IAM: Benutzerkonten richtig bereitstellen und aufheben

Szenarien und Schritte für die Benutzerbereitstellung

Der Bereitstellungs- und Deprovisionierungszyklus umfasst in der Regel mehrere Phasen, die jeweils spezifische Maßnahmen beinhalten, um sicherzustellen, dass die Mitarbeiter über den für ihre Arbeit erforderlichen Zugriff verfügen, während die Organisation gleichzeitig die Sicherheits- und Compliance-Anforderungen einhält. Für die Einbindung von Benutzern und die Bereitstellung von Konten mit den erforderlichen Berechtigungen sind die folgenden Phasen üblich:

Benutzeranfrage und Anlegen einer Identität

Anlegen von Benutzern. Wenn ein neuer Mitarbeiter oder Auftragnehmer hinzukommt, wird seine Identität im IAM-System der Organisation angelegt, in der Regel ausgelöst durch einen Datensatz in einer HR-Plattform, die die Anfrage automatisch initiiert.

Zuweisung einer eindeutigen Kennung. Dem Benutzer wird eine eindeutige Kennung zugewiesen, in der Regel ein Benutzername, der in allen Systemen und Anwendungen der Organisation einheitlich ist.

Definition von Rollen und Attributen. Die Rolle, die Abteilung, der Standort und andere Attribute des Benutzers sind im HR-Datensatz kodiert. Diese Informationen bestimmen die Zugriffsebene des Benutzers und die damit verbundenen Berechtigungen.

Zugriffsrechte und Rollenzuweisung

Rollenbasierte Zugriffskontrolle (RBAC, Role-Based Access Control). Wenn eine Organisation RBAC einführt, werden Zugriffsrechte nach dem Prinzip der geringsten Privilegien (POLP, Principle of least Privilege) gewährt. Diese Kontrollen stellen sicher, dass der Benutzer nur über die Zugriffsrechte verfügt, die für die Ausführung seiner jeweiligen Aufgaben erforderlich sind.

Richtlinienbasierte Zugriffskontrolle (PBAC, Policy-Based Access Control). Ein Unternehmen kann sich auch dafür entscheiden, zusätzliche Zugriffskontrollen auf der Grundlage von Richtlinien anzuwenden. Dieser Ansatz sieht Einschränkungen auf der Grundlage von Standort, Zeit oder anderen Parametern vor, die mit Regelungen für die Arbeit im Home-Office und Zero-Trust-Konzepten in Einklang stehen.

Berechtigungen und Genehmigungen. Spezifische Genehmigungen für Anwendungen, Systeme oder Datenressourcen werden auf der Grundlage vordefinierter Berechtigungen zugewiesen, die mit der Rolle und der Funktion des Benutzers verknüpft sind und häufig außerhalb der Standardberechtigungen eines Gruppenzuweisungsmodells liegen.

Bereitstellung in Systemen

Kontoerstellung. Das IAM-System stellt in den meisten Fällen Konten in einem Benutzerverzeichnis bereit, das dann den Zugriff auf die erforderlichen Anwendungen und Systeme erleichtert. Dieser Prozess kann je nach System automatisiert oder manuell erfolgen, wobei die Automatisierung bei der Bereitstellung von Konten heute weitaus gebräuchlicher ist.

Zuweisung von Anmeldedaten. Der Benutzer erhält Anmeldedaten wie Passwörter oder MFA-Token sowie Anweisungen zur sicheren Anmeldung.

Anpassungen der Bereitstellung

Die zweite Phase des Bereitstellungs- und Deprovisionierungslebenszyklus ist in Bezug auf den Zeitpunkt weniger spezifisch, da sie in der Regel in regelmäßigen Abständen stattfindet. Diese Phase konzentriert sich auf den Lebenszyklus der Benutzer, da diese den Arbeitsplatz wechseln oder andere organisatorische Veränderungen eintreten. In dieser Phase des Änderungsmanagements oder Midlife-Managements sind die folgenden Aktivitäten typisch:

Zugriffsbeschränkungen und Rollenänderungen

Änderung der Rolle. Wenn ein Benutzer die Rolle oder Abteilung wechselt, wird sein Zugriff neu bewertet und aktualisiert, um die neuen Verantwortlichkeiten widerzuspiegeln. IAM-Systeme sollten diesen Prozess basierend auf Änderungen im HR-System automatisieren – in der Regel durch Änderungen an vordefinierten Rollen- oder Gruppenkennzeichnungen.

