Jakub Jirsk - Fotolia

Oracle Identity Manager: Automatisierte Provisioning-Prozesse minimieren Risiko

Der Oracle Identity Manager unterstützt Sie bei der Erstellung beziehungsweise Verwaltung neuer Benutzerkonton und vereinfacht das User Provisioning.

Anmerkung der Redaktion: Dieser Beitrag basiert auf dem Kapitel 9 zum Oracle Identity Manager aus dem Buch „Applied Oracle Security: Developing Secure Database and Middleware Environments“. Das gesamte Kapitel kann kostenfrei als PDF-Datei unter diesem Link heruntergeladen werden.

Das User Provisioning ist ein kritischer Faktor, denn es erlaubt den Endanwendern sowie Administratoren den Zugriff auf IT-Ressourcen wie Applikationen, Datenbanken, E-Mail-Server oder Betriebssysteme. Die Lösung Oracle Identity Manager (OIM), eine vollständige und integrierte Identity-Management-Plattform, unterstützt Unternehmen bei diesem Prozess unter anderem mit Funktionen für das Zugriffs-, Berechtigungs- und Rollenmanagement sowie einem Directory Service. 

In diesem Abschnitt wird dargelegt, wie der OIM sich effizient einsetzen lässt. Zugleich soll das Verständnis für das Policy Framework des OIM und die verschiedenen Identitäten wie „Anwender“, „Anwendergruppe“ und „Organisation“ vertieft werden.

Der Oracle Identity Manager bildet im Rahmen der Identity-Management-Strategie von Oracle einen zentralen Baustein. Der OIM bildet in dieser Strategie die Plattform für das Design von Prozessen und zur Bereitstellung von Anwender- und Zugriffsinformationen. Über sie kann den Anwendern für sämtliche IT-Ressourcen, zu denen sie Zugang benötigen, die richtigen Accounts und Privilegien weitgehend automatisiert zugewiesen werden. 

Die Konfiguration solch automatisierter Provisioning-Prozesse kann auf mehrere Arten erfolgen, die im Folgenden anhand von Beispielen und Best-Practice-Implementierung aufgezeigt werden. In diesem Kapital werden nicht alle OIM-Features und -Funktionalitäten vorgestellt, die aktuell verfügbar sind, sondern nur die Funktionen, die zur Behebung von Problemen beim Zugang zu Anwendungssoftware nötig sind.

Herausforderung User Provisioning

Nimmt im Unternehmen ein neuer Mitarbeiter die Arbeit auf, braucht er unter anderem ein Büro, einen Computer, Büromaterial, eine E-Mail-Adresse sowie Zugriff auf die Business-Anwendungen gemäß seiner Rolle und Berechtigung. Für diese Prozesse haben sich Begriffe wie Onboarding oder Hire-to-Retire eingebürgert. 

Ein wichtiger Bestandteil im Rahmen des Onboarding- beziehungsweise Hire-to-Retire-Prozesses bildet das User Provisioning oder die Nutzer-Bereitstellung. Dadurch wird gewährleistet, dass jeder Mitarbeiter Zugriff auf die IT-Ressourcen erhält, die er zur Erledigung seiner Aufgaben benötigt.

In den meisten Firmen stellt das User Provisioning einen zeitaufwendigen und geschäftskritischen Vorgang dar. Die Firmen suchen deshalb nach Möglichkeiten, um den Verwaltungsaufwand bei der Benutzerverwaltung zu reduzieren und die Risiken bei der Zugangskontrolle zu geschäftskritischen Applikationen zu minimieren.

Mit einer Lösung für das User Provisioning lassen sich die für die Bereitstellung eines neuen Accounts erforderlichen Prozesse zentralisieren und somit konsistent und regelkonform ausführen. Bevor ein neuer Nutzer Zugriff auf die Geschäftsanwendungen erhält, sind im Vorfeld bestimmte Genehmigungen zu erteilen und Überprüfungen auszuführen.

Eine weitere Herausforderung beim User Provisioning, die allerdings technischer Natur ist, bildet die Systemintegration. In der Regel verfügen Firmen über eine IT-Landschaft, die sich aus vielen einzelnen Applikationen zusammensetzt, die wiederum auf unterschiedliche Technologien, Standards und Inhalte basieren. Eine Zentralisierung der Prozesse bei der Erstellung eines neuen Benutzerkontos ist daher für viele Firmen der schlimmste Integrationsalbtraum.

