzlich kann man Einladungen von User nun auch gegen allgemein zugängliche Identity Provider wie facebook, google, Ordnung oder wenn es da alles gibt, wo ich mir halt als endanwender einfach ein Konto einrichten kann. Die kann ich auch zum ort identifizieren gegenüber cloud services verwenden, dass es durchaus gängig so wir haben also wieder unsere Organisation eins mit unserem gut abgesicherten altea umfeld in der Firma wir haben das Internet, wir haben die kohle operation service unter unten sind unsere Kooperationspartner bitte eins wetter!
Wir haben jetzt unseren mitarbeiter bruno pandemie bedingt oder wie auch immer in arbeitet im home office, er hat also ein gut funktionierendes city umfeld im home office bitte eins weiter und er nutzt über irgendwas ganz sicher das was wir da geschaltet haben, den die gut abgesicherte Firmen eine TI zum Arbeit dann bitte eins weiter dummerweise kann man aber mit der Firma mit nicht so ohne weiteres den Kohl Operation Service erreichen. weil dazu ist unsere eigentliche zu sicher bestes Beispiel ist Gehen Sie auf der Konferenz konsumieren Einsatz ist der, werden 80 % der Leute, die aus Deutschland kommen, mit einer privaten Hardware daran teilnehmen, weil es in ihrem Film Umfeld einfach die Polizisten nicht zulassen so was passiert als nächstes bitte eins weiter Der Mitarbeiter wird also ein lokales Konto irgendwie einrichten und lokal Zugang um an diesem Kooperations Zirkus teilzunehmen, sich dort mit den Partnern zu treffen.
So weit, so gut. Eins. Weiter bitte noch als nächstes, sagt er sich. Aber wieso muss ich denn da jedes Mal vielen Kooperations löst ein frisches Konto einrichten, richtet sich als beispielsweise in Ordnung kommt Konto ein, verwendet das für Kohl Operations Services die im weiteren Umfeld nutzt. Du und jetzt haben wir also eine Situation, dass wir in einem Business Kontext diese allgemein zugänglichen Identity Provider plötzlich hier zur Kollaboration verwendet werden? Eins weiter Das Ganze ist so die abgeschlossene und sicherer die Firma it ist, umso mehr werden diese Bevölkerung uns wie das grüne und das ruht hier entsprechende entstehen. Und bei der Kooperation muss man ganz klar sagen Das ist ein sehr ambivalentes Thema also. Einerseits haben eine mögliche Kostenersparnis, wenn man hier so viel Tierkörpern brauchen. Beste Flexibilität Wir können den Mitarbeiter auch gut im Homeoffice arbeiten lassen, das ins Wende von EMI sehr praktisch ist, aber wir bezahlen das damit, dass wir ein Minus an Kontrolle und Sicherheit im abgeschlossenen System das leidet einfach, das können wir so als Paradigma hier nicht mehr aufrechterhalten, das heißt als weiter wir müssen jetzt auf ab Sicherungsmaßnahmen für offene Systeme umsteigen.
Da haben wir auch schon in vorangegangenen Vorträgen Sachen über sie, wo Trust beispielsweise gehört und das Ende des Parameters und ein weiterer Punkt, den wir uns überlegen müssen Wir müssen auch irgendwie die Kontrolle im Sinne eines Identity Management bes über Referenzen auf Fremdkunden aufbauen und diese genauso behandeln wie unsere eigenen Kunden, die wir selber erzeugen. Bitte eins weiter, jetzt habe ich meine Praxis Checkliste zusammengestellt. Für was sollte man denn jetzt eigentlich, wenn man so ein Cloud Collaboration Service vor der Tür hat? Bei den haus internen Kooperations zur Wissen stellt sich im Prinzip ähnliche Fragestellungen Die sind nur nicht ganz so präsent, wenn man die üblicherweise besser unter Kontrolle hat. In der Cloud ist es natürlich besonders unangenehm, also man sollte sich erst mal überlegen welche Kooperationsformen kennt Der Cloud Service kennt der Links Heringen kennt der lokalen sondern Passwort kennt dagegen irgendwelche Sorten von Singles sein an gegen andere Identity Provider eins weiter bitte, dann sollte man nachsehen, welche Identity Provider können angesprochen werden der Identity Provider der eigenen Organisation vielleicht oder irgendwelche allgemeinen einige hieß die Facebook, Google oder Outlook und kommen weiter.
Bitte die wichtigste Frage überhaupt Ich muss mir überlegen für jede Sorte von Zugang, die dieser Cloud Kooperations Service an die benötige ich einen Live zeigte. Das heißt, ich muss mir überlegen ist der Links Hering Live Säcke vollständig abgedeckt. Falls sich das aktiviert lasse, ist der User Live ZEIT Gespräch für die Konten vollständig abgedeckt und zwar für alle Arten von User liegt dazu lasse und ist der Live Säcke für das für die Ex Reiz an, für sich vollständig abgedeckt. Und wer ist befugt, die welche Live Sex zu bedienen, was insbesondere wenn den ganzen self Service und verteilten selbst soll bis zehn Jahren mit den Einladungen ein richtig großes Thema ist so die wirklich kritischen Punkte kommen. Als nächstes bitte. Das ist Falls die verteilte selbst soll bis zum Einsatz kommen, haben alle Teilnehmer das notwendige Verständnis der Vorgänge. Das ist total einfach. Bei uns sind es ungefähr 20.000 Personen, denen man das erklären muss.
