In den vorherigen Artikeln haben wir bereits behandelt, was IdM ist, wie Ihre Organisation herausfinden kann, ob ein solches System erforderlich ist, welche Aufgaben es löst und wie man das Budget für die Implementierung vor der Geschäftsführung rechtfertigt. Heute sprechen wir über die wichtigen Schritte, die die Organisation selbst durchlaufen muss, um den erforderlichen Reifegrad vor der Einführung des IdM-Systems zu erreichen. Schließlich hat IdM das Ziel, Prozesse zu automatisieren, und es ist unmöglich, Chaos zu automatisieren.

Bis zu dem Zeitpunkt, an dem ein Unternehmen die Größe eines Großunternehmens erreicht und eine Vielzahl unterschiedlicher Geschäftssysteme angesammelt hat, denkt es normalerweise nicht über das Zugangsmanagement nach. Daher sind die Prozesse zur Beantragung von Rechten und zur Kontrolle von Befugnissen unstrukturiert und lassen sich schlecht analysieren. Mitarbeiter stellen Anträge auf Zugang, wie es ihnen gefällt, der Genehmigungsprozess ist nicht formalisiert oder existiert manchmal einfach nicht. Es ist unmöglich, schnell herauszufinden, welche Zugriffsrechte ein Mitarbeiter hat, wer sie genehmigt hat und auf welcher Grundlage.

Da der Automatisierungsprozess des Zugriffs zwei Hauptseiten betrifft – die Beschäftigungsdaten und die Daten der Informationssysteme, mit denen eine Integration vorgenommen werden soll, lassen Sie uns die Schritte betrachten, die notwendig sind, damit die Implementierung von IdM reibungslos verläuft und keine Ablehnung verursacht:
- Analyse der Personalprozesse und Optimierung der Verwaltung der Mitarbeiterdaten in den Personalmanagementsystemen.
- Analyse der Benutzerdaten und Rechte sowie Aktualisierung der Zugriffsmanagementmethoden in den Zielsystemen, die an IdM angeschlossen werden sollen.
- Organisatorische Maßnahmen und Einbeziehung des Personals in den Vorbereitungprozess für die Implementierung von IdM.
Personal- und Beschäftigungsdaten
Die Quelle der Personaldaten in einer Organisation kann entweder eine oder mehrere sein. Zum Beispiel kann die Organisation ein weitreichendes Filialsystem haben, wobei in jeder Filiale eine eigene Personalbasis verwendet wird.
Zunächst ist es notwendig zu verstehen, welche grundlegenden Daten über Mitarbeiter im Personalverwaltungssystem gespeichert werden, welche Ereignisse erfasst werden und deren Vollständigkeit und Struktur zu bewerten.
Es kommt häufig vor, dass nicht alle personellen Ereignisse im Personalwesen erfasst werden (und noch häufiger werden sie verspätet und nicht ganz korrekt erfasst). Hier sind einige typische Beispiele:
- Urlaube, deren Kategorien und Fristen (ob reguläre oder Langzeit-) werden nicht erfasst;
- Teilzeitbeschäftigung wird nicht dokumentiert: Beispielsweise kann ein Mitarbeiter während eines längeren Elternurlaubs gleichzeitig in Teilzeit arbeiten;
- Der tatsächliche Status eines Kandidaten oder Mitarbeiters hat sich bereits geändert (Einstellung/Versetzung/Entlassung), der entsprechende Beschluss zu diesem Ereignis erfolgt jedoch verspätet;
- Ein Mitarbeiter wird durch eine Entlassung auf eine neue Position versetzt, während im Personalwesen keine Information vermerkt wird, dass dies eine technische Entlassung ist.
