Was ist Identity Management?

Wem nutzt ein Identity Management?

Mit­ar­bei­ter und Orga­ni­sa­ti­ons­da­ten sind der Dreh- und Angel­punkt, wenn es um Pro­zes­se, Regel­wer­ke, Steue­rung oder ganz all­ge­mein Gover­nan­ce inner­halb eines Unter­neh­men geht. Den Ursprung haben die meis­ten die­ser Daten in Per­so­nal- (HCM/HR) oder kauf­män­ni­schen Sys­te­men (ERP), die klas­si­scher Wei­se die ver­trag­li­chen Sich­ten aus Unter­neh­mens­per­spek­ti­ve abbilden.

Für die IT spie­len Daten rund um den Mit­ar­bei­ter eine immer zen­tra­le­re Rol­le, sei es, um per­so­na­li­sier­te Ser­vices bereit­zu­stel­len, Pro­zes­se rund um die Anfor­de­rung, Leis­tungs­er­brin­gung und Stö­rungs­be­ar­bei­tung effi­zi­ent und per­so­na­li­siert abzu­bil­den, über Zuord­nun­gen in die Orga­ni­sa­ti­on eine inter­ne Leis­tungs­ver­rech­nung von IT Ser­vices auf­zu­set­zen oder Berech­ti­gun­gen zu ertei­len und beim Ver­las­sen des Unter­neh­mens wie­der zu entziehen.

Den Mit­ar­bei­ter in der IT bekannt machen, sei­nen „Lifecy­cle“ für die IT abzu­bil­den und aus den Ver­än­de­run­gen am Mit­ar­bei­ter die rich­ti­gen Schlüs­se für die IT zu zie­hen, ist daher die zen­tra­le Auf­ga­be eines Iden­ti­ty Manage­ment Systems.

Use­ca­se: Onboar­ding eines Mitarbeiters

Die Identitäten im Unternehmen

Inter­ne Mitarbeiter

Der inter­ne Mit­ar­bei­ter, sei es ein Azu­bi, eine Teil­zeit­kraft, die neue Geschäfts­füh­re­rin oder der Vater in Eltern­zeit. Jeder die­ser Mit­ar­bei­ter nimmt eine Auf­ga­be war, ver­än­dert sich über die Dau­er sei­ner Unter­neh­mens­zu­ge­hö­rig­keit und ent­wi­ckelt sich. Neben dem Mit­ar­bei­ter selbst durch­läuft auch das Unter­neh­men orga­ni­sa­to­ri­sche Ver­än­de­rung. Es wächst, schrumpft, legt Berei­che zusam­men oder glie­dert die­se aus. All das hat einen Ein­fluss auf die IT des Unternehmens.

  • Inter­ne Mit­ar­bei­ter ent­ste­hen nicht in der IT, sie kom­men aus HCM/HR Sys­te­me, die dann auch für die meis­ten Eigen­schaf­ten eines inter­nen Mit­ar­bei­ters füh­rend sind.
  • Es wird jedoch nicht alles, dass für einen inter­nen Mit­ar­bei­ter aus Sicht der IT oder der Leis­tungs­ver­rech­nung rele­vant ist auch in den HCM/HR Sys­te­men abgebildet.
  • Die IT denkt in Pro­zes­sen, die HCR/HR Welt manch­mal auch, aber oft­mals anders. Wich­tig ist es die HR/HCM Pro­zes­se auf die IT zu map­pen. Nicht nur Infor­ma­tio­nen, son­dern auch Prozesse.
  • Es gilt abzu­lei­ten, wel­che Ände­run­gen in HCM/HR Sich­ten eines inter­nen Mit­ar­bei­ters für die IT und die Ser­vices die er nutzt rele­vant sind.
  • Aus den Ände­run­gen am Mit­ar­bei­ter müs­sen die rich­ti­gen Schlüs­se für die IT Ser­vices, die er nutzt, gezo­gen werden.
  • Man­che Daten eines inter­nen Mit­ar­bei­ters ändern sich nur in der IT-Sicht und müs­sen dort ver­wal­tet und inner­halb der IT Land­schaft zen­tral bereit­ge­stellt und koor­di­niert werden.

Exter­ne Mitarbeiter

Der exter­ne Mit­ar­bei­ter, sei es von einem Dienst­leis­ter, Kun­den oder einem exter­nen Lie­fe­ran­ten arbei­tet im Unter­neh­men mit, nutzt Res­sour­cen, nimmt Auf­ga­ben war und ist oft­mals nur unzu­rei­chend inner­halb der IT Pro­zes­se abge­bil­det. Gera­de exter­ne Mit­ar­bei­ter stel­len unter den Aspek­ten Gover­nan­ce und Sicher­heit beson­de­re Her­aus­for­de­run­gen dar, da die Beschäf­ti­gungs­zeit­räu­me und Fluk­tua­tio­nen häu­fig grö­ßer sind, die­se Ände­run­gen die IT aber sel­te­ner mitbekommt.

