Was ist Identity und Access Management? IAM einfach erklรคrt!
Identity und Access Management (IAM) befasst sich mit der Verwaltung von Benutzerkonten und Zugriffsrechten in einer Organisation. Richtig umgesetzt stellt IAM sicher, dass Mitarbeiter Zugang zu allen benรถtigten Ressourcen erhalten, wรคhrend sensible Daten gleichzeitig vor unerwรผnschten Zugriffen geschรผtzt bleiben. So hilft Identity und Access Management Unternehmen, Produktivitรคt, Informationssicherheit und Datenschutz in Ihrer IT zu verbessern. Wie genau IAM funktioniert und wie Firmen die Administration von Konten und Rechten automatisieren kรถnnen, verrรคt unser Ratgeber.
Was ist Identity und Access Management?
Unter Identity und Access Management versteht man in der IT alle Aufgaben rund um die Verwaltung von digitalen Identitรคten (Identity) und den damit verknรผpften Zugriffsrechten (Access). IT-Berechtigungen wie z.B. NTFS-Rechte in Windows legen fest, welche Dateien ein Benutzer รถffnen kann, welche Applikationen er verwenden kann und welche Bereiche des Netzwerks ihm zugรคnglich sind. Die korrekte Zuweisung von Konten und Rechten bildet somit die Grundlage fรผr eine sichere und produktive IT-Umgebung.
Je mehr Benutzer und Applikationen ein Netzwerk umfasst, desto komplexer, zeitaufwรคndiger und fehleranfรคlliger gestaltet sich die manuelle Benutzerverwaltung und Berechtigungsverwaltung. Ab einer bestimmten Grรถรe empfiehlt sich daher der Einsatz einer Identity und Access Management Software. Ein solches IAM-System erlaubt es, die Steuerung von Konten und Rechten in der gesamten IT zu automatisieren.
Identity Management vs. Access Management
Wรคhrend Identity Management sich der Erstellung, Anpassung und Lรถschung von Konten im Rahmen des User Lifecycle widmet, befasst sich Access Management mit den genauen Berechtigungen der jeweiligen Accounts, inklusive des Zugriffs auf unstrukturierte Daten wie Fileserver, SharePoint & Co. Mehr zum Unterschied zwischen Identity Management und Access Management.
Warum ist Identity und Access Management so wichtig?
In der modernen Arbeitswelt ist ohne ein Benutzerkonto fast nichts mehr mรถglich. Mitarbeiter brauchen Windows-Konten, E-Mail-Konten, Cloud-Konten, Konten in Geschรคftsanwendungen und vieles mehr. Gleichzeitig lagern Unternehmen immer mehr sensible Daten in diesen Anwendungen. Die Bedrohung durch Datenlecks und Cyberangriffe wรคchst stetig, mit oft katastrophalen Folgen fรผr betroffene Firmen.
Identity und Access Management hilft dabei sicherzustellen, dass nur vorgesehene und berechtigte User auf IT-Ressourcen zugreifen kรถnnen. Das schรผtzt sensible Daten vor Angreifern ebenso wie vor neugierigen Kollegen und Insider Threats innerhalb der Organisation. IAM entlastet zugleich die IT-Abteilung, da Zugriffsrechte automatisch vergeben werden und sich bei Bedarf รผber Self-Service Tools anpassen lassen.
Vorteile von Identity und Access Management
Auch neben der besseren Datensicherheit hat Identity und Access Management viele Vorteile fรผr Organisationen. Die automatische Zuweisung von Konten und Rechten fรผhrt etwa zu einer massiven Zeitersparnis in der IT. Routine-Aufgaben wie das Anlegen neuer Accounts oder Zurรผcksetzen von Passwรถrtern werden an das IAM-System ausgelagert, wodurch Administratoren Zeit fรผr wichtigere Aufgaben und langfristige Ziele gewinnen.