Ebenso sollte besonderes Augenmerk auf die Qualität der Daten gelegt werden, da Fehler und Ungenauigkeiten aus vertrauenswürdigen Quellen wie den Systemen der Personalverwaltung langfristig hohe Kosten verursachen und viele Probleme bei der Implementierung von IdM verursachen können. Zum Beispiel erfassen Mitarbeiter der Personalabteilungen häufig die Positionen von Mitarbeitern in unterschiedlichen Formaten: Groß- und Kleinbuchstaben, Abkürzungen, unterschiedliche Mengen an Leerzeichen und ähnliches. In der Folge kann die gleiche Position im Personalverwaltungssystem in den folgenden Variationen festgehalten werden:
- Senior Manager
- senior manager
- s. manager
- s. manager…
Es kommt häufig vor, dass es auch Unterschiede bei der Schreibweise von Namen gibt:
- Schmeljowa Natalja Genadjewna,
- Schmeljewa Natalja Геннадиевна…
Für eine weitere Automatisierung ist ein solches Durcheinander inakzeptabel, insbesondere wenn diese Attribute ein wesentliches Identifikationsmerkmal sind, das heißt, die Daten des Mitarbeiters und seiner Berechtigungen in den Systemen basierend auf dem Namen abgeglichen werden.

Zudem sollte man die Möglichkeit von Namensvettern und -gleichheiten im Unternehmen nicht außer Acht lassen. Wenn in der Organisation tausend Mitarbeiter tätig sind, mag es nicht viele solcher Übereinstimmungen geben; bei fünfzigtausend könnte dies jedoch ein kritisches Hindernis für die korrekte Funktion von IdM-Systemen darstellen.
Zusammenfassend lässt sich sagen: Das Eingabeformat für Daten in die Personalakte der Organisation sollte standardisiert sein. Die Eingabeparameter für Namen, Positionen und Abteilungen müssen klar definiert sein. Optimal ist es, wenn der Personalmitarbeiter die Daten nicht manuell eingibt, sondern diese aus einem zuvor angelegten Verzeichnis der Abteilungs- und Positionsstruktur über die Funktion „select“ in der Personalakte auswählt.
Um weitere Fehler bei der Synchronisierung zu vermeiden und manuelle Korrekturen von Abweichungen in Berichten zu umgehen, ist die Einführung einer ID als bevorzugte Identifizierungsmethode für Mitarbeiter die beste Lösung. für jeden Mitarbeiter der Organisation. Eine solche Kennung wird jedem neuen Mitarbeiter zugewiesen und erscheint sowohl im Personalbereich als auch in den Informationssystemen der Organisation als obligatorisches Attribut des Kontos. Es spielt keine Rolle, ob sie aus Zahlen oder Buchstaben besteht — wichtig ist, dass sie für jeden Mitarbeiter einzigartig ist (zum Beispiel verwenden viele die Mitarbeiter-ID). Die Einführung dieses Attributs wird die Verknüpfung von Mitarbeiterdaten im Personalstamm mit seinen Konten und Berechtigungen in den Informationssystemen erheblich erleichtern.
Somit müssen alle Schritte und Mechanismen der Personalverwaltung analysiert und geordnet werden. Es ist gut möglich, dass einige Prozesse geändert oder überarbeitet werden müssen. Dies ist eine mühsame und präzise Arbeit, aber sie ist notwendig, denn andernfalls führt das Fehlen klarer und strukturierter Daten zu Personalereignissen zu Fehlern bei deren automatischer Verarbeitung. Im schlimmsten Fall lassen sich unstrukturierte Prozesse überhaupt nicht automatisieren.
Zielsystme
Im nächsten Schritt müssen wir klären, wie viele Informationssysteme wir in die IdM-Struktur integrieren wollen, welche Daten über die Benutzer und deren Rechte in diesen Systemen gespeichert sind und wie wir diese verwalten.
In vielen Organisationen herrscht die Auffassung, dass wir IdM installieren, die Connectoren zu den Zielsystemen konfigurieren und mit einem Zauberstab alles funktioniert, ohne dass wir zusätzliche Anstrengungen unternehmen müssen. So einfach ist es jedoch nicht. In Unternehmen entwickelt sich die Landschaft der Informationssysteme allmählich und wächst. In jedem System kann verschiedene Ansätze zur Bereitstellung von Zugriffsrechten geben, das heißt, es sind unterschiedliche Schnittstellen für die Zugriffsverwaltung konfiguriert. Manchmal geschieht die Verwaltung über APIs (Application Programming Interfaces), manchmal über Datenbanken mithilfe von gespeicherten Prozeduren, und in einigen Fällen können Schnittstellen für die Interaktion sogar vollständig fehlen. Man sollte darauf vorbereitet sein, dass viele bestehende Prozesse zur Verwaltung von Konten und Rechten in den Organisationen überdacht werden müssen: die Datenformate ändern, die Schnittstellen für die Interaktion im Voraus anpassen und Ressourcen für diese Arbeiten bereitstellen.