Leichtere Integration, einfachere Administration, geringeres Risiko: Genau dies waren die drei entscheidenden Punkte, warum Oracle vor geraumer Zeit den OIM durch die Übernahme von Thor Technologies, einem Anbieter von Best-of-Breed-Software für das User Provisioning, in seine Identity-Management-Produktsuite aufgenommen hat. Seit der Übernahme von Thor wurde die OIM-Software zwar maßgeblich weiterentwickelt und verbessert, doch die drei oben genannten Punkte bilden nach wie vor den grundlegenden Rahmen für die Bereitstellung.

Überblick über den Oracle Identity Manager

Der OIM ist ein wesentlicher Baustein für eine übergreifende Identitätsmanagementlösung. Die Effektivität des Zugriffs-, Berechtigungs- und Rollenmanagements und der Directory Services hängen davon ab, ob die jeweils eingesetzte User-Provisioning-Software reibungslos funktioniert. Nur so kann sichergestellt werden, dass die richtigen Identitätsdaten am richtigen Ort sind und auch in anderen Anwendungen verwendet werden können.

Da zugleich unterschiedliche Richtlinien, Prozesse und Integrationsszenarien unterstützt werden müssen, ist es erforderlich, dass die eingesetzte Provisioning-Technologie ein hohes Maß an Flexibilität und Anpassungsfähigkeit aufweist. Doch je flexibler die Software sein soll, desto eher besteht die Gefahr, dass sie komplex und unhandlich wird. Der OIM versucht daher die Balance zu finden zwischen individueller Anpassung beim Provisioning und einem Implementierungsprozess mit möglichst geringer Komplexität.

Die offene Architektur des OIM-Frameworks erlaubt es den Entwicklern, genau den Grad an Komplexität auszuwählen, den sie gerade benötigen. Je größer der Bedarf an individueller Anpassung ist, desto höher sind in der Regel auch die Anforderungen an die Konfiguration.

Daher stellt zum Beispiel der OIM bereits standardmäßig zahlreiche vordefinierte Konnektoren, Adapter und Lösungsansätze für eine Integration in verschiedene Systeme wie ein Active Directory zur Verfügung. Gibt es zusätzliche Anforderungen, wie etwa bei Genehmigungs-Workflows oder individuellen Attributen im Kontext der Bereitstellung, müssen auch die Standard-Konnektoren von den Entwicklern entsprechend angepasst werden. In diesem Kapitel erfahren Sie, wie solche zusätzlichen Anforderungen mithilfe des OIM umgesetzt werden können.

Insgesamt gesehen handelt es sich beim OIM um eine ausgefeilte Technologie, die ein tiefes Verständnis erfordert, bevor sie eingeführt wird. Ein guter Weg, sich näher mit der Anwendung vertraut zu machen, ist die Beschäftigung mit deren grundlegendem Konzept und Regelwerk für das User-Provisioning-Management.

Anwender

In diesem Buch wurde bereits mehrfach darauf hingewiesen, dass das Wissen, wer in welchem Zusammenhang auf welche IT-Ressourcen zugreifen darf, einen wichtigen Baustein für mehr IT-Sicherheit bildet. Im OIM wird das „wer“ im Zusammenhang mit einem unternehmensweiten User Provisioning durch den einzelnen Anwender repräsentiert. 

Ein OIM-Anwender ist applikationsübergreifend definiert und kann so mithilfe des Provisioning unterschiedlichen Anwendungen zugewiesen werden – unter anderem durch den Einsatz applikationsorientierter Repräsentationen und Datenmodelle.

Ein OIM-User wird auf der Grundlage eines Standarddatenmodells angelegt, das in der Regel bestimmte Identitätsattribute beinhaltet wie Vorname, Nachname, Angestellten-Typ, Titel oder Organisation. Diese Attribute können bei Bedarf um weitere Felder erweitert werden. Durch dieses Datenmodell sind somit auf Unternehmensebene die grundlegenden Identitätsdaten definiert, die letztlich für das Nutzerkonto und die Zugriffsrechte in jeder IT-Ressource relevant sind.

Anwendergruppe

In vielen Applikationen werden die Endanwender auf der Basis bestimmter Kriterien wie einer gemeinsamen Funktion, Organisation, Verantwortungsebene und so weiter gruppiert. Der OIM stellt mit dem Objekt „User Group“ (Benutzergruppe) einen Mechanismus bereit, der Unternehmen dabei unterstützt, die Anwender nach bestimmten Regeln und Methoden einfach wie in einer Art „Schubfach“ zu organisieren. Es gibt dabei zwei Wege, auf denen ein Anwender einer User Group zugeteilt werden kann: über eine direkte Zuordnung oder eine regelbasierte Zuordnung.

