Warum bietet tenfold kein „Komfort-Feature“?
In einem Wettbewerbsprodukt zu tenfold gibt es eine Funktion mit dem Namen „Komfort-Feature“. Diese sorgt dafür, dass Fileserver-Berechtigungen, zusätzlich zur Vergabe über Gruppen, für den Benutzer direkt vergeben werden. Beworben wird die Funktion mit dem Vorteil, dass der Benutzer die neuen Berechtigungen sofort nutzen kann, ohne sich neu anmelden zu müssen.
Diese Funktionalität ist technisch nicht sehr anspruchsvoll. Es stellt sich also die Frage, warum tenfold nicht auch ein solches “Komfort-Feature” bietet. Die Antwort: Weil die Vorteile einer konstanten Vergabe von Fileserver-Berechtigungen über Gruppen überwiegen. Und wir zeigen Ihnen auch, warum das so.
Listberechtigungen
Das Komfort-Feature berücksichtigt keine Listberechtigungen. Das bedeutet, dass der Benutzer keine Möglichkeit hat, bis zum Verzeichnis zu browsen. Er muss also den exakten und vollständigen Pfad zum Ordner kennen, um zu finden, was er sucht. Das ist unrealistisch und das exakte Gegenteil der Benutzerfreundlichkeit, die man auf dem Fileserver eigentlich mit ABE (Access Based Enumeration) erreichen möchte.
Performance
Das Setzen der direkten Berechtigung für den Benutzer kann zu Problemen mit der Performance führen. Wenn der unter dem Verzeichnis liegende Baum sehr groß ist, kann das Setzen der direkten Berechtigung mitunter Stunden oder sogar Tage in Anspruch nehmen. Und am Ende ist dem Benutzer damit noch nicht einmal geholfen, wie wir unter Punkt (1) bereits gesehen haben. Tatsächlich ist es für den Benutzer besser, sich ab- und wieder anzumelden, um die Berechtigung über die bereits gesetzte Gruppe zu erhalten.
Fehler
Kommt es in der Verarbeitung der Direktberechtigung zu Fehlern, oder wird etwa der Ordner in der Zeit zwischen dem Setzen der temporären Direktberechtigung und dem geplanten Entfernen verschoben, so bleibt die Direktberechtigung auf dem Ordner zurück. Man erreicht das Gegenteil von dem, wofür man eine Berechtigungsmanagement-Software angeschafft hat.
Workflows
IT-Berechtigungen sollten grundsätzlich nicht „per Zuruf“ vom Administrator vergeben werden, sondern vom verantwortlichen Data Owner freigegeben werden. Durch diesen Freigabeprozess, der absolut notwendig ist, kommt es naturgemäß zu Wartezeiten. Die Wartezeit für das zusätzliche Ab- und neu Anmelden fällt daher nicht mehr ins Gewicht.
Saubere Lösung mit tenfold
In tenfold werden alle Fileserver-Berechtigungen sauber über AGDLP vergeben. Das führt dazu, dass Benutzer sich nach Vergabe der notwendigen Gruppe ab- und neu anmelden müssen. Sobald in tenfold eine neue Berechtigung für einen Benutzer verfügbar ist, wird dieser aktiv per E-Mail darauf hingewiesen. In diesem Mail wird der Benutzer auch auf die erforderlich Neuanmeldung hingewiesen.
Dies mag auf den ersten Blick nach zusätzlichem Aufwand aussehen, bedeutet in letzter Konsequenz jedoch, dass der Prozess ordnungsgemäß und sauber abgebildet ist. Abkürzungen, die letztlich die Benutzerfreundlichkeit, die Integrität der Prozesse und damit die Sicherheit der Daten infrage stellen, sollten grundsätzlich vermieden werden. Aus diesem Grund bietet tenfold kein “Komfort-Feature”.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?