Serg Nvns - Fotolia

Tipps zur automatischen Einrichtung von Nutzern und Rechten

Die Vergabe von Zugriffsrechten für Nutzer ist rechtlich, wie auch Sicherheitsgründen heikel. Daher dürfen es sich IT-Teams bei der automatischen Zuweisung nicht zu einfach machen.

Für viele IT-Experten steht derzeit aus vielerlei nachvollziehbaren Gründen der Ansatz Alles automatisieren ganz oben auf der Prioritätenliste. Insbesondere sollen IT-Teams so von manuellen Aufgaben, die sich stets wiederholen, entlastet werden. Und im Allgemeinen ist Automatisierung auch eine feine Sache – aber eben nicht immer.

Die Vorteile der Automatisierung von IT-Aufgaben liegen auf der Hand: Es kommt zu weniger menschlichen Fehlern durch manuelles Handeln und die Mitarbeiter haben mehr Zeit sich produktiveren Aufgaben zu widmen.

Aber es ist durchaus wichtig, ja nach Aufgabe die Vor- und Nachteile der Automatisierung abzuwägen. Dabei empfiehlt es sich, eine Reihe von Fragen zu stellen: Ist der Aufwand für Aufbau und Wartung des Automatisierungssystems geringer als für die manuelle Durchführung der Tätigkeit? Ändern sich innerhalb der Automatisierung regelmäßig Komponenten und erfordern so ein Nachjustierung und zusätzlichen Aufwand? Wie viele Variablen und Ausnahmen von Regeln existieren, die die Automatisierung erschweren?

Je nachdem wie diese Fragen beantwortet werden, kann es sinnvoll sein, einen aufwendigen Automatisierungsprozess erst gar nicht zu beginnen. Bei der Einrichtung von Benutzern und Zugriffsrechten hilft ein planvolles Vorgehen, um einen für alle Seiten hilfreichen Grad an Automatisierung zu erreichen.

Best Practices für die automatisierte Einrichtung und Verwaltung von Benutzern

Die Einrichtung und Verwaltung von Anwendern gehören zu den Tätigkeiten, die IT-Teams sehr gerne automatisieren. Das liegt unter anderem daran, dass die dazugehörigen Prozesse eine ganze Reihe an sicherheits- und Compliance-relevanten Folgen mit sich bringen.

Bei einer Neueinstellung eines Mitarbeiters laufen andere Prozesse ab als bei einem internen Abteilungswechsel und da wiederum andere wie beim Ausscheiden aus dem Unternehmen.

Die Aufgaben der Benutzerverwaltung decken üblicherweise eine Vielzahl von System ab und bergen jede Menge Fehlerquellen. Die Einrichtung und Verwaltung von Benutzern erfordert ein sehr tiefgehendes Verständnis von den Arbeitsanforderungen des einzelnen Anwenders und der Systeme und Ressourcen, auf die dieser zugreifen muss.

Die automatisierte Einrichtung von Benutzern erfordert ein System, das sehr ausgeklügelt und logisch strukturiert sein muss. Wenn Administratoren da nicht von Anfang mit sehr sauberen Angaben und Daten arbeiten, besteht so gut wie keine Chance, dass das automatisierte Endergebnis exakt den Anforderungen und gesetzlichen Vorschriften entspricht – Stichwort GIGO (Garbage In, Garbage Out).

So sollten beispielsweise bei den sehr gängigen Verzeichnisdiensten Microsoft Active Directory oder Azure Active Directory immer sehr konkret beschreibende Gruppennamen verwenden werden. Für die Verwaltung von Benutzergruppen ist eine Gruppe namens Buchhaltung gemeinsamer Ordner für Berichte mit Schreib-/Leseberechtigung wesentliche spezifischer und eindeutiger als eine Gruppe namens Buchhaltungsdateien.

Es ist außerordentlich wichtig, sich vor dem Anlegen von Gruppen darüber im Klaren zu sein, was genau die Gruppe abbildet und wie der Zugang zur Gruppe kontrolliert wird. Wenn der CFO (Chief Financial Officer) beziehungsweise der kaufmännische Leiter festlegt, dass alle Mitarbeiter seiner Zuständigkeit, einschließlich der neu eingestellten, Zugang zu einer Ressource haben, dann lässt sich das leicht automatisiert durch Zuordnung einer Gruppe zu allen Mitarbeitern dieser Abteilung bilden.