Rollenmodell
Mit dem Konzept des Rollenmodells werden Sie wahrscheinlich bereits in der Phase der Auswahl eines IdM-Lösungsanbieters konfrontiert, da es eines der Schlüsselkonzepte im Bereich des Zugriffsmanagements ist. In diesem Modell erfolgt der Datenzugriff über Rollen. Eine Rolle ist eine Sammlung von Zugriffsrechten, die mindestens erforderlich sind, damit ein Mitarbeiter in einer bestimmten Position seine funktionalen Aufgaben erfüllen kann.
Das rollenbasierte Zugriffsmanagement bietet eine Reihe von unbestreitbaren Vorteilen:
- Einfachheit und Effizienz bei der Zuweisung von identischen Rechten an eine große Anzahl von Mitarbeitern;
- Schnelle Anpassung der Zugriffsrechte von Mitarbeitern mit identischem Rechtssatz;
- Ausschluss von überflüssigen Rechten und Trennung inkompatibler Befugnisse für Benutzer.
Die Rollenmatrix wird zunächst separat in jedem der Systeme der Organisation erstellt und dann auf die gesamte IT-Landschaft skaliert, wobei aus den Rollen jedes Systems globale Geschäftsrollen gebildet werden. Zum Beispiel umfasst die Geschäftsrolle „Buchhalter“ mehrere separate Rollen aus jedem der Informationssysteme, die in der Buchhaltung des Unternehmens genutzt werden.
In letzter Zeit gilt es als "Best Practice", bereits in der Entwicklungsphase von Anwendungen, Datenbanken und Betriebssystemen ein Rollenkonzept zu erstellen. Gleichzeitig kommt es jedoch häufig vor, dass in Systemen Rollen entweder nicht eingerichtet sind oder ganz fehlen. In einem solchen Fall muss der Administrator dieser Systeme die Kontodaten in mehrere verschiedene Dateien, Bibliotheken und Verzeichnisse eintragen, die die erforderlichen Berechtigungen bereitstellen. Die Verwendung vordefinierter Rollen ermöglicht es jedoch, Privilegien für die Durchführung eines gesamten Komplexes von Operationen im System mit komplexen zusammengesetzten Daten zu vergeben.
In Informationssystemen werden Rollen normalerweise entsprechend der Positions- und Abteilungsstruktur verteilt, können jedoch auch für spezifische Geschäftsprozesse geschaffen werden. Zum Beispiel hat in einer Finanzorganisation mehrere Mitarbeiter in der Abteilung für Zahlungsabwicklung die gleiche Position – Operator. Innerhalb der Abteilung existiert jedoch auch eine Verteilung auf verschiedene Prozesse, je nach Art der Transaktionen (extern oder intern, in unterschiedlichen Währungen und mit verschiedenen Organisationseinheiten). Um jedem Geschäftsbereich einer Abteilung den Zugang zu dem Informationssystem entsprechend seiner speziellen Anforderungen zu ermöglichen, ist es notwendig, die Berechtigungen in separate funktionale Rollen einzubeziehen. Dies ermöglicht eine minimale, aber ausreichende Berechtigungsvergabe, die keine überflüssigen Rechte für jeden Bereich der Aktivitäten einschließt.
Darüber hinaus ist es für große Systeme mit Hunderten von Rollen, Tausenden von Benutzern und Millionen von Berechtigungen eine bewährte Praxis, eine Hierarchie von Rollen und Erbrechungen von Privilegien zu verwenden. Zum Beispiel wird die übergeordnete Rolle Administrator die Berechtigungen der untergeordneten Rollen Benutzer und Leser erben, da der Administrator alles tun kann, was die Rollen Benutzer und Leser tun können, und zusätzlich über erweiterte Administratorrechte verfügt. Durch die Verwendung einer Hierarchie ist es nicht erforderlich, die gleichen Berechtigungen in mehreren Rollen eines Moduls oder Systems erneut anzugeben.