  • Wo exter­ne Mit­ar­bei­ter erst­mals im Unter­neh­men auf­tau­chen, ist oft­mals unklar. In der Regel wer­den sie nicht in HR Sys­te­men ver­wal­tet. Teil­wei­se sind sie im Ver­trags­ma­nage­ment vor­han­den, meist aber nur abstrakt.
  • Die IT muss exter­ne Mit­ar­bei­ter trotz­dem ken­nen, da sie für die­se auch Pro­zes­se zur Nut­zung von inter­nen IT Ser­vices abbil­den muss.
  • Aus Sicht eines Lizenz­ma­na­gers oder der Secu­ri­ty gibt es oft­mals mehr Mit­ar­bei­ter, als tat­säch­lich für das Unter­neh­men arbeiten
  • Exter­ne Mit­ar­bei­ter haben heu­te oft­mals noch einen AD Account um die Ser­vices im Unter­neh­men zu nut­zen und bekom­men manch­mal eine exter­ne Email­adres­se. Auch dies gilt es zu verwalten.
  • In man­chen Umge­bun­gen gibt es einen Teil der exter­nen Mit­ar­bei­ter nur noch als Gast Account. Exter­ne Mit­ar­bei­ter arbei­tet in der Unter­neh­mensum­ge­bung mit dem Account ihrer Fir­ma, sind aber als Gast berech­tigt. (O365 Guest Account Manage­ment mit SavvySuite).
  • Exter­ne Mit­ar­bei­ter müs­sen von inter­nen Mit­ar­bei­tern oft­mals klar abge­grenzt wer­den, The­men die den Ein­druck einer Arbeit­neh­mer­über­las­sung ver­mit­teln, gilt es aktiv zu vermeiden.

Her­aus­for­de­run­gen

Häu­fig ist es für die IT im Unter­neh­men schwie­rig hin­sicht­lich Qua­li­tät und Quan­ti­tät der Iden­ti­tä­ten wirk­lich auf dem aktu­el­len Stand zu sein. Die Situa­ti­on, mehr Iden­ti­tä­ten mit Zugriff auf Ser­vices im Unter­neh­men zu haben als tat­säch­lich noch für ein Unter­neh­men tätig sind, ist ein mehr als ein ernst­haf­tes Pro­blem, nicht nur aus Sicht der Security.

Iden­ti­tä­ten und ihre Accounts

Die Sicht der IT auf einen Mit­ar­bei­ter ist tra­di­tio­nell meist auf des­sen Account aus­ge­rich­tet. Ver­zeich­nis­diens­te wie ein Acti­ve Direc­to­ry bil­den die technisch/organisatorische Sicht des Unter­neh­mens in einem Netz­werk mit Anmel­dun­gen und Mit­glied­schaf­ten in Struk­tu­ren und Grup­pen ab. Anwen­dun­gen im Unter­neh­men nut­zen die­se Objek­te, um Mit­ar­bei­ter und ande­re Ser­vices zu iden­ti­fi­zie­ren und auf eine Men­ge an Aktio­nen inner­halb der Anwen­dun­gen zu berech­ti­gen. Der Account kann jedoch nie­mals die ein­zi­ge Ent­spre­chung des Mit­ar­bei­ters im

Unter­neh­men sein, da ein rei­ner Ver­zeich­nis­dienst nie die kom­ple­xe Nut­zung an Ser­vices sowie die Zuge­hö­rig­keit des Mit­ar­bei­ters zum Unter­neh­men aus­drü­cken kann.

  • Mit­ar­bei­ter haben einen Account, im Ide­al­fall nur einen, in der Rea­li­tät oft­mals vie­le ver­schie­de­ne. Die Accounts müs­sen ver­wal­tet wer­den, sie unter­lie­gen wie alle IT Ser­vices einem Lifecycle.
  • Der Lifecy­cle des Accounts ist eng mit der Unter­neh­mens­zu­ge­hö­rig­keit und Ände­run­gen amdes Mit­ar­bei­ters ver­bun­den. Ange­fan­gen bei Account­na­men, der sich über ange­sto­ßen durch HR ändern kann.
  • Das The­ma Accounts fin­den nicht mehr nur lokal statt, son­dern auch in der Cloud. Ins­be­son­de­re die Tei­le in der Cloud sind rele­vant und müs­sen mit ver­wal­tet werden.
  • Nicht nur die Accounts, auch Mail­bo­xen inter­agie­ren mit den HCM/HR Pro­zes­sen. Es wer­den Alia­se vergeben.

