Gerd Rossa Prof. Dr. Gerd Rossa PremiumModerator

Vorgehensmodell zum Aufsetzen eines umfassenden Rollensystems

Aus den Projekterfahrungen wurde ein standardisiertes Vorgehen zur Einführung eines Rollenmodells in Unternehmen entwickelt.

Das umfassende Dokument dazu ist bei der iSM Secu-Sys AG erhältlich.

Im Folgenden werden die Schwerpunkte des Vorgehens dargestellt.

Nutzen von Referenzmodellen (Rollen und Prozesse)
Wie kann eine deutliche Reduzierung der Einführungszeit eines IAM-Systems möglich gemacht werden?

1. Nutzung des etablierten Vorgehensmodells
2. Nutzung eines weitgehend vordefinierten Rollenmodells
3. Ein Set von generischen Prozessmodellen, die ein hohes Maß an Automatisierung in der IT-Administration ermöglichen
4. Delegation der Verwaltung in dezentrale Units

Rollen-Referenzmodell(RRM):
Prozesse und Rollen für Branchen
Abgeleitet aus den Erfahrungen in der Rollen und Prozessmodellierung wurde ein
vierstufiges Referenzmodell für das Rollen und Prozessmanagement entwickelt

1. Stufe: Rollentypen und -Eigenschaften
2. Stufe: allgemeine Rollen in Unternehmen
3. Stufe: Fach-Rollen-Modell für spezielle Branchen
4. Stufe: Spartenausprägungen im Rollenmodell

Nutzung des Rollen-Referenz-Modells der iSM Secu-Sys AG
Übernahme dieses Rollen-Referenzmodells
Definitionsmöglichkeiten der Prozess-Controls an den Rollen
Anpassung der Struktur des Rollenmodells auf der Ebene der Fachrollen
Adaption der Fach-Rollen (Änderung, Löschung, Einfügen)
Richtlinie zur Vergabe der Rollen-Attribute (z.B. Security Classification)
Template zur Beschreibung einer Fachrolle


Berücksichtigung von evtl. im Unternehmen vorhandenen Rollenkonzepten
Im Unternehmen vorhandene Quellen für das Rollenmodell
- Aufbauorganisation
- Evtl. vorhandene Rollen in Zielsystemen (z.B. SAP)
- Fachliche Berechtigungsgruppen in Zielsystemen (z.B. AD)
- Unterlagen der BO (z.B. Stellenbeschreibungen)
- Evtl. erarbeitetes Job Family Concept
- Evtl. vorhandenes theoretisches Fach-Rollenkonzept
- vorhandene Formulare und Anträge

Grundzüge der technischen Rollenmodellierung
- Parametrisierung von Rollen
- Das Regelwerk an den Rollen
- Prozess-Controls an den Rollen
- Security Classification der Rollen und der Elemente der Rollen
- Definition von referenzierbaren System-Rollen/allgemein und evtl. bereichsbezogen
- Allgemein verfügbare Rollen (ohne spezifische Regeln)
- Ausblick auf die Team-Rollen für dynamische Arbeitrsstrukturen

Rollen und Berechtigungen
- Festlegung der Basisberechtigungen/allgemein und evtl. bereichsbezogen
- Spezifizierung der Fachrollen und der Systemrollen in einem ausgewählten (progressiven) Fachbereich
- Evtl. Migration der bestehenden direkten Berechtigungen und Role-Mining


Modellierungs-Richtlinien
- Einordnung jeder Fachrolle (FR) in das RRM
- Nutzung von bereichsbezogenen Basisrollen
- Parametrisierung zur Individualisierung der Rollen nutzen
- Jedes Zielsystem unter einer FR in einer separaten Systemrolle
- Nutzung der Auslagerung von Teilberechtigungen
- Nutzung der Indizierung um die Zahl der verfügbaren Rollen in dem Antrag zu reduzieren
- Richtlinie zur Modellierung der SC beachten

Organisatorische Leitlinien
Anzahl FR in einem Bereich nicht mehr als ca. 30% der Mitarbeiter unter Ausnutzung
der o.g. Möglichkeiten
Nutzung einer standardisierten Grundstruktur der FR in den Bereichen als Ausgangsbasis der Modellierung

Reduzierung der Differenzierung
- Keine Personalisierung der Berechtigungen
- Nutzung der Analyse-Ergebnisse (Role-Mining) zur Clusterung der Berechtigungen
- Eine Rolle kann, auch mehr Rechte haben als einzelne User benötigen.
- Weitere Zusammenfassungen von Rollen über die Parametrisierung sind vorzunehmen.