Ebenso profitieren Fachabteilungen und Endanwender von schnelleren Freigaben, da neue Rechte bequem per Self-Service angefordert werden kรถnnen, anstatt erst E-Mails und Tickets versenden zu mรผssen. Es kommt also zu keinerlei Verzรถgerungen im digitalen Arbeitsalltag. Dabei behรคlt das Unternehmen dennoch alles unter Kontrolle, da sรคmtliche Prozesse dokumentiert und alle IT-Berechtigungen laufend รผberprรผft werden.
Vorteile von IAM:
Genau abgestimmte Zugriffsrechte fรผr jeden User
Automatisches Provisioning und Deprovisioning
Compliance-gerechte Verwaltung von Konten
Schutz vor internen und externen Bedrohungen
Mehr รbersicht รผber Berechtigungen
Weniger Support-Tickets
Weniger Hรผrden fรผr Endanwender
Weniger Aufwand fรผr Admins
Ist Identity und Access Management verpflichtend?
Die Einschrรคnkung und aktive Steuerung von IT-Berechtigungen ist auch in vielen Normen, Standards und Gesetzen ein Thema. Die Verwendung einer Identity und Access Management Lรถsung ist dabei zwar nicht vorgeschrieben, viele Regelungen setzen jedoch Ansprรผche, die Unternehmen de facto nur durch eine IAM-Software erfรผllen kรถnnen: Die Beschrรคnkung des Zugriffs nach dem Least Privilege Prinzip, die regelmรครige Rezertifizierung aller Berechtigungen, die Dokumentation sรคmtlicher รnderungen.
Standards und Gesetze, die Anforderungen an das Identity und Access Management stellen:
Wie funktioniert Identity und Access Management?
Mithilfe von Identity und Access Management kรถnnen Organisationen zentral und automatisch steuern, welche Benutzer Zugriff auf welche Daten und Systeme erhalten sollen. Beim Zugang zu IT-Ressourcen gilt es zwischen zwei Stufen zu unterscheiden:
Authentifizierung: Durch die Eingabe von Benutzername und Passwort bzw. Multi-Faktor-Authentifizierung beweist der User, dass er ist wer er vorgibt zu sein. รber den Nachweis seiner Identitรคt erhรคlt der Benutzer Zugang zum System, im Fall zentraler Identity Provider wie Active Directory oder Azure AD auch zu allen verknรผpften Systemen (Single Sign-On).
Autorisierung: Nach bestandener Identitรคtsprรผfung gewรคhrt das System dem Benutzer bestimmte Rechte wie den Zugriff auf fรผr ihn freigegebene Daten. รber welche Berechtigungen ein Konto verfรผgt hรคngt von den zuvor festgelegten Einstellungen ab und wird z.B. in Windows รผber Security Identifier und die Access Control List gesteuert.
Nรคheres zum Unterschied von Authentifizierung und Autorisierung erfahren Sie in unserem Vergleich.
Provisionierung von Konten
Legt ein Admin einen neuen Benutzer an, erhรคlt dieser mittels IAM automatisch alle fรผr ihn vorgesehen Rechte. Dazu greift Identity und Access Management auf ein Konzept namens rollenbasierte Berechtigungsvergabe zurรผck: Organisationen definieren zunรคchst, welche Berechtigungen Personen in unterschiedlichen Aufgabenbereichen bzw. Geschรคftsrollen erhalten sollen, und legen entsprechende Berechtigungs-Sets an.
Anschlieรend gleicht die Identity und Access Management Software Berechtigungen nach der Rolle des Users an: Mitarbeiter im Verkauf erhalten die Zugriffsrechte der Rolle Sales, Mitarbeiter im Marketing der Rolle Marketing und so weiter. รndert sich die Rolle eines Benutzers, erhรคlt dieser automatisch neue Rechte und nicht mehr benรถtigte alte Berechtigungen werden entzogen.
Identity und Access Management in Microsoft-Umgebungen
Sie mรถchten wissen, wie Identity und Access Management in Windows-Netzwerken gelingt? Unser Whitepaper verrรคt alle Best Practices und technischen Details.