Her­aus­for­de­run­gen

Eigen­schaf­ten und Objek­te wie zum Bei­spiel Accounts auf Per­so­nen zu map­pen ist drin­gend erfor­der­lich. Jeder Account muss jeman­dem zuge­ord­net sein, der für die­sen ver­ant­wort­lich ist und der einem Lifecy­cle unter­liegt, dem der Account folgt.

Governance für Services und Berechtigungen

Sicher, automatisiert, zuverlässig

Wer darf eigent­lich ein iPho­ne bestel­len und gibt es dann auch Geneh­mi­gun­gen. Nicht immer geht es in einem Ser­vice­ka­ta­log nur um Sta­tus­sym­bo­le, tech­nisch Abhän­gig­kei­ten oder orga­ni­sa­to­ri­sche Gege­ben­hei­ten im Unter­neh­men. Oft­mals spie­len auch Aspek­te wie Daten­si­cher­heit und Kos­ten eine zen­tra­le Rol­le. Und nicht nur der Ser­vice­ka­ta­log als zen­tra­ler Ein­stiegs­punkt ist rele­vant, auch Ver­än­de­run­gen am Mit­ar­bei­ter oder zeit­lich Vor­ga­ben kön­nen dazu füh­ren, dass die wei­te­re Nut­zung eines Ser­vices durch einen Mit­ar­bei­ter Regeln und zum Bei­spiel wer­den wei­te­ren Frei­ga­be bedarf.

  • Nicht jeder Mit­ar­bei­ter darf jeden Ser­vice oder jede Berech­ti­gung bestellen
  • Ser­vice­pro­zes­se hän­gen von der Orga­ni­sa­ti­on ab, in der sie im Unter­neh­men stattfinden
  • Zum Kon­text eines Mit­ar­bei­ters gehört nicht nur wer er ist, wel­che Posi­tio­nen er im Unter­neh­men besetzt, son­dern auch wel­che Ser­vice er schon nutzt oder auch schon bestellt hat. Dies bestimmt, was er im Kata­log sieht
  • Auch wenn ein Mit­ar­bei­ter einen Ser­vice nicht bestel­len kann, muss er ver­ste­hen kön­nen war­um das nicht geht. Ein intel­li­gen­ter Kata­log hilft ihm nur, wenn ihm erklärt wird war­um etwas zum Bei­spiel auch nicht für ihn bestell­bar ist.
  • Gover­nan­ce fin­det nicht nur im Kata­log statt, son­dern auch in den Pro­zes­sen. Was bedingt etwas ande­res, was muss gege­ben­falls auch gekün­digt wer­den oder wer gibt es frei.
  • Nicht alle Ser­vices und Berech­ti­gun­gen dür­fen auf unbe­stimm­te Zeit genutzt wer­den, vie­les muss nach einer gewis­sen Nut­zungs­zeit aktiv ver­län­gert wer­den. Nicht umsonst gibt es den Aus­druck Use-IT-or-loo­se-it. Neben Kos­ten spielt auch die Sicher­heit eine ent­schei­den­de Rol­le, wenn Account oder Berech­ti­gun­gen auch mal aktiv ver­län­gert wer­den müs­sen. (sie­he Sav­vy­Sui­te Rezertifizierung)

Berech­ti­gun­gen der Mit­ar­bei­ter verwalten

Wer hat wel­che Berech­ti­gung, seit wann und war­um? Wer kann die­se Fra­ge beant­wor­ten und wen inter­es­siert es über­haupt, so lan­ge nichts passiert?

  • Nie­mand will sich dar­um küm­mern, dass er Pas­sier­schein A38 braucht. In der moder­nen IT Welt, müss­te man zusätz­lich ver­mut­lich noch ange­ben, Pas­sier­schein A38 für Account B65.C.
  • Das ver­steht kein Mit­ar­bei­ter der eine Auf­ga­be erle­di­gen soll, son­dern nur die IT.
  • Es müs­sen Lösung geschaf­fen wer­den, die ent­we­der den Zugang, das Recht oder den Ser­vice auto­ma­tisch ver­ge­ben oder der Mit­ar­bei­ter muss in die Lage ver­setzt wer­den, selbst die pas­sen­den Berech­ti­gun­gen zu fin­den und zu bestellen.