Attributbasierte Anpassungen. Aktualisierungen auf der Grundlage von Benutzerattributen, wie beispielsweise Standort oder Jobstatus, können den Zugriff automatisch ändern, um Sicherheitsrichtlinien einzuhalten.

Anfragen für vorübergehenden Zugang

Zugriff auf Abruf. Benutzer können vorübergehend Zugriff auf zusätzliche Ressourcen außerhalb ihrer üblichen Rolle anfordern. Dieser Zugriff sollte einem Prozess folgen, der Anfragen und Genehmigungen von Teamleitern oder Managern umfasst, wobei der Zugriff für eine begrenzte Zeit gewährt und automatisch von IAM-Systemen verwaltet wird.

Protokollierung und Prüfung. Temporäre Zugriffsanfragen sollten protokolliert werden und es sollte eine Aufzeichnung aller genehmigten und abgelehnten Anfragen zu Compliance- und Prüfungszwecken geführt werden.

Berechtigungen auf den Prüfstand stellen

Regelmäßige Überprüfung des Zugriffs. Sicherheits- und IAM-Teams sollten regelmäßige Überprüfungen der Zugriffsrechte durchführen. Manager und Systembesitzer sollten sicherstellen, dass Benutzer weiterhin den Zugriff benötigen, der ihnen gewährt wurde.

Widerruf nicht benötigter Zugriffsrechte. Nicht mehr benötigte Zugriffsrechte werden widerrufen, um das Prinzip der geringsten Privilegien zu wahren. IAM-Systeme können Benachrichtigungen an Manager zur Überprüfung und zum Widerruf redundanter Berechtigungen automatisieren.

Szenarien und Schritte zur Aufhebung der Benutzerberechtigung (Deprovisionierung)

Die letzte große Phase der Bereitstellung ist die Aufhebung von Benutzerkonten und Berechtigungszuweisungen durch Deprovisionierung. Diese Offboarding-Phase ist für die Sicherheit von entscheidender Bedeutung. Verwaiste Konten, die noch aktiv sind, können bei vielen Arten von Vorfällen und Verstößen eine Rolle spielen. Zu den üblichen Aktivitäten und Elementen dieser Phase gehören die folgenden:

Auslösung der Deprovisionierung

Kündigungsbenachrichtigung. Wenn ein Benutzer die Organisation verlässt, senden HR-Anwendungen eine Benachrichtigung an IAM-Systeme, um die Aufhebung der Bereitstellung einzuleiten.

Optionale sofortige Sperrung. Benutzerkonten können sofort deaktiviert werden, um weiteren Zugriff zu verhindern, insbesondere in Fällen einer unfreiwilligen Kündigung.

Löschen von Zugriffsrechten und Bereinigen von Konten

Deaktivierung von Konten. Konten in allen verbundenen Systemen und Anwendungen werden entweder sofort oder innerhalb eines bestimmten Zeitraums deaktiviert.

Widerruf des Datenzugriffs. Der Zugriff auf alle Datenressourcen wird entfernt – in der Regel automatisch. Je nach Unternehmensrichtlinie und rechtlichen Gegebenheiten können die Daten des Benutzers archiviert oder einem anderen Benutzer zugewiesen werden.

Löschen von Anmeldedaten. Anmeldedaten, die mit dem Benutzerkonto verknüpft sind, wie Passwörter, MFA-Token und Zugriffsschlüssel, werden gelöscht, um unbefugten Zugriff in Zukunft zu verhindern.

Endgültige Kontolöschung und -prüfung

Dauerhafte Kontolöschung. Nach einer bestimmten Aufbewahrungsfrist für Prüfungszwecke werden die Benutzerkonten dauerhaft aus allen Systemen gelöscht.

Audit und Compliance-Prüfung. Ein Audit-Protokoll des Deprovisionierungsprozesses wird überprüft, um die Einhaltung der Unternehmensrichtlinien und der gesetzlichen Anforderungen sicherzustellen. Dieser Prozess stellt sicher, dass der Zugriff entfernt und ordnungsgemäß dokumentiert wurde.

IAM-Richtlinien müssen auch verwaltet werden

Eine kontinuierliche Steuerung und Einhaltung von Vorschriften sind unerlässlich. IAM-Richtlinien und -Prozesse, einschließlich des Bereitstellungs- und Entfernungszyklus, sollten regelmäßig überprüft werden, um neuen Risiken, Compliance-Anforderungen oder organisatorischen Änderungen Rechnung zu tragen.

Außerdem sollte eine automatische Protokollierung und Überwachung der IAM-Aktivitäten eingerichtet werden. Diese bieten einen Prüfpfad und helfen bei der Erkennung nicht autorisierter Zugriffsversuche.