Die direkte Zuordnung ist ein intuitives Verfahren, das den meisten Menschen vertraut ist. Diese Form der Anwenderzuordnung ist einfach, direkt, intuitiv und leicht zu verstehen und zu validieren. Die direkte Zuordnung wird von privilegierten Usern wie Administratoren oder Managern ausgeführt und die Mitgliedschaft bleibt nach einem starren, statischen Muster erhalten. 

Daraus folgt, dass die Mitgliedschaft auch jederzeit von den privilegierten Usern widerrufen werden kann. Für bestimmte Applikationen und Gruppierungen ist die Form der direkten Zuordnung jedoch nur bedingt geeignet.

Statt dieser statischen Form der Zuordnung zu einer Anwendergruppe, wird dann der Ansatz einer regelbasierten Mitgliedschaft genutzt. Auf diese Weise kann die Zuordnung von Anwendern zu einer Gruppe in einem hohen Maß automatisiert verwaltet werden. Die Regeln werden durch Bedingungen für jeden Anwender festgelegt, die darüber entscheiden, ob ein Anwender einer bestimmten Anwendergruppe angehört oder nicht.

In Abbildung 9-1 wird die Mitgliederregel „Ort == San Francisco“ als Beispiel für eine automatisierte Gruppenmitgliedschaft auf Basis des Merkmalwerts „Ort“ dargestellt. In dieser Regel sind als Bedingungen festgelegt, dass zu dieser Anwendergruppe die Mitarbeiter mit der Stellenbezeichnung „Datenbankadministrator“, die in der Gegend von San Francisco arbeiten, gehören. 

Bei Anwendergruppen, die nach solchen Regeln organisiert sind, können die einzelnen Mitglieder einer Gruppe von Natur aus dynamischer und deutlich flexibler verwaltet und diesen die IT-Ressourcen zugewiesen werden. Das entsprechende Mapping wird dann in einer Zugangsrichtlinie ausgeführt.

Abbildung 9-1: Konfiguration von Mitgliederregeln für Anwendergruppen

OIM bietet außerdem das Organisationsobjekt, um Nutzer zu gruppieren. Die beiden Objekte (Anwendergruppe und Organisation) sind dafür gedacht, Nutzer mit unterschiedlichen Funktionen, die aber komplementär sind, zu organisieren. Typischerweise basiert die Unterteilung in Anwendergruppen auf den Attributen, die funktionsübergreifend sind und im gesamten Unternehmen beziehungsweise in jeder Abteilung existieren können.

Organisation

Im OIM kann das Objekt „Organisation“ eine Geschäftsfunktion (zum Beispiel Vertrieb oder Produktentwicklung) aber auch eine regionale Niederlassung (zum  Beispiel Geschäftseinheit Nordamerika) repräsentieren. Im OIM können die Organisationsobjekte zudem so miteinander verknüpft werden, dass sie die tatsächlichen Hierarchien im Unternehmen abbilden. Es gibt drei Typen von Organisationen: Unternehmen, Abteilung und Niederlassung. Hier wird gezeigt, wie jeder einzelne Typus die Organisationsmodelle der realen Welt abbildet.

  • Das Objekt „Unternehmen“ repräsentiert autonome Geschäftseinheiten, zu denen typischerweise verschiedenste geschäftliche Funktionen wie Vertrieb, Marketing, Finanzbuchhaltung oder IT-Abteilung gehören.
  • Unter dem Objekt „Unternehmen“ gibt es die „Abteilung“, die einzelne Geschäftsfunktionen wie Vertrieb oder Finanzbuchhaltung darstellt.
  • Unterhalb der Abteilung kommt dann die Niederlassung, die zusätzliche Gruppierungsmöglichkeiten für die User bereitstellt, üblicherweise nach Regionen.

Nicht in jedem Fall ist es notwendig, das Objekt Organisation genauso wie die tatsächliche Firmenstruktur aufzuteilen und zu modellieren, da diese hohe Detailtiefe oft gar nicht benötigt wird. 

Zu beachten ist darüber hinaus, dass im realen Umfeld das Organisationsmodell einer Firma häufig Änderungen unterliegt, sodass die vollständige Angleichung der Organisation im OIM an diese Änderungen nicht immer erwünscht ist. Das gilt vor allem dann, wenn Provisioning- und Zugangsrichtlinien von den Organisationsstrukturen unabhängig sind, in die die User eingebunden sind.

