(openPR) Provisioning-Systeme entlasten die IT-Administration mittelständischer Unternehmen und sorgen für die sichere Verwaltung von Zugriffsrechten
Aschheim, 08. Oktober 2008 - Infrastruktur ausbauen, Sicherheitskonzepte entwickeln, externe Standorte anbinden und neue Systeme implementieren: IT-Administratoren mangelt es nicht an wichtigen Aufgaben, doch viele dieser Arbeiten fressen Ressourcen, weil ihre Prozesse sehr zeitaufwendig sind. Provisioning-Systeme entlasten die Administration bei der Versorgung von Mitarbeitern mit IT-Diensten und Zugriffsberechtigungen von Routineaufgaben und erhöhen zudem das Sicherheitsniveau. Doch der Mittelstand scheut sich nicht zu Unrecht vor der Einführung solcher Systeme: Sie sind üblicherweise für den Einsatz in Großunternehmen konzipiert und bekannt dafür, in unüberschaubaren Projekten mit ausufernden Kosten zu enden. Was bieten also spezielle Identity und Access Management-Lösungen für den Mittelstand und wie können sie der IT-Administration Arbeit abnehmen?
Die Administratoren in mittleren und kleineren Unternehmen setzen für die Abarbeitung von Standardaufgaben, wie dem Anlegen neuer Mitarbeiter in den Systemen, meist mehrere unterschiedliche Microsoft-Tools für die einzelnen aufeinander folgenden Aufgaben ein. Durch den hohen Anteil an Handarbeit entstehen bei einem derartigen Vorgehen nicht selten Fehleingaben, und Nachfragen sind an der Tagesordnung. Ein hohes Fehlerrisiko entsteht auch dadurch, dass mittelständisches IT-Personal oftmals mit zu vielen Rechten, wie beispielsweise Domain-Administrationsrechten, in den Zielsystemen arbeitet. Schnell ist hier statt einem einzelnen User eine ganze Organisationseinheit mit vielen Gruppen und hunderten von Nutzern gelöscht. Grundsätzliche Prinzipien für die Rechtevergabe wie „Least Privilege“ und „Right Access to the Right People at the Right Time“ werden im Alltagsgeschäft leider oft ignoriert.
Automatisch den Überblick behalten
Mit einem Provisioning-System lassen sich unterschiedlichste Standard-Administrationstätigkeiten von User- über Mail- bis hin zu Filemanagement über eine Oberfläche erledigen. Das gilt für die vielen täglichen Änderungsanfragen und Aufgaben wie das Anlegen von Dateiablagen und die dazugehörige Vergabe und Verwaltung von Zugriffsrechten genauso wie für das Anlegen neuer Mitarbeiter in den Systemen. Die aufeinander folgenden Aufgaben sind in Prozessketten zusammengefasst und laufen nach bestimmten Vorgaben, die einmal definiert werden, regelbasiert und unter Zuhilfenahme von Metadaten automatisiert ab. Außerdem sind sie jederzeit in identischer Qualität reproduzierbar.
Wird zum Beispiel ein neuer Mitarbeiter bei der Anlage im Provisioning-System einer Abteilung – also ein User-Stammdatensatzes einem hierarchischen Strukturierungs-Objekt – zugewiesen, ermittelt das System automatisch verschiedene Zugehörigkeiten. So „berechnet“ das Provisioning-System die Mitgliedschaft des Users in den Default-Gruppen, welche dieser Abteilung zugeordnet sind. Auch die Organisationseinheit im Active Directory, in der dieses Benutzerobjekt erstellt wird, sowie der zugehörige Exchange-Server für die Mailbox-Anlage werden ermittelt. Die Provisioning-Lösung setzt dementsprechend die erforderlichen Änderungen in den Zielsystemen um und nimmt damit dem Administrator die Arbeit ab. Das bedeutet: Abhängig von Fachgruppe oder Abteilung wird für den neuen Mitarbeiter vom System ein Account erstellt und in die richtigen Gruppen eingetragen. Zudem wird der Mitarbeiter automatisch mit entsprechend festgelegten Services versorgt, er erhält beispielsweise eine Exchange Mailbox und eine E-Mail-Adresse nach den unternehmensüblichen Namenskonventionen. Gleichzeitig wird jeder Zielsystem-Account einem Mitarbeiter zugeordnet. Unpersönliche Benutzerobjekte – Active Directory user objects, für die keine Zuständigkeit ermittelt werden kann, gehören damit der Vergangenheit an. Dies gilt für jedes zu provisionierende Objekt – damit erhöht sich die Transparenz erheblich.
Weitere Informationen zum Thema Identity- & Access-Management (Ausweg aus dem Rechte-Chaos, Höhere Transparenz etc.) bietet das IT-Security-Portal dem interessierten Leser in seinem Thema des Monats unter:
www.all-about-security.de/kolumnen/thema-des-monats/