Anwendungsfälle für Bereitstellung und Deprovisionierung von Konten

Sehen wir uns einige Beispiele für Benutzerbereitstellungsszenarien und die Schritte für deren ordnungsgemäße Handhabung an:

• Ein neuer Mitarbeiter tritt einer etablierten, klar definierten Abteilung bei, wie der Finanz- oder Rechtsabteilung. Der neue Mitarbeiter hat sehr spezifische Arbeitsanforderungen, die den Zugriff auf bestimmte Anwendungen vor Ort und in der Cloud erfordern. Der Datensatz des Benutzers wird in einer HR-Anwendung erstellt, die dann einen neuen Benutzer im Active Directory mit einer vorgegebenen Gruppenzugehörigkeit anlegt. Dieser Benutzer wird dann mit einem Cloud-SSO-System (Single Sign-On) verbunden, das vorab bereitgestellte Anwendungen in einem Portal zur Verfügung stellt, wenn sich der Benutzer anmeldet.
• Ein Auftragnehmer wird hinzugezogen, um intern an der Umsetzung eines bestimmten neuen Produkts zu arbeiten. Es wird ein HR-Datensatz mit einem Label für Auftragnehmer erstellt, der einen bestimmten Vertragszeitraum umfasst, zum Beispiel sechs oder zwölf Monate. Dadurch wird ein neues Konto in einer Auftragnehmergruppe erstellt. Eine Führungskraft vermerkt im HR-Profil den jeweiligen RBAC- und PBAC-Zugriff auf Datenspeicher, Anwendungen und andere Ressourcen. Das Konto läuft automatisch ab, wenn der Vertragszeitraum abgelaufen ist. So werden beispielsweise zwei Wochen vor Ablauf werden automatische Benachrichtigungen versendet, damit das Konto bei Bedarf verlängert werden kann.
• Ein DevOps-Ingenieur benötigt ein Cloud-Service-Konto und entsprechende Zugriffsschlüssel, um Ressourcen in der Cloud-Umgebung zu erstellen und bereitzustellen. Über ein Portal für Zugriffsanfragen löst eine automatisierte API-basierte Anfrage in der Cloud-Umgebung die Erstellung eines Cloud-IAM-Kontos, die Bereitstellung von Zugriffsschlüsseln und alle damit verbundenen MFA- und/oder PAM-Anmeldeinformationen oder -Token aus.

Nachfolgend finden Sie Beispiele für Szenarien zur Aufhebung der Benutzerberechtigung:

• Ein IT-Mitarbeiter, der über privilegierten Zugriff auf Server, Anwendungen, Datenspeicher und zahlreiche Netzwerkumgebungen verfügt, beschließt, das Unternehmen zu verlassen. Die entsprechende Kündigungsfrist löst eine automatische HR-Systemanfrage an die vorhandenen IAM-Plattformen aus, um alle erforderlichen Beteiligten, die für Systeme und Anwendungen verantwortlich sind, zu benachrichtigen und die Deaktivierung von Standard- und PAM-Konten am letzten Arbeitstag des Mitarbeiters festzulegen.
• Wenn einem Mitarbeiter in der Finanzabteilung aus wichtigem Grund gekündigt wird, wird das Benutzerkonto in der HR-Anwendung als risikoreich gekennzeichnet. Dies führt zu einer sofortigen Deaktivierung des Kontos und aller damit verbundenen Anmeldeinformationen, wie beispielsweise MFA-Token. Durch die Deaktivierung wird auch jeglicher Zugriff auf föderierte SaaS-Anwendungen innerhalb des SSO-Portals unterbunden. Da all dies auf eine Kündigung zurückzuführen ist, wird eine automatische Warnmeldung an das Sicherheitsteam gesendet, das eine Bewertung der Zugriffsrechte durchführt und Protokolle und Warnmeldungen im Zusammenhang mit dem Verhalten dieses Benutzers überprüft.

Eine Vielzahl von Tools unterstützt diese Bereitstellungs- und Entfernungsaktivitäten, darunter SSO- und Föderationsplattformen wie Ping, Okta und Microsoft Entra ID sowie PAM-Plattformen wie CyberArk und BeyondTrust.

Verfahren zur Bestätigung, bei denen Vorgesetzte Berechtigungen überprüfen und erneut genehmigen, tragen dazu bei, die Einhaltung von Vorschriften zu gewährleisten und den Zugriff an die aktuellen Geschäftsanforderungen anzupassen.