Recon­ci­lia­ti­on – Der Soll-Ist Abgleich und die rich­ti­ge Ent­schei­dung treffen.

Wenn es um Berech­ti­gun­gen, Ver­zeich­nis­diens­te oder sons­ti­ge Ser­vices geht, stellt sich oft die Fra­ge was ist denn tat­säch­lich vor­han­den und stimmt das über­haupt. Die klas­si­sche Inven­tur. In jedem Waren­wirt­schafts­sys­tem gibt es einen Soll Zustand, was auf Lager oder im Ein­satz sein soll und einen Ist Zustand, was sich tat­säch­lich noch im Lager befin­det. Das glei­che oft­mals auch für die IT. Was sein soll, bestimmt das Iden­ti­ty Manage­ment Sys­tem. Denn nur hier sind die Regel­wer­ke und Auto­ma­tis­men abge­bil­det und die Frei­ga­ben erfolgt. Wenn der Ist Zustand in einem Ziel­sys­tem, wie einem Ver­zeich­nis­dienst von dem Soll Zustand abweicht, liegt ein Pro­blem vor.

  • Es gibt Accounts, die es eigent­lich nicht geben dürf­te. Sie sind kei­nem Mit­ar­bei­ter zuge­ord­net und im IDM Sys­tem nicht bekannt. Über einen Soll-Ist Abgleich gilt es die­se zu erkennen.
  • Wenn eine Abwei­chung vom Soll Zustand fest­ge­stellt wird, kann es unter­schied­lichs­te Maß­nah­men geben
  • Eine Abwei­chung kann nach­träg­lich geneh­migt wer­den, dadurch wird der Ist Zustand in den Soll Zustand über­führt. Ab die­sem Zeit­punkt kann die Nut­zung des Ser­vices regu­lär ver­wal­tet werden
  • Eine Abwei­chung kann gemel­det wer­den, ver­mut­lich wur­de hier gegen einen defi­nier­ten Pro­zess ver­sto­ßen. Gege­be­nen­falls kann dafür gesorgt wer­den, dass ein sol­cher Ver­stoß künf­tig nicht mehr mög­lich ist.
  • Der Soll Zustand kann her­ge­stellt wer­den, indem der Soll­zu­stand über regu­lä­re Pro­zes­se kor­ri­giert wird. Zum Bei­spiel wird eine Mit­glied­schaft eines Accounts in einer Grup­pe auto­ma­tisch ent­fernt. Natür­lich sind auch Kom­bi­na­tio­nen der Sze­na­ri­en denkbar.

Rezer­ti­fi­zie­rung – Stimmt das noch

Der Aus­zu­bil­den­de durch­läuft ver­schie­de­ne Abtei­lun­gen im Unter­neh­men und sam­melt flei­ßig in jeder Abtei­lung Berech­ti­gun­gen und Ser­vices ein. Wer hat noch nie von die­sem Bei­spiel gehört. In der Rea­li­tät ist es häu­fig nicht ganz so schlimm, aller­dings ist eine Jäger- und Samm­ler Men­ta­li­tät, ger­ne auch unter dem Begriff „viel hilft viel“ tat­säch­lich recht aus­ge­prägt. Doch nie­mand kün­digt ger­ne etwas von sich aus und nicht alles lässt sich sinn­voll auto­ma­tisch weg­neh­men. Daher ist es wich­tig, den Bedarf einer Berech­ti­gung oder der Nut­zung einer teu­ren Soft­ware von Zeit zu Zeit zu hin­ter­fra­gen und davon aus­ge­hend auch auto­ma­tisch zu kün­di­gen. Dies kann ent­we­der beim Anwen­der erfol­gen, oder durch jeman­den, der für einen Ser­vice oder Bereich zustän­dig ist.

