Probleme beim Einloggen
Gerd Rossa Richtlinie zur Rollenmodellierung (Kurzfassung)
1 Ziel der Richtlinie
In dieser Richtlinie geht es vor allem darum, alle Irrwege in der Nutzung des Rollenmodells zu vermeiden.
Dieser Text ist eine Kurzfassung. Die eigentliche Richtlinie kann bei
gerd.rossa@secu-sys.de angefragt werden.
2 Adressaten
Diese Richtlinie ist Grundlage der Schulung und Zertifizierung der bi-Cube Administratoren der Kunden.
Allen Adressaten wird diese Richtlinie regelmäßig zur Rekonfirmation vorgelegt.
3 Planung und Vorgehensmodell
Entscheidend ist eine sorgfältige Planung des Fach-Rollenmodells. Diese Tätigkeit ist von IT-Fachleuten in der Regel nur begrenzt leistbar. Sie können nur den Rahmen vorgeben.
Ein ausführliches Dokument zum Vorgehensmodell kann ebenfalls bei gerd.rossa@secu-sys.de angefragt werden.
Die IT-Experten gehen oft von den erforderlichen Berechtigungen einzelner User aus und machen diese dann jeweils zu einer Fachrolle, was dem allgemeinen Konzept eines Rollenmodells eindeutig nicht entspricht. Ziel muß es sein, eine Gruppierung (Cluster) von Berechtigungen in Rollen zu erreichen. Die Fachrollen müssen die Tätigkeiten eines Users und nicht seine aktuellen Berechtigungen widerspiegeln.
4 Rollen, Regeln und Prozesse
Die Rollen werden in bi-Cube durch Ihren Bezug zu den Prozessmodellen auf Basis eines umfassenden Regelwerks zu einem effektiven Werkzeug der Geschäftsmodellierung und deren Optimierung. Diese drei Elemente bilden eine logische Einheit.
4.1 Freigaberegeln und Prozess-Controls an den Rollen
Parameter an den Rollen steuern die darauf referenzierten Prozessmodelle.
Freigaben lassen sich in 2 Dimensionen einrichten:
1. Auf Ebene der Fachrollen von
- Keine Freigaben und automatisierter, regelbasierter Zuordnung (Basisrolle)
- Bis hin zu einer 2 stufigen Freigabe, wobei die 2. Freigabe noch wahrscheinlichkeits-gesteuert aktiviert werden kann.
- Für die einzelnen Freigaben auf Ebene der Fachrollen lassen sich im Modell verschiedene Aktoren definieren.
2. Freigaben innerhalb der Hierarchie:
- Fachrolle
- System
- Attribut im System
Freigaben auf Systemebene sind möglich aber selten sinnvoll, da die Freigabenotwendigkeit aus dem Risiko-Niveau der zugeordneten Berechtigungen des Systems ergibt.
Aus Sicht einer Lizenzkontrolle kann aber auch eine Freigabe auf Systemebene sinnvoll sein.
Attribut-Freigabe
Die Freigabe eines Attributes ist dann geboten, wenn dieses Attribut (Berechtigung) mit einem gewissen Risiko behaftet ist. Dazu ist dann die Möglichkeit gegeben, am Attribut des Systems eine Risiko-Stufe festzulegen. (im Standard ab SC>3). Wenn dazu am Attribut noch ein konkreter Aktor zur Freigabe hinterlegt ist, wird diese Berechtigung im Zuordnungs- und Freigabeprozess zur Freigabe aktiviert.
5 Einzelaspekte und typische Prüfwerte
Ein Rollenmodell macht nur Sinn, wenn es zu einer Entpersonalisierung von Berechtigungen und deren Ausrichtung auf Tätigkeitsprofile in den Geschäftsprozessen des Unternehmens führt.
Die beiden folgenden Prüfwerte können dann als ein Richtwert zur Erreichung dieses Zieles dienen.
Prüfwert: Fachrollen
Mehr als 40% Fach-Rollen gemessen an der User-Anzahl ist kritisch auf seine Berechtigung zu hinterfragen. Dieser Zielwert ist nur durch Verallgemeinerung von Berechtigungsprofilen und der Ausnutzung von Modellierungsfunktionen im bi-Cube Rollenmodell zu erreichen.
Prüfwert: Systemrollen
Die Anzahl von Systemrollen sollte die Anzahl der User nicht um mehr als 50% überschreiten.
6 Funktionen in bi-Cube zur Reduzierung der Rollen-Anzahl
In bi-Cube werden einige mächtige Funktionen bereit gestellt, die dieses Ziel unterstützen.
3. Parametrisierung von Rollen
4. Referenzierungen von Systemrollen
5. Referenzierungen von Fachrollen
6. Indizierung an Fachrollen
7. Vererbung von Rollen in Org-Strukturen
8. Nutzung der Security-Class zur Clusterung von Rollen
7 Verfahren und Wege zum Aufbau eines Rollenmodells
Rollen-Referenz-Modell (RRM)
Role-Mining als Bottom Up-Verfahren
Betriebsorganisatorische Dokumente als Top Down Verfahren
Analyse vorhandener Gruppen- und Rollenmodelle
8 Reporting und Review
In einem monatlichen Report werden die Kennzahlen des Rollenmodells ermittelt und bei starken Abweichungen vom allgemein-methodischen Ansatz von RBAC sowohl an den Teamleiter des Kunden als auch an die Kundenbetreuung des iSM übermittelt.
9 Negative Effekte bei Verstößen gegen diese Richtlinien
Massive Abweichungen von diesen Richtlinien haben negative Auswirkungen in:
- Performance
- Hohe Last auf den Leitern bei Freigaben und Rezertifizierungen
- Bei hoher Anzahl von Rollen und Rollen-Referenzen ist kein Überblicks über die realen Berechtigungsstrukturen mehr zu erreichen, womit ein Ziel eines Rollenmodells verfehlt wird.
Die Wirtschaftsprüfer würden ein solches Modell als Risiko deklarieren.
Gerd Rossa
Gerd Rossa Anbindung von Schiffssystemen zum Zentralsystem - Webinareinladung
Webinar
Termin: 14.11.2018 um 13:30 Uhr
Zu einem Unternehmen gibt es Einheiten (Schiffe), die ein eigenes AD und eigene Anwendungen haben, aber über eine unsichere Verbindung zum Zentralsystem verfügen. In der verbindungslosen Zeit erfolgt die Verwaltung der User und Berechtigungen im Bereich dieser Einheit autonom.
Damit kann die bisherige Lösung der Nutzung nichtpersonifizierter Accounts durch ein Fachrollenmodell mit individueller (personifizierter) Zuordnung von Rollen und damit der Berechtigungen der Rollen kurzfristig vorgenommen werden. Gleichzeitig kommen die Standardprozesse (User Live-Cycle und Antragsprozesse) zur Anwendung, womit Nachvollziehbarkeit und Compliance eindeutig gesichert sind.
bi-Cube ist in unterschiedlichen Szenarien für gemischte Systeme nutzbar.
Im Unternehmen gibt es bereits ein System, das die Userverwaltung und das Provisioning für einen Teilbereich gelöst hat, aber im Bereich Rollen- und Prozessmanagement funktionelle Mängel aufweist, die eine Weiterentwicklung der Lösung nicht ermöglichen.
Was erwartet Sie in unserem Webinar:
Architektur Anbindung von Teilsystemen mit unsicherer Verbindung
Nutzung im Verbindungsfall
Abbruch der Verbindung
Differenz-Check
flexibles Berechtigungsmanagement auf dem Schiff
bi-Cube in einer kooperativen IAM-Umgebung verschiedene Szenarien
Mit freundlichen Grüßen
Gerd Rossa
Zur Webinaranmeldung:
Gerd Rossa bi-Cube mit intelligentem AD PW-Control Service
Sehr geehrte Damen und Herren,
ich möchte Sie gern regelmäßig über neue bzw. deutlich erweiterte Services zu informieren.
Mein Team ist bestrebt, die für ein IAM nutzbaren neuen technologischen Entwicklungen in die bi-Cube Architektur optimal zu integrieren.
Ein Schwerpunkt dieser Entwicklungen ist es, Cyberangriffe effektiv abzuwehren bzw. zumindest zeitnah zu erkennen.
Der erste Schritt hierzu ist die Integration unseres AD PW-Control Service.
Dieser Service prüft bei einem PW-Wechsel dessen Syntax Regeln und das eingegebe PW wird mit einer Liste von über 500 Millionen geleakten Passwörtern abgeglichen.
Kennwortänderung unter Berücksichtigung der Kennwortregeln aller Zielsysteme
Wenn auf Kundenwunsch hin der PW-Wechsel nicht über den bi-Cube Credential Provider, sondern dem Credential Provider von Microsoft erfolgen soll, werden dessen PW-Regeln zur Prüfung herangezogen und nicht die in bi-Cube zu dem System hinterlegten.
Ändert ein Benutzer sein Kennwort in diesem Credential Provider kann diese Änderung nicht in bi-Cube geprüft werden und es passiert regelmäßig, dass das geänderte PW zwar von Windows akzeptiert aber bei dessen Synchronisation zu den Zielsystemen durch diese abgelehnt wird. Damit läuft die PW-Änderung in einen Fehler und muss durch die bi-Cube Administration in aufwendiger manueller Arbeit zurückgesetzt werden.
Die Anforderung besteht also auch darin, dass die Kennwortänderungen IN JEDEM Fall synchronisiert werden, unabhängig davon WO der Benutzer sein Kennwort ändert. Dies wird durch den hier beschriebenen Service realisiert! Der Vorteil dieses neuen Services besteht u.a. auch darin, dass Kunden keine Client-Installationen mehr benötigen. Der Service läuft quasi nahtlos und völlig wartungsfrei.
Zu dem Service bieten wir außerdem am 08.11.2018 um 13.30 Uhr ein einführendes Webinar, zu dem Sie sich bereits jetzt anmelden können.
Mit freundlichen Grüßen
Gerd Rossa
Daniel Kottmann Prozessautomatisierung auf dem Digital World Congress
Als studentische Unternehmensberater sind wir ständig auf der Suche nach Möglichkeiten, unser praktisches Wissen zu erweitern. Unser Projektpartner Scheer lädt Sie ein, die Zukunft von Digital Business auf dem 5. Digital World Congress in Frankfurt zu diskutieren.
Bereits im letzten Jahr haben wir daran teilgenommen und konnten die Welt von Unternehmung 4.0 kennenlernen, mit all den Möglichkeiten die die Zukunft bietet. Spannende Keynote-Talks und Berichte aus der Praxis machen den Kongress zu einer einmaligen Diskussionsplattform.
Dieses Jahr stehen Process Automation, Industry Excellence, Business Competence und Robotic Process Automation auf der Agenda. Freuen Sie sich zusätzlich auf die Keynote-Speaker Prof. Dr. Wilhelm August Scheer und Dr. Ferri Abolhassan (Telekom Deutschland).
Wir freuen uns über Ihre Teilnahme!
Gerd Rossa bi-Cube smart – das erste IAM out of the box
Müssen IAM-Systeme viel zu teuer sein und als Projekt zu lange dauern?
Muss das Ergebnis mit einem hohen Risiko behaftet sein?
Nein, muß es nicht!!!
Das iSM hat seine 20 Jahre IAM-Erfahrung in ein System einfließen lassen, das diese Probleme ausschließt. bi-Cube smart ist damit das erste modulare und weitgehend vorkonfigurierte IAM, das Sie auch aus der Cloud nutzen können.
Sie benötigen keine teure externe Unterstützung über Jahre, keine eigenen technischen personellen Betreuungskapazitäten sowie keine eigene Infrastruktur.
Bi-Cube smart ist ein Standardsystem das in weiten Zügen konfigurierbar ist, womit teure Anpassungsprogrammierungen entfallen.
Die begleitende modulare Online-Schulung führt sie in die Nutzung von bi-Cube Smart ein.
Der adaptive Workplace stellt dem End-Nutzer ein Self-Service-Portal zur Verfügung, in das auch andere Services und IT-Systeme integriert werden können. Der bi-Cube ID-Provider unterstützt durch seine SSO-Funktionalität auch die Anmeldung an diese Anwendungen.
Das intelligente Regelwerk nutzt die Daten des Users und seine Tätigkeit, um die erforderlichen Berechtigungen zeitnah zur Verfügung zu stellen. Tätigkeitsbezogene Zugriffsberechtigungen werden bei Mitarbeitereintritt automatisch erteilt, bei Aufgabenwechsel angepaßt und bei einem Austritt ebenso automatisiert entzogen.
Das effektive Rollenmodell stellt das Herzstück von bi-Cube dar. Unser vor-modelliertes Rollenreferenz-Modell unterstützt Sie bei der Abbildung von Berechtigungen Ihrer Mitarbeiter – je nach deren Verantwortlichkeit und Tätigkeitsbereich.
Über Self-Services können Mitarbeiter ihre Attribute (z. B. eine geänderte Telefonnummer) selbst anpassen und wenn nötig ihre Kennwörter zurücksetzen. Der bi-Cube Task-Manager erlaubt zudem Einblick in den Bearbeitungsfortschritt der ausgeführten Geschäftsprozesse, wie beispielsweise dem Mitarbeitereintrittsprozess.
Detailreiche Einsicht in Ihre Nutzer- und Berechtigungsverwaltung
bi-Cube smart eignet sich optimal dazu, die Berechtigungen der User nachzu-vollziehen und spezifisch zu überprüfen. Integrierte Reports bieten einen Überblick darüber, wer wann welche Berechtigungen besaß. Somit können Sie bereits mit diesem IAM-Basispaket ein hohes Sicherheitsniveau für Ihr Unternehmen erreichen.
Sie können bi-Cube smart um folgende Zusatzmodule erweitern:
Bi-Cube Smart ist damit ein direkt startklares IAM für Ihr Unternehmen. Es erlaubt Ihnnen auch eine sanfte Migration auf ein leistungsfähiges standardisiertes IAM mit breiter Funktionalität und modularer Struktur. Bi-Cube ist in allen nutzerbezogenen Funktionen auch auf mobilen Geräten nutzbar.
Neben der Erweiterung auf Azure und Office 365 stehen sog. NON-IAM-Erweiterungsmodule bereit:
Teamverwaltung inklusive Dokumentenverwaltung
DSGVO-Manager
Digitale Personalakte
Richtlinien-Manager
Dokumentenbasierte Antragsverwaltung
bi-Cube GO
bi-Cube smart hat sich auch bei der Ablösung von FIM, Sun IdM und SAP IdM bereits bewährt.
Hinweis:
Neues Webinar zum Team-Management mit bi-Cube am 5.9. um 14 Uhr

Moderatoren

Infos zu den Moderatoren

Über die Gruppe "Rollenmodellierung und Prozeßautomatisierung im Provisioning von IT-Berechtigungen"

  • Gegründet: 20.07.2007
  • Mitglieder: 103
  • Sichtbarkeit: offen
  • Beiträge: 38
  • Kommentare: 10