Self-Service fรผr User
Die Berechtigungsvergabe anhand von Rollen erlaubt es, Standard-Rechte schnell und einfach zuzuweisen. Im Arbeitsalltag benรถtigen User aber immer wieder auch individuelle Rechte fรผr Projekte, Vertretungen und Zusatzaufgaben. Anstatt umstรคndlicher E-Mails oder Telefonate lassen sich zusรคtzliche Rechte in einer Identity und Access Management Lรถsung bequem รผber eine Self-Service Zugriffsanfrage anfordern.
Fordert ein Benutzer einen neuen Zugang oder eine andere Ressource an, wird der Antrag an den jeweiligen Data Owner, also den Verantwortlichen innerhalb der Abteilung weitergeleitet. Dadurch kรถnnen Fachbereiche den Zugriff auf ihre eigenen Daten verwalten, ohne die IT-Abteilung einschalten zu mรผssen. So gibt es weniger Umwege und schnellere Freigaben.
Reporting-Tools fรผr Admins
Welcher Benutzer hat Zugriff auf welche Daten? Diese einfache Frage lรคsst sich ohne eine Identity und Access Management Lรถsung praktisch nicht beantworten. Bei der Auswertung des effektiven Zugriffs mรผssen Konten und Rechte in den unterschiedlichsten Systemen zusammengefasst werden. Besonders komplex wird das, wenn es um unstrukturierte Daten wie z.B. auf dem Fileserver oder SharePoint des Unternehmens geht.
Mit Standardwerkzeugen lรคsst sich nicht nachvollziehen, welche Benutzer Zugriff auf welche Dateien haben. Identity und Access Management schlieรt diese Lรผcke und verschafft Admins eine klare รbersicht der effektiven Rechte auf Benutzer- und Datei-Ebene. Wรคhrend es etwa in Microsoft 365 normalerweise nicht mรถglich ist zu รผberprรผfen, mit wem Benutzer welche Dateien teilen, fasst tenfold geteilte Dateien in Teams, OneDrive und SharePoint an einem Ort zusammen. Mehr zu diesem Feature erfahren Sie in unserem kostenlosen Webinar.
Hinter den Kulissen von Teams & OneDrive: Das geheime Leben geteilter Daten
User Access Reviews
Ein Identity und Access Management System muss Benutzern nicht nur die Berechtigungen zuweisen, die sie fรผr ihre Arbeit brauchen, sondern auch nicht mehr benรถtigte Rechte entfernen. Andernfalls sammeln Benutzer im Laufe der Zeit mehr und mehr รผberflรผssige Zugriffsrechte, was die Vertraulichkeit und Datensicherheit im Unternehmen gefรคhrdet. Man spricht dabei auch von Privilege Creep.
Der einzige Weg, langfristig zu garantieren, dass jeder User nur รผber die fรผr ihn vorgesehenen Rechte verfรผgt, liegt in der regelmรครigen Kontrolle aller Zugriffsrechte durch einen Rezertifizierungs-Audit bzw. ein User Access Review. Dabei kontrollieren Verantwortliche innerhalb der Fachabteilungen, ob von ihnen vergebene Rechte noch benรถtigt oder gelรถscht werden kรถnnen. Die IAM-Plattform listet die zu kontrollierenden Rechte รผbersichtlich auf, dokumentiert den Audit-Prozess und nimmt alle nรถtigen รnderungen vor.
Identity und Access Management Funktionen im รberblick
Neben den Kernaufgaben eines IAM-Systems gibt es zahlreiche weitere Funktionen und relevante Begriffe, die es rund um das Thema Identity und Access Management zu wissen gilt. Hier haben wir deshalb ein kurzes Glossar der wichtigsten IAM Funktionen zusammengestellt.