  • Rezer­tif­zie­run­gen bestä­ti­gen, dass ein Anwen­der einen Ser­vice wei­ter nut­zen kann oder darf
  • Eine Rezer­ti­fi­zie­rung der Ser­vice­nut­zung kann nach Zeit erfol­gen. Häu­fig wer­den exter­ne Mit­ar­bei­ter immer nur befris­tet ein­ge­tra­gen, was ein klas­si­scher Fall im Iden­ti­ty Manage­ment ist. Auch Berech­ti­gun­gen oder IT Ser­vices wie zum Bei­spiel eine teu­re Soft­ware, wer­den ger­ne nach Zeit­in­ter­val­len rezertifiziert.
  • Eine Rezer­ti­fi­zie­rung kann zum Bei­spiel durch den Ver­ant­wort­li­chen eines Ser­vices ange­sto­ßen wer­den um zu prü­fen, wer sei­nen Ser­vice tat­säch­lich noch benötigt.
  • Eine Rezer­ti­fi­zie­rung kann im Fall des Wech­sels eines Mit­ar­bei­ters in der Orga­ni­sa­ti­on erfol­gen. Oft­mals will man nicht alle orga­ni­sa­to­ri­schen Regel­wer­ke im Detail abbil­den und lässt über eine Per­son im Rah­men einer Rezer­ti­fi­zie­rung ent­schei­den, wel­che Ser­vices der Mit­ar­bei­ter wei­ter nut­zen darf.
  • Natür­lich gibt es noch vie­le wei­te­re Situa­tio­nen, die Rezer­ti­fi­zie­run­gen einer Ser­vice­nut­zung aus­lö­sen kön­nen. Wich­tig ist, dass Rezer­ti­fi­zie­run­gen hel­fen bestell­te aber nicht mehr benö­tig­te Ser­vices zu kün­di­gen und Sicher­heits­lü­cken pro­ak­tiv zu vermeiden.

War­um IDM mit der SavvySuite

  • Weil Sav­vy­Sui­te dafür sorgt, dass Sicher­heits­lü­cken durch ver­wais­te Accounts und Berech­ti­gun­gen geschlos­sen werden
  • Weil Sav­vy­Sui­te dafür sorgt, dass Kos­ten für nicht benö­tig­te IT Ser­vices redu­ziert werden
  • Weil Sav­vy­Sui­te end­lich die Brü­cke zwi­schen HR/HCM und den IT Ser­vice­pro­zes­sen schließt
  • Weil Sav­vy­Sui­te dem Anwen­der ein moder­nes Front­end für den Self­Ser­vice bie­tet, dass er ger­ne nutzt und in dem er sich zurechtfindet
  • Weil es funk­tio­niert und wir es nicht nur ver­spre­chen. IDM ist seit 2006 Bestand­teil der Sav­vy­Sui­te DNA. Gover­nan­ce kann nicht ohne Iden­ti­ty Manage­ment funktionieren.

Wir passen uns an Sie an — nicht umgekehrt

Beratung & Umsetzung passend zu Ihren Prozessen und Bedürfnissen

Wir ver­ste­hen Ihren Anspruch, Pro­zes­se kon­ti­nu­ier­lich effi­zi­en­ter und trans­pa­ren­ter zu gestal­ten. Wir wis­sen, dass die Her­aus­for­de­run­gen viel­fäl­tig sind und mit der Grö­ße der Unter­neh­mung wach­sen. Je viel­fäl­ti­ger die Ansprü­che, des­to grö­ßer der Bedarf an einer Lösung für ver­schie­dens­te, kom­ple­xe Auf­ga­ben­be­rei­che und Kom­pe­ten­zen. Die IT-Land­schaf­ten sind aller­dings nicht homo­gen gewach­sen und es bedarf nicht nur Schnitt­stel­len zur Kom­mu­ni­ka­ti­on, son­dern auch Wis­sen aus der Pra­xis, an wel­cher Stel­le Pro­zes­se oft abwei­chen oder es zu Kon­flik­ten kommt. Wir unter­stüt­zen Sie mit unse­rem Wis­sen und Erfah­run­gen dabei individuell!

  • Auf­nah­me von Business-Anforderungen
  • IT-Archi­tek­tur
  • Iden­ti­ty und Access Management
  • Lösungs­kon­zep­te
  • Pro­zess­mo­del­lie­rung
  • Pro­of of Concepts
  • Ser­vice Lifecy­cle Management

Wir bleiben an Ihrer Seite!

Application Management

Ger­ne brin­gen wir unse­re Erfah­rungs­wer­te auch lang­fris­tig in Ihr Unter­neh­men ein und hel­fen Ihnen damit, einen rei­bungs­lo­sen Ablauf zu gewähr­leis­te­ten. Wir set­zen das App­li­ca­ti­on Manage­ment klar gere­gelt um und behal­ten dabei Ihren Wunsch nach ste­ti­ger Stei­ge­rung der Effi­zi­enz und Reduk­ti­on der Pro­zess­kos­ten im Auge. Wir kön­nen Sie nach Ihren Wün­schen unterstützen:

  • Appli­ka­ti­ons­be­trieb und Applikationswartung
  • Hel­pdesk und tech­ni­scher Support
  • Inci­dent Manage­ment und Chan­ge Management
  • Lösungs­op­ti­mie­rung und Automatisierung
  • Ser­vice Deli­very und Ser­vice Level Management