Das Ziel sollte sein, die Erstellung von Benutzerkonten und Gruppenmitgliedschaften so gut wie möglich zu automatisieren. Und dazu gehören dann auch etwaige Genehmigungsabläufe. So kann es beispielsweise sinnvoll sein, dass der CFO von Fall zu Fall den Zugang auf bestimmte Buchhaltungsdaten genehmigt.

In diesem Szenario kann die Automatisierung allen Beteiligten Zeit und Aufwand ersparen. Der CFO erhält dann gegebenenfalls automatisch eine Benachrichtigung der Benutzeranfrage und kann diese genehmigen oder ablehnen. Dies gibt den Fachabteilungen darüber hinaus das Gefühl die Hoheit über die eigenen Daten zu haben und nicht den Eindruck, dass allein die IT-Abteilung darüber entscheidet, wer auf was zugreifen darf.

Wann die Automatisierung an ihre Grenzen gerät

Aber es gibt immer wieder Konstellationen, in denen die von Admins automatisierte Logik an ihre Grenzen stößt. Beispielsweise in Fällen, in denen die Entscheidung über die Gewährung des Zugriffs immer situationsabhängig ist. So können IT-Teams zwar den Genehmigungsprozess automatisieren, aber nicht die Anfrage selbst.

Es ist schlicht schwer machbar, einen Prozess zu implementieren, der jede mögliche Kombination von Zugriff im gesamten Unternehmen abdeckt. Dies über alle Abteilungsgrenzen hinweg umzusetzen, ist schwerlich möglich, da alle betroffenen Personen den gewährten Zugriff jeweils verstehen müssten oder sich die Zeit nehmen muss, alle vorliegenden Informationen zu überprüfen.

Derartige Anfrage sollten daher getrennt behandelt werden. Zunächst sollte sich die Automatisierung immer auf die Zugriffsrechte konzentrieren, die die Benutzer zu Beginn ihrer Tätigkeit unabdingbar benötigen.

Davon getrennt sollten jene Anfragen behandelt werden, die sich auf zusätzliche Zugriffsrechte beziehen, die sie vielleicht im weiteren Verlauf benötigen könnten. Dies rationalisiert den gesamten Prozess der Anwendereinrichtung und zwar von den anzulegenden Daten bis hin zum Aufwand für die Systemarchitektur und den Umfang der anzulegenden Genehmigungsprozesse.

Die Schwächen der Automatisierung umgehen

Unternehmen arbeiten heutzutage mit einer Vielzahl von Anwendungen, die häufig auch nicht immer durch die IT direkt betreut werden, oder bei denen das Anlegen eines Nutzers bestimmten Gegebenheiten folgt. Seien es nun bestimmte Anwendungen in Fachabteilungen, bei Drittanbietern oder sogar bei Kunden oder Dienstleistern.

Automatisieren Sie in diesem Fall das Anlegen eines Benutzers dahingehend, dass der Anwendungseigentümer eine Benachrichtigung erhält, dass ein Benutzer manuell anzulegen ist. Dies gepaart mit einem bestimmten Satz von Kriterien, die für diesen Benutzer zutreffen. Dies ist für die IT-Abteilung bis zu einem gewissen Grad dann immer noch automatisiert und stellt einen Mehrwert fürs Unternehmen dar.

Alles, was im Rahmen eines automatisierten Bereitstellungs- und Verwaltungsprozess für Benutzer geschieht, sollte und muss jeder Überprüfung standhalten. Und dies funktioniert nicht ohne den menschlichen Faktor.

Wenn die IT-Abteilung einen neuen Benutzer anlegt, soll das System alle notwendigen Parteien über den Benutzernamen, die Abteilung und die Telefonnummer dieses Benutzers zu informieren. Diese Informationen sollten bei diesem Vorgehen nochmals überprüft werden, um gegebenenfalls nochmals Änderungen vornehmen zu können, bevor die betroffene Person wirklich ihre Tätigkeit aufnimmt.

Weite Teile des Einrichtungsprozesses eines neuen Benutzers lassen sich häufig automatisieren – und das ist auch völlig in Ordnung. Es ist lediglich wichtig zu verstehen, welche Bereiche sich im eigenen Unternehmen nur schwer oder nicht automatisieren lassen – und warum. Und dieses Wissen zu sammeln, ist für die IT-Abteilung auch hilfreich, wenn es um künftige Technologieentscheidungen des Unternehmens geht.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close