Bekannte Anbieter von Identity-Governance-Lösungen, darunter SailPoint, IBM und Oracle, bieten Plattformen an, die den gesamten Lebenszyklus der IAM-Bereitstellung und -Aufhebung verwalten können. Diese können auch in andere Tools und Anwendungen, wie beispielsweise HR- und Ticketing-Systeme, integriert werden. Aufgrund ihrer Komplexität ist die Implementierung und Wartung vieler dieser Tools mit einem erheblichen Aufwand verbunden.

Bewährte Verfahren für den IAM-Bereitstellungslebenszyklus

Best Practices für die IAM-Bereitstellung verbessern die Sicherheit, Compliance und betriebliche Effizienz. Die gängigsten dieser Praktiken empfehlen einer Organisation Folgendes:

• Setzen Sie das Prinzip der geringsten Privilegien um. Stellen Sie sicher, dass Benutzer nur über den minimalen Zugriff verfügen, der zur Ausführung ihrer Aufgaben erforderlich ist (POLP). Dadurch wird das Risiko von unbefugtem Zugriff und Datenschutzverletzungen verringert. Überprüfen Sie regelmäßig die Berechtigungen und entfernen Sie umgehend übermäßige oder veraltete Zugriffsrechte.
• Automatisieren Sie die Bereitstellung und Aufhebung der Bereitstellung. Automatisieren Sie die Erstellung, Aktualisierung und Löschung von Benutzerkonten, um Fehler zu reduzieren und die Verarbeitung zu beschleunigen. Die Integration mit HR-Systemen für Echtzeit-Updates stellt sicher, dass die Bereitstellung Rollenänderungen widerspiegelt und die Aufhebung der Bereitstellung zum richtigen Zeitpunkt erfolgt, wenn Benutzer das Unternehmen verlassen.
• Verwenden Sie eine rollen- und attributbasierte Zugriffssteuerung. Definieren Sie Rollen, die die Aufgabenbereiche widerspiegeln, und ermöglichen Sie es Benutzern, auf der Grundlage ihrer Rollen vordefinierte Zugriffsrechte zu übernehmen. Die attributbasierte Zugriffssteuerung verfeinert den Zugriff weiter, indem sie dynamische Kriterien wie Standort, Zeit oder bestimmte Benutzerattribute einbezieht.
• Führen Sie regelmäßige Zugriffsüberprüfungen durch. Führen Sie regelmäßige Überprüfungen der Benutzerberechtigungen durch, um sicherzustellen, dass die Benutzerberechtigungen relevant und angemessen bleiben. Mit Hilfe von Beglaubigungsprozessen, bei denen Manager Berechtigungen überprüfen und erneut genehmigen, können Sie die Einhaltung von Vorschriften sicherstellen und den Zugriff an die aktuellen Geschäftsanforderungen anpassen.
• Implementieren Sie Multifaktor-Authentifizierung (MFA) und Single Sign-On (SSO). MFA fügt eine Sicherheitsebene hinzu und SSO erleichtert die Zugriffsverwaltung. Mit der zentralisierten Benutzerauthentifizierung von SSO kann ein Unternehmen die Bereitstellung und Aufhebung der Bereitstellung optimieren. Dadurch wird es einfacher, sichere Zugriffsrichtlinien für mehrere Anwendungen durchzusetzen.
• Setzen Sie strenge Authentifizierungsrichtlinien und eine sichere Verwaltung von Anmeldedaten durch. Legen Sie Richtlinien für alle Anmeldedaten fest, einschließlich Passwörter, Schlüssel, Token und MFA. Ergänzen Sie dies durch eine sichere Verwaltung von Anmeldedaten, beispielsweise durch Tresore für den privilegierten Zugriff, um Anmeldedaten zu schützen und das Risiko kompromittierter Konten zu minimieren.

Diese Vorgehensweisen schaffen einen effizienten und sicheren IAM-Bereitstellungszyklus, der sich an organisatorische Veränderungen anpasst, das Risiko unbefugter Zugriffe minimiert und das Compliance-Management vereinfacht.

Der Lebenszyklus der Benutzerbereitstellung und Deprovisionierung in IAM ist für die Aufrechterhaltung von Sicherheit, Compliance und Effizienz von entscheidender Bedeutung. Durch die Automatisierung von Schritten, wo immer möglich, die Verwendung einheitlicher Richtlinien und die Durchführung regelmäßiger Zugriffsüberprüfungen können Organisationen ihre Daten, Systeme und Benutzer schützen. Die mit überprivilegiertem Zugriff und verwaisten Konten verbundenen Risiken lassen sich so minimieren.