Sind alle notwendigen gab politischen Prozesse vorhanden? Das ist auch ganz einfach lösbar, weil wenn sie den cloud kohl Operation service der der den gemietet hat, er sicherlich als erstes nach der Gabe der Projektion gefragt. Nächste kritische punkt gibt es ein verfallsdatum für dieses links hering? Und es ist überhaupt eingeschaltet und generell sondern diese einladung vielleicht irgendwie beschränken insbesondere bei den allgemeinen edp eine Kies wollen sie da wirklich Facebook und alles mögliche drin haben oder auch nicht? So noch ein kurzer Hinweis bitte eins weiter die praxis check liste ist kein Ersatz für die risikoanalyse oder eine komplette security überprüfung oder so, aber wenn sie die kriterien die die komplette risikoanalyse muss man immer ausarbeiten, aber so als basis kann man das hier mal nehmen wenn man die Sachen schon reist und sich dazu keine Antworten hat, dann wird das auch mit der Security Prüfung und so weiter.
Insgesamt sehr schwierig als weiter noch in der Praxis wird, wenn es mit vielen Cloud Collaboration Service zu tun haben wird den Checkliste also mehr als einmal durchlaufen. Man wird nämlich collaboration service haben, welche man selber anmietet irgendwelche kooperations service auf welchem die anwender eingeladen werden, die hat man gar nicht selber angemietet sondern tun aber die eigenen leute drauf und dann hat man natürlich so spontan treffen auf irgendwelchen viel schall versionen haben wir das schon ausprobiert diese besonders schwierig in Griff zu kriegen. Wir werden kooperations services sehen und haben welche explizit als solche auftreten. Es gibt welche, da mieten sie einfach insasse elvis an oder passt Service und der hat einfach kooperations funktion, unter anderem irgendwo rein versteckt. Also office plattformen sind da natürlich berühmt für und dann haben wir natürlich noch sehr gut versteckte kooperations funktionen innerhalb anderer klar ist wo man es gar nicht erwarten würde, dass dieses Service ordnung irgendwann kooperations knopf hat hat aber vielleicht so die sind natürlich auch besonders schwierig zu finden bitte eins weiter für den strategischen umgang mit einer großen menge an cloud kooperations service ist bieten sich mal von übliche maßnahmenpaket an wir können sie nicht nutzen, b die Nutzung reduzieren c versuchen den Krempel irgendwie zu kontrollieren oder die natürlich die Königsdisziplin, das Ganze irgendwie zu steuern.
A und b muss man sagen, das ist natürlich kontraproduktiv im Sinne der Zusammenarbeit. Das ist zwar sehr wasserdicht, damit wird man aber nicht sehr weit kommen. Und wenn alle im Home Office sitzen erst recht nicht und c und die sind schwierig und aufwändig, da wir es hier mit offenen und verteilten Systemen zu tun haben, die sich in teilweise nur angemietet sind oder die man einfach für das Session nutzt und da wird es sehr schwierig sein, kontrollieren und störende Maßnahmen zu implementieren. So eins. Wetter, bitte! Das heißt Was haben wir, was brauchen wir? Wir brauchen ein ausgewogenes Maßnahmenpaket, das heißt einerseits organisatorische Maßnahmen. Wir brauchen Richtlinien zur Nutzung, die müssen auch bekannt sein, wir müssen unsere Anwender schulen und informieren, dass sie damit umgehen können. Und wir müssen er Werners schaffen. Kann man das hinkriegen? Ja, ich glaube schon weil vor 20 Jahren 15 Jahren ging eine Umschreibung können wir alle E Mail ins Internet geben und kommen damit wirklich alles zurecht?
Mittlerweile geht somit der Email einigermaßen. Also so gesehen denke ich, werden wir auch das mit den Schering Buttons überleben, irgendwie. Wir müssen das aber noch flankieren mit technischen Maßnahmen. Es ist immer eine gute Idee, die eigenen User aus dem eigenen ihr M zu beziehen und da nicht noch mal extra konnten für sich anzulegen. Wir sollten auch darüber nachdenken. Referenzen auf fremd konnten, das sind Gäste oder Referenzen, josé oder wie sie halt in den verschiedenen Systemen heißen, tatsächlich auch zu verwalten. Wir können nicht das konnten Objekt selbst verwalten, wenn es gehört uns nicht, aber in unserem System befinden sich Referenzen, und die können wir durchaus einem live zeigten unterziehen, wenn wir wissen, ob wir eine Person noch sehen wollen oder nicht und demzufolge können wir sein seine Referenz Konto oder seine Referenz am Leben erhalten oder ihn vernichten, unabhängig davon, ob sein Konto noch lebt. Und beim Thema links hering gibt es eigentlich auch nur zwei Wege Entweder sagt man, das ist absolut essenziell, dann wird man es auch irgendwie verwalten müssen und es mit einem live säcke unterfüttern müssen oder man sollte es zumindest sind voll begrenzen so ich hoffe das hat jetzt mal schnell durch den geholfen.
Eins weiter bitte, weil jetzt können wir zu den Fragen kommen,