Zugangsregeln

Durch die Zugangsregelung wird im Oracle Identity Manager festgelegt, wer Zugriff auf welche IT-Ressourcen haben soll. Die allgemeine Zuweisung eines Anwenders zu einer Ressource wird zunächst darüber hergestellt werden, welcher Anwendergruppe dieser User zugeordnet ist und zu welchen Ressourcen die Anwendergruppe wiederum Zugang hat. 

Abbildung 9-2 zeigt die Instanz einer Zugangsregelung, bei der Endanwender auf der Basis von Regeln und Mappings automatisiert den richtigen Ressourcen zugeordnet werden. Dies wird durch die Pfeile dargestellt, die zu jedem Objekt führen.

Zusätzlich zur Kontrolle über die Ressource, können auch die Privilegien jedes Endanwenders innerhalb einer Ressource überwacht werden, indem in der Zugangsregelung die Berechtigungen auf Applikationsebene auch der Anwendergruppe zugewiesen werden. 

Sollen zum Beispiel die zwei Anwendergruppen „Datenanalyst“ und „Datenbankadministrator“ mit Zugriffsrechten auf dieselbe Datenbankanwendung ausgestattet sein, doch mit jeweils unterschiedlichen Datenbankrollen (Analyst und Admin), lässt sich das entsprechende Mapping zur jeweiligen Datenbankrolle für die Anwendergruppe innerhalb der Zugangsregelung einstellen.

Abbildung 9-2: Zugangsregelungen definieren das Mapping der Anwender zu einer User-Group und der Gruppen zu den Ressourcen (Applikation oder Datenbank)

Ressourcenobjekt

Bei der „Ressource“ handelt es sich um ein OIM-Objekt, das ein logisches Ressourcensystem repräsentiert, auf das die Anwender über ein Benutzerkonto zugreifen können. Typische Ressourcenobjekte können zum Beispiel „E-Mail-Server“ oder „Kundendatenbank“ sein. Diese Ressourcen repräsentieren in der Regel nahezu alle Eigenschaften, die für das Provisioning relevant ist – von der Applikation über die Datenbank und das Betriebssystem bis hin zu physischen Gütern.

Ein Ressourcenobjekt wird verwendet, um nachverfolgen zu können, zu welchen logischen Assets die einzelnen Endanwender zugeordnet sind. Auf diese Weise kann zum Beispiel eine aktuelle Liste erstellt werden, die anzeigt, welchen Anwendern die Ressource „E-Mail-Server“ bereitgestellt wird. Ressourcenobjekte werden darüber hinaus für das Design von anwendungszentrischen Bestätigungs-Workflows eingesetzt sowie für die Regeln, die jeweils zu einem Workflow gehören.

Soll zum Beispiel eine bestimmte Person damit beauftragt werden, alle auf dem E-Mail-Server-System angelegten neuen Benutzerkonten zu bestätigen, kann diese Bedingung mithilfe des Ressourcenobjekts in eine Workflow-Regel umgesetzt werden. 

Allerdings repräsentieren die Ressourcenobjekte im OIM nicht die eigentliche physikalische Ressource. Sie beinhalten daher auch keine entsprechenden Detailinformationen wie die IP-Adressen oder die Namen von Hostservern. Zu diesem Zweck stellt der OIM das Konzept der IT-Ressourcen bereit.

IT-Ressource

Bei einer IT-Ressource handelt es sich um die physische Repräsentation eines logischen Ressourcenobjekts. Sie beinhaltet daher auch sämtliche physikalische Detailinformationen zu einer Ressource, die für einen neuen Nutzer bereitgestellt wurde. Für das Ressourcenobjekt „Kundendatenbank“ etwa müssen eine oder mehrere IT-Ressourcen definiert werden, die die physischen Charakteristika genau dieser Ressource wie Hostname, IP-Adressen oder den Standort repräsentieren. 

Diese Informationen werden dann wiederum von der Integration-Engine des OIM dazu verwendet, um mit dem Datenbanksystem zu kommunizieren und Provisioning-bezogene Aufgaben durchzuführen.

Das spezifische Set an Merkmalen einer IT-Ressource hängt maßgeblich davon ab, auf welchem System ein neues Benutzerkonto eingerichtet wird. Bei einer relationalen Datenbank sind das Schemanamen und Passwörter, bei einem LDAP-Server dagegen Namen, Orte und Details zum Directory Information Tree (DIT). 

Der OIM bietet darüber hinaus die Möglichkeit, einen IT-Ressourcentyp anzulegen, der als Template fungiert und auf dessen Basis ein spezifisches Datenmodell für bestimmte Typen von IT-Ressourcen definiert werden kann.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im März 2010 aktualisiert

Erfahren Sie mehr über Business-Software

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close