In der ersten Phase können Rollen in jenen Systemen erstellt werden, in denen die mögliche Anzahl von Berechtigungskombinationen nicht sehr groß ist und es daher einfach ist, eine kleine Anzahl von Rollen zu verwalten. Dies könnten Standardberechtigungen sein, die allen Mitarbeitern des Unternehmens in öffentlich zugänglichen Systemen wie dem Active Directory (AD), E-Mail-Systemen, Service Manager und ähnlichen zugeteilt werden. Anschließend können die erstellten Rollenmatrizen für Informationssysteme in das Gesamte Rollenmodell integriert werden, indem sie in Geschäftsrollen zusammengefasst werden.
Mit diesem Ansatz wird es in Zukunft nicht schwer sein, den gesamten Prozess der Zugriffsrechtevergabe auf Basis der im ersten Schritt erstellten Rollen bei der Implementierung des IdM-Systems zu automatisieren.
N.B. Es ist nicht ratsam, zu Beginn so viele Systeme wie möglich in die Integration einzubeziehen. Systeme mit komplexerer Architektur und Struktur der Zugriffsrechte sollten im ersten Schritt besser im halbautomatischen Modus an IdM angeschlossen werden. Das bedeutet, dass basierend auf Personalereignissen lediglich die automatische Erstellung eines Zugriffsantrags realisiert wird, der zur Bearbeitung an den Administrator weitergeleitet wird, der die Rechte manuell einstellen kann.
Nach dem erfolgreichen Abschluss des ersten Schrittes kann die Funktionalität des Systems auf neue erweiterte Geschäftsprozesse ausgedehnt werden. Zudem ist eine vollständige Automatisierung und Skalierung mit der Anbindung zusätzlicher Informationssysteme möglich.

Mit anderen Worten, um die Implementierung von IdM vorzubereiten, ist es notwendig, die Bereitschaft der Informationssysteme für den neuen Prozess zu bewerten und gegebenenfalls die externen Schnittstellen zur Verwaltung von Benutzerkonten und Rechten anzupassen, falls solche in dem System fehlen. Zudem sollte die schrittweise Erstellung von Rollen in den Informationssystemen für ein umfassendes Zugangsmanagement durchdacht werden.
Organisatorische Maßnahmen
Man sollte auch die organisatorischen Aspekte nicht außer Acht lassen. In einigen Fällen kann dies eine entscheidende Rolle spielen, da das effektive Zusammenspiel zwischen den Abteilungen oft den Erfolg eines gesamten Projekts bestimmt. Daher empfehlen wir in der Regel, ein Team aus Prozessbeteiligten zu bilden, in das alle beteiligten Abteilungen aufgenommen werden. Da dies für die Mitarbeiter eine zusätzliche Belastung darstellt, sollten Sie bereits im Vorfeld allen Beteiligten ihre Rolle und Bedeutung im Rahmen der Zusammenarbeit erläutern. Wenn es gelingt, den Kollegen die Idee des IdM in dieser Phase zu vermitteln, lassen sich viele Schwierigkeiten in der Zukunft vermeiden.

Häufig übernehmen die Abteilungen für Informationssicherheit oder IT die Rolle der "Projektverantwortlichen" für die Implementierung von IdM im Unternehmen, während die Meinungen der Fachabteilungen nicht berücksichtigt werden. Das ist ein großer Fehler, denn nur diese Abteilungen wissen, wie und in welchen Geschäftsprozessen jede Ressource genutzt wird, wem Zugang gewährt werden sollte und wem nicht. Deshalb ist es in der Vorbereitungsphase wichtig zu klären, dass der Geschäftseigentümer für das funktionale Modell verantwortlich ist, auf dessen Grundlage die Benutzerrechte (Rollen) in der Informationssystem entwickelt werden, sowie dafür, dass diese Rollen auf dem neuesten Stand gehalten werden. Das Rollenmodell ist keine statische Matrix, die einmal erstellt wird und auf der man sich ausruhen kann. Es ist ein "lebendiger Organismus", der sich ständig ändern, aktualisieren und weiterentwickeln muss, um den Veränderungen in der Organisationsstruktur und den Funktionen der Mitarbeiter zu folgen. Andernfalls können entweder Probleme mit Verzögerungen beim Zugriff auftreten oder es entstehen Sicherheitsrisiken aufgrund übermäßiger Zugriffsrechte, was noch schlimmer ist.
