Die Einführung einer IAM-Lösung in einem Unternehmen zieht natürlich Änderungen und Neuerungen in so manchen Arbeitsabläufen nach sich. Die Erhebung und die Modellierung der IAM-Prozesse sind daher essenzielle Schritte zum Verständnis und der Akzeptanz der Lösung in der Organisation.
Datum
12.12.2022
Dieser Beitrag wurde verfasst von:
IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen
IAM-Prozesse – Schnelle technische Umsetzung und ihre Folgen
Ein starker Motivationstreiber für den Einsatz eines IAM-Systems ist die Automatisierung der Benutzer-Provisionierung. Diese entlastet die IT-Systemadministratoren, die einen hohen Aufwand betreiben müssen, um das Know-how über die Systemberechtigungen aufzubauen – eine Voraussetzung, um diese auf Anfrage der Fachabteilungen manuell vergeben zu können.Gestartet wird ein IAM-Projekt mit der Definition der User-Life-Cycle (ULC) verschiedener Benutzertypen und der Zusammenstellung der Systemrechte, die automatisiert vergeben werden sollen (Birth-Rights), sowie der Implementierung der Provisionierung. Ein ULC wird zwar von einem Personalverwaltungssystem (HR) angesteuert, die Betrachtung im Projekt geht jedoch meist nicht über die Analyse der Personenstammdaten und deren Interpretationen an der technischen Schnittstelle hinaus. Die griffigen Joiner/Mover/Leaver-Prozesse werden auf der technischen Ebene mit dem Fokus auf die Vorgänge im IAM-System und in den Zielsystemen beschrieben.
In der Praxis stellt sich dies so dar: Der erste Release des IAM-Systems wird produktiv gesetzt. Alles scheint gut zu laufen, bis sich Spezifika und Ausnahmen in der Stammdatenverwaltung der HR automatisch auf die Berechtigungszuweisungen in den Zielsystemen negativ auswirken. Massendeprovisionierungen durch Organisationsumbenennungen und -verschiebungen, Namenskorrekturen, temporäre Personenanlagen mit unvollständigen Daten und ungültigem Status durch zweckentfremdete Verwendung auf Grund von Systemeinschränkungen sind nur einige Probleme, die dabei auftreten können.
IAM-Prozesse – Wo sie tatsächlich beginnen: der Betrachtungswinkel
Das Problem im oben genannten Beispiel ist die Vernachlässigung der vorangehenden Aktivitäten der HR-Abteilung bei der Definition der Joiner/Mover/Leaver-Prozesse. Es müssen also auch jene HR-Aktivitäten identifiziert werden, die einen Einfluss auf ULCs haben. Daher ist es sinnvoll, HR-Mitarbeitende in das IAM-Projekt zu involvieren und etwaige Anpassungen an ihrer Arbeitsweise vorzunehmen.
Die Erweiterung des Betrachtungswinkels der IAM-Prozesse über das gesamte IAM-System und die Zielsysteme ist für fast alle IAM-Prozesse zu empfehlen:
- Der Prozess der Rollendefinition beginnt lange vor der tatsächlichen Anlage und Aktivierung einer Rolle im IAM-System. Das sind zum Beispiel die Ist-Analysen, die Abstimmungen mit Fachabteilungen, die Prüfung der Funktionstrennung und die Wahl des Rollenverantwortlichen, um nur einige Aktivitäten zu nennen.
- Der Prozess zum Rücksetzen des eigenen Passwortes beginnt mit der Beschreibung der „Vorgeschichte", wie es dazu kommt: der/die Mitarbeitende kehrt aus der Karenz oder dem Urlaub zurück, ist im Ausland und hat keinen Zugang auf die Infrastruktur usw.
Ein breiterer Betrachtungswinkel eines Prozesses ist also für das Design einer IAM-Lösung essenziell. Er hilft, die IAM-Prozesse im IAM-System korrekt und fehlertolerant zu entwerfen, und nebenbei die Frage nach dem Grund einer Anforderung zu beantworten.
IAM-Prozesse – Gemeinsame Grundlage für Technik und Fachbereiche mit unterschiedlichen Prozesssichtweisen
Die in unserem Beispiel erhobenen ULC-Prozesse (Joiner/Mover/Leaver), die nur das IAM-System und die Zielsysteme umfassen, werden vom IAM-Umsetzungsteam und den IT-Administratoren definiert. Der Schwerpunkt liegt auf der Umsetzung. Dementsprechend werden technische Aspekte aus der Sicht des Systems, der Betriebsmitarbeitenden und der IT-Administratoren in IAM-Sprache beschrieben: Es wird von Identitäten, Accounts, Entitlements, System- und Geschäftsrollen gesprochen. So sehr diese zentralen IAM-Konstrukte für die Umsetzung wichtig sind, so schwer sind sie für die Endbenutzer (Mitarbeitende, Führungskräfte und HR-Mitarbeitende, Genehmiger) greifbar.
Die Lösung liegt in der Trennung des Designs und der Benutzersichtweise in der Prozessbeschreibung. Die Benutzersichtweise wird, in der für die Mitarbeitenden geläufigen Unternehmenssprache verfasst, und beschreibt nur Aktivitäten, die für den Benutzer tatsächlich „sichtbar“ sind und ihn betreffen. Die für die Umsetzung der Prozesse notwendige, prozessuale Beschreibung der Identitäts- und Berechtigungsverwaltung ist davon klar getrennt und im Detail IAM-Produkt abhängig.
Abbildung 1: Veranschaulichung der Trennung zwischen technischer und Benutzersichtweise. Technische Prozesse wurden grün hinterlegt.
Fazit
IAM-Prozesse bilden das fachliche Grundgerüst der Funktionsweise einer IAM-Lösung und der IAM-Governance. Daher ist es wichtig, sie schon zu Beginn einer IAM-Initiative aus dem richtigen Blickwinkel zu betrachten, und den Stakeholdern die passenden Sichtweisen bereitzustellen.
Eine elegante, graphische Beschreibung der IAM-Prozesse, die bei richtiger Anwendung beide Sichtweisen berücksichtigt und auch trennt, bietet die standardisierte BPM-Notation.
Sprechen Sie uns an!
Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.