Funktion | Erklรคrung |
---|---|
Provisionierung (Provisioning) | Bereitstellung benรถtigter Konten im Rahmen des Onboarding bzw. Lรถschung wรคhrend des Offboarding (Deprovisionierung) |
User Lifecycle | Lebenszyklus eines Benutzerkontos, laufende Anpassungen von Firmeneintritt bis Firmenaustritt |
Rolle | Set an Berechtigungen fรผr eine bestimmte Abteilung oder Aufgabenbereich |
Single Sign-On | Einmalige Authentifizierung zur Anmeldung in mehreren Systemen |
Self-Service | Plattform zum selbststรคndigen Anfordern von Berechtigungen oder anderer Services wie Passwort-Resets |
Workflow | Anpassbarer Ablauf um z.B. Freigabeprozesse und Kontrollinstanzen festzulegen |
Data Owner | Datenverantwortlicher auรerhalb der IT, dem Kontrollaufgaben wie die Bestรคtigung von Self-Service-Anfragen รผbertragen werden |
Access Review | Wiederkehrende Kontrolle existierender (Sonder)rechte innerhalb der Organisation |
In 5 Schritten zum Identity und Access Management System
Nun wissen wir also um die Wichtigkeit und allgemeine Funktionsweise von Identity und Access Management, doch wie steht es um die Rolle von IAM im Unternehmensalltag? Was mรผssen Organisationen beachten, die eine Identity und Access Management Lรถsung kaufen und in ihrer IT in Betrieb nehmen mรถchten? Im diesem Abschnitt sehen wir uns die fรผnf praktischen Schritte an, die zur Anschaffung und Implementierung eines IAM-Systems erforderlich sind.
Auswahl einer Lรถsung
Bevor an die Installation einer IAM-Software zu denken ist, mรผssen Unternehmen zunรคchst eine Identity und Access Management Lรถsung auswรคhlen. Angesichts zahlreicher Produkte mit unterschiedlichen Stรคrken und Schwรคchen ist das keine leichte Aufgabe. Wichtig ist, eine Auswahl zu treffen die zu den Anforderungen der Organisation passt, anstatt stur auf den grรถรten Anbieter zu setzen.
Fragen, die es bei der Wahl einer IAM-Lรถsung zu beantworten gilt sind etwa: Deckt das System alle erforderlichen Funktionen ab? Lรคsst es sich mit den vom Unternehmen verwendeten Anwendungen verbinden? Und kann die Lรถsung mit den vorhandenen zeitlichen und personellen Ressourcen effektiv genutzt werden?
Insbesondere der hohe Betriebsaufwand groรer Lรถsungen sorgt immer wieder fรผr Schwierigkeiten, wenn Firmen versuchen Enterprise-Systeme im Kontext eines mittelstรคndischen Unternehmens zu verwenden: Das Projekt entwickelt sich zu einer jahrelangen Mammutaufgabe, Funktionen werden nie implementiert oder genutzt, die Bedienung verschlingt am Ende mehr Zeit als sie spart. Achten Sie deshalb auf die Auswahl einer Software, die zur Grรถรe Ihres Unternehmens passt.
Mehr Tipps zur Auswahl der richtigen Software finden Sie in unserem IAM Vergleich.
Anbindung von Systemen
Identity und Access Management dient als Kommandozentrale fรผr Konten und Rechte in der gesamten IT. Um diese Aufgabe erfรผllen zu kรถnnen, braucht das IAM-System Schnittstellen zu allen wichtigen Anwendungen im Unternehmen: Von Active Directory und Fileserver รผber die Microsoft Cloud bis hin zu Geschรคftsanwendungen wie SAP ERP oder HCL Notes.
Um die Verbindung zu anderen Systemen herzustellen, sind viele Lรถsungen auf hรคndische Programmierung und kundenspezifische Skripten angewiesen, was zusรคtzliche Kosten verursacht und die Inbetriebnahme verzรถgert. Nicht so tenfold: Unsere vorgefertigten Plugins kรถnnen mit wenigen Handgriffen allein รผber die grafische Benutzeroberflรคche konfiguriert werden. So sind Sie in kรผrzester Zeit startklar!