Rollen und Prozesse
- Vorhandene Formulare und Durchläufe analysieren
- Auswahl der bi-Cube Prozesse für die Phase 1
- Anpassung der generischen Prozess-Modelle an die bisherigen Abläufe (so weit möglich und sinnvoll)
- Antrags- und Freigabeprozesse
- Compliance-Monitor, IKS und Reporting
- Rezertifizierungsprozesse
- Reduzierung der Rezertifizierungen

Betrachtung der dynamischen Strukturen:
- Projekte, Teams
- Pool-Ressourcen

Vorlagen, Formulare und Verwaltung
- Erarbeitung einer Guideline nach der Bearbeitung dieses Fachbereiches als Vorlage für andere Bereiche
- Checkliste für die Fachbereiche zur Strukturierung der Rollen im Fachbereich
- Einführung in die Bearbeitung des Dokumentes zur strukturierten Rollenbeschreibung
- Einführung in das Modell: Rollen-Änderungsantrag
- Role-Life Cycle als gesamten Prozess einführen

Einarbeitung der beteiligten Mitarbeiter
- Personelle Zuordnung der Unternehmens-Mitarbeiter als Rollen-Admins
- Schulung der Rollen-Admins zur „Philosophie“ des Rollenmodells
- Einarbeitung in die konkrete Rollen-Modellierung
- Einführung in die generischen Prozessmodelle


Weiterführende Arbeiten
- Ermittlungsverfahren der sog. „verwaisten Accounts“
- Erarbeitung einer Richtlinie zu deren Bearbeitung
- Vorgaben für Clearingprozesse, um einen sauberen Bestand an Accounts und deren Zuordnung zu personifizierten Benutzern zu haben.
- Weitere Rollen und Prozesse modellieren
- Ableitung eines Vorgehens für andere Bereiche
- Einführung ausgewählter IKS-Funktionen
- …..

Basis dieser Aktivitäten ist der Business Layer von bi-Cube, der für die angegebenen Aktivitäten notwendige Voraussetzung ist.

Gerd Rossa Prof. Dr. Gerd Rossa PremiumModerator

Role-Mining im Entwurf und Optimierung eines Rollenmodells

Mit dem Role-Mining im IdM sind wesentliche Effekte im Bereich der Security, Compliance und Prozessautomatisierung zu erreichen.
• Die Unterstützung der Rollendefinition durch die Data Mining Technologie des RoleMiners ist die Basis für das bottom-up Verfahren der Rollenmodellierung für die Teil-Automatisierung im Rollenbildungsprozess
• Die Nutzung aller bestehenden Sicherheits- und Organisationsdaten zur Definition der Rolleneigenschaften und damit der Definition der rollenbezogenen Prozess-Controls
• Der RoleMiner hat auch eine wichtige Funktion in der Optomierung bestehender Rollenmodelle und der Steuerung des Role.Live-Cicles
• Durch geeignete andere Analyseverfahren der statistischen Auswertungen kann die Funktion des RoleMiniers effektiv unterstützt bzw. vorbereitet werden.

Für den RoleMiner (RM) bestehen im IdM-Kontext mehrere Einsatzmöglichkeiten. In der Regel wird nur die Analyse bestehender Berechtigungen auf Gruppierungsmöglichkeiten auf Basis mathematischer Ähnlichkeitsverfahren genutzt.
Für die Optimierung bestehender Rollenmodelle kann der RM dazu eingesetzt werden, um ein über die Zeit ausgeufertes Rollenmodell wieder in eine Normalform zu bringen. Dazu werden ähnlich mit Berechtigungen besetzte Rollen ermittelt und sinnvoll konsolidiert werden.
Um das Ausufern eines Rollenmodells permanent zu unterbinden ist im Rahmen des Role.Life-Cicles eine neue Rolle einer Prüfung zu unterziehen, ob diese nicht schon komplett bzw. partiell in anderen Rollen enthalten ist, so daß sich eine neue Rolle in vielen Fällen erübrigt.

Ein weiteres wichtiges Einsatzfeld des RM ist die Konsolidierung bzw. Komprimierung von Rollen einzelner Zielsysteme des IdM. Z.B. sind SAP-Rollen in der Regel extrem granular und damit für ein Fachrollenmodell in der direkten Übertragung weitgehend ungeeignet.

Der bi-Cube-RoleMiner ist für diese verschiedenen Einsatzziele optimiert und in bi-Cube IdM weitgehend integriert.

Dieser Newseintrag ist das Summary eines umfangreicheren Research Papers aus der Serie der Management Studies des iSM. Autor Prof. Gerd Rossa
Weitere Infos über
http://www.secu-sys.de/mail/email.asp

Only visible to XING members.

Lassen sich durch eine Identity Management Lösung wirklich Kosten sparen?

In der aktuellen Wirtschaftssituation gerät auch das IT Management unter Kostendruck. Umso stärker sind nun Lösungen gefragt, die nicht nur eine Erhöhung der Sicherheit und Optimierung der Geschäftsprozesse bewirken sondern auch einen merklichen ROI aufweisen.

Kann eine Identity Management Lösung Kosten in der IT reduzieren? Welche Faktoren nehmen Einfluss auf die Amortisation einer IdM-Lösung? Das sind Fragen, die final sicherlich nur Anwender aus erfolgreichen IdM Projekten beantworten können.

Welche Erfahrungen haben Sie gemacht? Welche Herangehensweisen haben sich als besonders erfolgreich erwiesen?

Ich bin gespannt auf Ihre Meinung zu diesem Thema.

1 more comment
Last comment: