Probleme beim Einloggen
Gerd Rossa Und es geht doch: Ein IAM in 20 Tagen!!!
Ausgangspunkt:
Eine Krankenkasse mit ca. 9.000 Usern hat sich entschlossen, ein IAM in Nutzung zu nehmen. Um das Ziel, eine erste Phase des IAM kurzfristig produktiv setzen zu können, wurden folgende notwendige Voraussetzungen erkannt und akzeptiert:
- Splittung des Projektes in mind. 2 Phasen
- Konzentration in Phase 1 auf den Schwerpunkt AD und dessen Ressourcen
- Automatisierung der Zuordnung der AD-Ressourcen EX und Filespaces
- Weitgehende Nutzung der Standards des IAM mit dessen Modellierungsmöglichkeiten
- Bereitstellung in der Cloud, um eigene Ressourcen nicht nutzen zu müssen
- Durch das Mietmodell des IAM aus der Cloud entfällt eine aufwendige Investitionsphase
Alle diese Möglichkeiten bot das bi-Cube IAM der iSM Secu-Sys-AG als modulares Cloud-IAM.
Projektstart war der 29.11.2018 mit dem Kick-off Meeting. Zum 21.12.2018 konnte die Phase 1 mit den folgenden Funktionen produktiv gesetzt werden:
- User- und Org-Daten sowie die Leiter der Bereiche aktuell in bi-Cube
- Migration von 2 AD-Domänen
- Definition Basisrolle Interner Mitarbeiter
- Neue Mitarbeiter werden in bi-Cube aufgenommen und mit der Basisrolle der AD-Account mit Exchange und die Basisrolle zur Nutzung des bi-Cube Workplace zugeordnet
- User bekommt sein HomeDir mit der Basisrolle
Damit stehen folgende Prozesse zur Verfügung:
- Usereintritt mit autom. Zuordnung der Ressourcen der Basisrolle
- Prozess der Dubletten-Kontrolle und –Auflösung
- Antragsprozesse im Self-Service: Antrag auf Pool-Ressource, PW-Self-Service, allg. dokumentenbasierter Antragsprozess
- Autm. Anlage eines Filespaces bei Definition eines neuen Objektes in der Aufbauorganisation und Berechtigung der Mitarbeiter dieser Org-Einheit an diesem Abteilungs-Filespace.
Über den bi-Cube Workplace kann der User eine sog. Pool-Ressource (Filespace und/oder Mailgruppe) beantragen. Nach Freigabe durch den Leiter wird diese Ressource durch bi-Cube autom. angelegt und der Antragsteller als Owner definiert. Er kann dann im Self-Service weitere User an der Ressource berechtigen. Andere User können diese Pool-Ressource sehen und eine Teilnahme bei deren Owner beantragen. Alle diese Operationen laufen voll unter Regie von bi-Cube und vollkommen ohne die Mitarbeit eines AD-Admins.
Mit diesen Funktionen ist die wichtigste Phase eines IAM nach 15 Werktagen produktiv nutzbar gemacht worden.
Wodurch war dieses bisher durch kein IAM erreichtes Ergebnis möglich gemacht worden?
1. Bi-Cube steht kurzfristig als Systembasis aus der Cloud zur Verfügung. Der in der Infrastruktur des Kunden erforderliche HUB (bi-Cube Gateway) ist remote schnell aufgesetzt.
2. Die modulare Struktur von bi-Cube ermöglicht, die Funktionalität für die geforderte Phase 1 einfach zu kombinieren und bereit zu stellen.
3. Der hohe Grad an Standardisierung bei gleichzeitiger Generik von bi-Cube benötigt keine Anpassungsprogrammierung
4. Als weiche aber extrem wichtige Faktoren waren die hohe Priorisierung beim Kunden und die effektive Mitarbeit der erforderlichen Experten beim Kunden unbedingte Voraussetzung.
5. Es wurde auf eine aufwendige Projektorganisation und zeitraubende Meetings beim Kunden verzichtet und die Steuerung dem verantwortlichen iSM- Team überlassen.
Also ist zu konstatieren:
Nur wenn alle Beteiligten (und das dürfen beim Kunden nicht zu viele sein) extrem kooperativ arbeiten und die weitgehenden Möglichkeiten von bi-Cube und die Erfahrung des iSM-Teams bereitwillig nutzen, ist ein solches Ergebnis zu erreichen!
Das iSM freut sich mit bi-Cube auf weitere Interessenten für ein Turbo-IAM :-)
Gerd Rossa / iSM
Gerd Rossa Richtlinie zur Rollenmodellierung (Kurzfassung)
1 Ziel der Richtlinie
In dieser Richtlinie geht es vor allem darum, alle Irrwege in der Nutzung des Rollenmodells zu vermeiden.
Dieser Text ist eine Kurzfassung. Die eigentliche Richtlinie kann bei
gerd.rossa@secu-sys.de angefragt werden.
2 Adressaten
Diese Richtlinie ist Grundlage der Schulung und Zertifizierung der bi-Cube Administratoren der Kunden.
Allen Adressaten wird diese Richtlinie regelmäßig zur Rekonfirmation vorgelegt.
3 Planung und Vorgehensmodell
Entscheidend ist eine sorgfältige Planung des Fach-Rollenmodells. Diese Tätigkeit ist von IT-Fachleuten in der Regel nur begrenzt leistbar. Sie können nur den Rahmen vorgeben.
Ein ausführliches Dokument zum Vorgehensmodell kann ebenfalls bei gerd.rossa@secu-sys.de angefragt werden.
Die IT-Experten gehen oft von den erforderlichen Berechtigungen einzelner User aus und machen diese dann jeweils zu einer Fachrolle, was dem allgemeinen Konzept eines Rollenmodells eindeutig nicht entspricht. Ziel muß es sein, eine Gruppierung (Cluster) von Berechtigungen in Rollen zu erreichen. Die Fachrollen müssen die Tätigkeiten eines Users und nicht seine aktuellen Berechtigungen widerspiegeln.
4 Rollen, Regeln und Prozesse
Die Rollen werden in bi-Cube durch Ihren Bezug zu den Prozessmodellen auf Basis eines umfassenden Regelwerks zu einem effektiven Werkzeug der Geschäftsmodellierung und deren Optimierung. Diese drei Elemente bilden eine logische Einheit.
4.1 Freigaberegeln und Prozess-Controls an den Rollen
Parameter an den Rollen steuern die darauf referenzierten Prozessmodelle.
Freigaben lassen sich in 2 Dimensionen einrichten:
1. Auf Ebene der Fachrollen von
- Keine Freigaben und automatisierter, regelbasierter Zuordnung (Basisrolle)
- Bis hin zu einer 2 stufigen Freigabe, wobei die 2. Freigabe noch wahrscheinlichkeits-gesteuert aktiviert werden kann.
- Für die einzelnen Freigaben auf Ebene der Fachrollen lassen sich im Modell verschiedene Aktoren definieren.
2. Freigaben innerhalb der Hierarchie:
- Fachrolle
- System
- Attribut im System
Freigaben auf Systemebene sind möglich aber selten sinnvoll, da die Freigabenotwendigkeit aus dem Risiko-Niveau der zugeordneten Berechtigungen des Systems ergibt.
Aus Sicht einer Lizenzkontrolle kann aber auch eine Freigabe auf Systemebene sinnvoll sein.
Attribut-Freigabe
Die Freigabe eines Attributes ist dann geboten, wenn dieses Attribut (Berechtigung) mit einem gewissen Risiko behaftet ist. Dazu ist dann die Möglichkeit gegeben, am Attribut des Systems eine Risiko-Stufe festzulegen. (im Standard ab SC>3). Wenn dazu am Attribut noch ein konkreter Aktor zur Freigabe hinterlegt ist, wird diese Berechtigung im Zuordnungs- und Freigabeprozess zur Freigabe aktiviert.
5 Einzelaspekte und typische Prüfwerte
Ein Rollenmodell macht nur Sinn, wenn es zu einer Entpersonalisierung von Berechtigungen und deren Ausrichtung auf Tätigkeitsprofile in den Geschäftsprozessen des Unternehmens führt.
Die beiden folgenden Prüfwerte können dann als ein Richtwert zur Erreichung dieses Zieles dienen.
Prüfwert: Fachrollen
Mehr als 40% Fach-Rollen gemessen an der User-Anzahl ist kritisch auf seine Berechtigung zu hinterfragen. Dieser Zielwert ist nur durch Verallgemeinerung von Berechtigungsprofilen und der Ausnutzung von Modellierungsfunktionen im bi-Cube Rollenmodell zu erreichen.
Prüfwert: Systemrollen
Die Anzahl von Systemrollen sollte die Anzahl der User nicht um mehr als 50% überschreiten.
6 Funktionen in bi-Cube zur Reduzierung der Rollen-Anzahl
In bi-Cube werden einige mächtige Funktionen bereit gestellt, die dieses Ziel unterstützen.
3. Parametrisierung von Rollen
4. Referenzierungen von Systemrollen
5. Referenzierungen von Fachrollen
6. Indizierung an Fachrollen
7. Vererbung von Rollen in Org-Strukturen
8. Nutzung der Security-Class zur Clusterung von Rollen
7 Verfahren und Wege zum Aufbau eines Rollenmodells
Rollen-Referenz-Modell (RRM)
Role-Mining als Bottom Up-Verfahren
Betriebsorganisatorische Dokumente als Top Down Verfahren
Analyse vorhandener Gruppen- und Rollenmodelle
8 Reporting und Review
In einem monatlichen Report werden die Kennzahlen des Rollenmodells ermittelt und bei starken Abweichungen vom allgemein-methodischen Ansatz von RBAC sowohl an den Teamleiter des Kunden als auch an die Kundenbetreuung des iSM übermittelt.
9 Negative Effekte bei Verstößen gegen diese Richtlinien
Massive Abweichungen von diesen Richtlinien haben negative Auswirkungen in:
- Performance
- Hohe Last auf den Leitern bei Freigaben und Rezertifizierungen
- Bei hoher Anzahl von Rollen und Rollen-Referenzen ist kein Überblicks über die realen Berechtigungsstrukturen mehr zu erreichen, womit ein Ziel eines Rollenmodells verfehlt wird.
Die Wirtschaftsprüfer würden ein solches Modell als Risiko deklarieren.
Gerd Rossa
Gerd Rossa Anbindung von Schiffssystemen zum Zentralsystem - Webinareinladung
Webinar
Termin: 14.11.2018 um 13:30 Uhr
Zu einem Unternehmen gibt es Einheiten (Schiffe), die ein eigenes AD und eigene Anwendungen haben, aber über eine unsichere Verbindung zum Zentralsystem verfügen. In der verbindungslosen Zeit erfolgt die Verwaltung der User und Berechtigungen im Bereich dieser Einheit autonom.
Damit kann die bisherige Lösung der Nutzung nichtpersonifizierter Accounts durch ein Fachrollenmodell mit individueller (personifizierter) Zuordnung von Rollen und damit der Berechtigungen der Rollen kurzfristig vorgenommen werden. Gleichzeitig kommen die Standardprozesse (User Live-Cycle und Antragsprozesse) zur Anwendung, womit Nachvollziehbarkeit und Compliance eindeutig gesichert sind.
bi-Cube ist in unterschiedlichen Szenarien für gemischte Systeme nutzbar.
Im Unternehmen gibt es bereits ein System, das die Userverwaltung und das Provisioning für einen Teilbereich gelöst hat, aber im Bereich Rollen- und Prozessmanagement funktionelle Mängel aufweist, die eine Weiterentwicklung der Lösung nicht ermöglichen.
Was erwartet Sie in unserem Webinar:
Architektur Anbindung von Teilsystemen mit unsicherer Verbindung
Nutzung im Verbindungsfall
Abbruch der Verbindung
Differenz-Check
flexibles Berechtigungsmanagement auf dem Schiff
bi-Cube in einer kooperativen IAM-Umgebung verschiedene Szenarien
Mit freundlichen Grüßen
Gerd Rossa
Zur Webinaranmeldung:
Gerd Rossa bi-Cube mit intelligentem AD PW-Control Service
Sehr geehrte Damen und Herren,
ich möchte Sie gern regelmäßig über neue bzw. deutlich erweiterte Services zu informieren.
Mein Team ist bestrebt, die für ein IAM nutzbaren neuen technologischen Entwicklungen in die bi-Cube Architektur optimal zu integrieren.
Ein Schwerpunkt dieser Entwicklungen ist es, Cyberangriffe effektiv abzuwehren bzw. zumindest zeitnah zu erkennen.
Der erste Schritt hierzu ist die Integration unseres AD PW-Control Service.
Dieser Service prüft bei einem PW-Wechsel dessen Syntax Regeln und das eingegebe PW wird mit einer Liste von über 500 Millionen geleakten Passwörtern abgeglichen.
Kennwortänderung unter Berücksichtigung der Kennwortregeln aller Zielsysteme
Wenn auf Kundenwunsch hin der PW-Wechsel nicht über den bi-Cube Credential Provider, sondern dem Credential Provider von Microsoft erfolgen soll, werden dessen PW-Regeln zur Prüfung herangezogen und nicht die in bi-Cube zu dem System hinterlegten.
Ändert ein Benutzer sein Kennwort in diesem Credential Provider kann diese Änderung nicht in bi-Cube geprüft werden und es passiert regelmäßig, dass das geänderte PW zwar von Windows akzeptiert aber bei dessen Synchronisation zu den Zielsystemen durch diese abgelehnt wird. Damit läuft die PW-Änderung in einen Fehler und muss durch die bi-Cube Administration in aufwendiger manueller Arbeit zurückgesetzt werden.
Die Anforderung besteht also auch darin, dass die Kennwortänderungen IN JEDEM Fall synchronisiert werden, unabhängig davon WO der Benutzer sein Kennwort ändert. Dies wird durch den hier beschriebenen Service realisiert! Der Vorteil dieses neuen Services besteht u.a. auch darin, dass Kunden keine Client-Installationen mehr benötigen. Der Service läuft quasi nahtlos und völlig wartungsfrei.
Zu dem Service bieten wir außerdem am 08.11.2018 um 13.30 Uhr ein einführendes Webinar, zu dem Sie sich bereits jetzt anmelden können.
Mit freundlichen Grüßen
Gerd Rossa
Daniel Kottmann Prozessautomatisierung auf dem Digital World Congress
Als studentische Unternehmensberater sind wir ständig auf der Suche nach Möglichkeiten, unser praktisches Wissen zu erweitern. Unser Projektpartner Scheer lädt Sie ein, die Zukunft von Digital Business auf dem 5. Digital World Congress in Frankfurt zu diskutieren.
Bereits im letzten Jahr haben wir daran teilgenommen und konnten die Welt von Unternehmung 4.0 kennenlernen, mit all den Möglichkeiten die die Zukunft bietet. Spannende Keynote-Talks und Berichte aus der Praxis machen den Kongress zu einer einmaligen Diskussionsplattform.
Dieses Jahr stehen Process Automation, Industry Excellence, Business Competence und Robotic Process Automation auf der Agenda. Freuen Sie sich zusätzlich auf die Keynote-Speaker Prof. Dr. Wilhelm August Scheer und Dr. Ferri Abolhassan (Telekom Deutschland).
Wir freuen uns über Ihre Teilnahme!

Moderatoren

Infos zu den Moderatoren

Über die Gruppe "Rollenmodellierung und Prozeßautomatisierung im Provisioning von IT-Berechtigungen"

  • Gegründet: 20.07.2007
  • Mitglieder: 104
  • Sichtbarkeit: offen
  • Beiträge: 39
  • Kommentare: 10