Import von Benutzern und Daten
Unternehmen, die ein Identity und Access Management System in Betrieb nehmen, mรถchten damit nicht bei Null beginnen, sondern in der bestehenden IT fรผr Ordnung sorgen und bereits existierende User sicher und effizient verwalten. Bevor dies mรถglich ist, muss die IAM-Lรถsung die vorhandenen Konten, Berechtigungen und Strukturen analysieren und in das System einlesen.
Der Import von Daten lรคsst sich dabei durch zahlreiche Komfort-Funktionen erleichtern. Neben der รbernahme von Konten aus Vorsystemen ist es zum Beispiel mรถglich, vorhandene Fileserver-Strukturen zu importieren. Dabei ist allerdings wichtig, auf die Einhaltung von Best Practices wie Listrechten und AGDLP zu achten. Zudem erlaubt es tenfold รผber den Import von HR-Daten, den User Lifecycle direkt รผber das HR-System zu steuern.
Definieren von Rollen
Um die Berechtigungsvergabe zu automatisieren, mรผssen Unternehmen zunรคchst festlegen, wer welche Rechte erhalten soll. Ein IAM-System kann nicht entscheiden, wer Zugriff auf welche Ressourcen benรถtigt. Aber es kann die Auswahl sinnvoller Rechte erleichtern.
Zum Beispiel zeigt tenfold beim Erstellen einer neuen Rolle an, welche Berechtigungen unter den ausgewรคhlten Usern am hรคufigsten vorkommen. So lassen sich etwa Standardrechte fรผr eine bestimmte Abteilung schnell identifizieren und mit wenigen Klicks hinzufรผgen. Das Ableiten von Rollen aus bestehenden Rechten wird auch als Role-Mining bezeichnet.
Wartung und Optimierung
Informationssysteme sind stรคndig im Wandel. Benutzer kommen und gehen, Netzwerkstrukturen รคndern sich, neue Anwendungen und Dienste kommen hinzu. Die Implementierung eines Identity und Access Management Systems ist daher keine abgeschlossene Aufgabe, sondern es muss laufend an Verรคnderungen in der IT angeglichen werden.
Je einfacher sich eine Software konfigurieren und bedienen lรคsst, umso leichter lassen sich auch spรคtere Anpassungen durchfรผhren. Das ist wichtig, um langfristig von den Vorteilen von Identity und Access Management zu profitieren, ohne Administratoren unnรถtig zu belasten.
tenfold IAM: einfach, schnell & leistungsstark
Wer immer komplexere IT-Landschaften trotz steigender Sicherheitsanforderungen und wachsender Bedrohungen effizient verwalten mรถchte, fรผr den fรผhrt langfristig kein Weg am Thema Identity und Access Management vorbei. Dabei genรผgt es nicht, die grundlegenden Funktionen, Vorteile und Anforderungen von IAM in der Theorie zu verstehen. Letztlich zรคhlt, wie sich IAM in der Praxis bewรคhrt.
Mit tenfold haben wir ein Identity und Access Management System geschaffen, das nicht nur durch seine einfache Bedienung und seinen hohen Funktionsumfang รผberzeugt, sondern auch in Rekordzeit in Betrieb genommen werden kann. Dank Standard-Schnittstellen und No-Code-Konfiguration sind Sie in wenigen Wochen startklar, anstatt Monate oder Jahre mit dem Programmieren von Skripten und Interfaces zu verbringen.
Kann IAM wirklich so einfach sein? Sehen Sie sich an, was die unabhรคngigen Analysten von KuppingerCole zu tenfold zu sagen haben, oder รผberzeugen Sie sich selbst bei einem kostenlosen Test!
KuppingerCole Executive View
Das Analystenhaus KuppingerCole hat tenfold im Rahmen eines unabhรคngigen Expertenberichts ausfรผhrlich getestet. Lesen Sie den vollstรคndigen Report.