Wie bekannt ist, „ein Kind hat kein Auge bei sieben Nannys“, daher sollte im Unternehmen eine Methodik entwickelt werden, die die Architektur des Rollenmodells, die Interaktion und die Verantwortung der einzelnen Beteiligten am Prozess zur Aktualisierung beschreibt. Wenn das Unternehmen viele Geschäftsbereiche und somit zahlreiche Abteilungen hat, müssen für jedes Tätigkeitsfeld (z. B. Kreditvergabe, operationale Tätigkeiten, Fernservices, Compliance und andere) im Rahmen des Zugriffsrollenmanagements jeweils eigene Betreuer benannt werden. Über diese kann schnell Informationen über Änderungen in der Abteilungsstruktur und den erforderlichen Zugriffsrechten für jede Rolle eingeholt werden.
Es ist unerlässlich, die Unterstützung der Unternehmensführung für die Lösung von Konfliktsituationen zwischen den beteiligten Abteilungen zu sichern. Konflikte bei der Einführung neuer Prozesse sind unvermeidlich, das bezeugt unsere Erfahrung. Daher ist ein Schiedsrichter erforderlich, der mögliche Interessenkonflikte löst, um Zeitverlust durch Missverständnisse und Sabotage zu vermeiden.

N.B. Eine gute Maßnahme zur Sensibilisierung ist die Schulung des Personals. Eine eingehende Betrachtung der Funktionsweise des zukünftigen Prozesses und der Rolle jedes Teilnehmers wird dazu beitragen, Schwierigkeiten beim Übergang zu einer neuen Lösung zu minimieren.
Checkliste
Zusammenfassend lässt sich sagen, dass die wichtigsten Schritte, die eine Organisation bei der Implementierung von IdM durchführen sollte, folgende sind:
- die Personaldaten ordnen;
- eine einzigartige Identifikationsnummer für jeden Mitarbeiter einführen;
- die Bereitschaft der Informationssysteme zur Implementierung von IdM bewerten;
- die Schnittstellen für den Zugriff auf die Informationssysteme entwickeln, falls diese nicht vorhanden sind, und Ressourcen für diese Arbeiten bereitstellen;
- ein Rollenmodell entwickeln und aufbauen;
- den Prozess zur Verwaltung des Rollenmodells etablieren und Kuratoren aus jedem Geschäftsbereich einbeziehen;
- einige Systeme für die initiale Anbindung an IdM auswählen;
- ein effektives Projektteam bilden;
- die Unterstützung der Unternehmensführung sicherstellen;
- das Personal schulen.
Der Vorbereitungsvorgang kann herausfordernd sein. Daher sollten Sie, wenn möglich, Consultant hinzuziehen.
Die Implementierung einer IdM-Lösung ist ein komplexer und verantwortungsvoller Schritt. Für eine erfolgreiche Umsetzung sind sowohl die Anstrengungen jeder einzelnen Partei – der Mitarbeiter der Fachabteilungen, der IT- und Sicherheitsdienste – als auch die Zusammenarbeit des gesamten Teams entscheidend. Der Aufwand lohnt sich: Nach der Implementierung von IdM in einem Unternehmen sinkt die Anzahl der Vorfälle, die mit übermäßigen Berechtigungen und unbefugten Zugriffsrechten in Informationssystemen verbunden sind; Ausfallzeiten der Mitarbeiter aufgrund fehlender oder langwieriger Berechtigungen entfallen; durch Automatisierung werden der Arbeitsaufwand verringert und die Produktivität der IT- und Sicherheitsdienste gesteigert.
Quelle: habr.com
