Was ist Identity Lifecycle Management?

Identity Governance unterstützt Organisationen dabei, ein Gleichgewicht zwischen Produktivität und Sicherheit zu erzielen. Wie schnell erhält eine Person Zugang zu den von ihr benötigten Ressourcen, z. B. beim Eintritt in meine Organisation? Und in Bezug auf die Sicherheit: Wie sollte sich der Zugriff im Laufe der Zeit ändern, beispielsweise aufgrund von Änderungen des Beschäftigungsstatus einer Person?

Identity Lifecycle Management ist die Grundlage für Identity Governance. Eine effektive Governance im großen Stil erfordert eine Modernisierung der Identity Lifecycle Management-Infrastruktur für Anwendungen. Das Ziel bei Identity Lifecycle Management besteht darin, den gesamten Lebenszyklusprozess der digitalen Identität zu automatisieren und zu verwalten.

Abbildung zur Cloudbereitstellung

Was ist eine digitale Identität?

Bei einer digitalen Identität handelt es sich um Informationen zu einer Entität, die von einer oder mehreren Computingressourcen genutzt wird, z. B. von Betriebssystemen oder Anwendungen. Diese Entitäten können Personen, Organisationen, Anwendungen oder Geräte sein. Die Identität wird normalerweise durch die ihr zugeordneten Attribute beschrieben, beispielsweise Namen, Bezeichner und Eigenschaften (darunter etwa Rollen für die Zugriffsverwaltung). Anhand dieser Attribute kann in Systemen beispielsweise festgelegt werden, wer worauf Zugriff hat und wer diese Ressource nutzen darf.

Verwalten des Lebenszyklus von digitalen Identitäten

Die Verwaltung von digitalen Identitäten ist eine komplexe Aufgabe. Dies ist vor allem der Fall, weil hierbei reale Objekte, z. B. eine Person und ihre Beziehung zu einer Organisation (Mitarbeiter), mit einer digitalen Darstellung korreliert werden. In kleinen Organisationen kann die Verwaltung der digitalen Darstellung von Personen, die eine Identität benötigen, ein manueller Prozess sein. Wenn eine Person eingestellt wird oder ein Auftragnehmer eintrifft, kann ein IT-Spezialist ein Konto in einem Verzeichnis erstellen und die benötigten Zugriffsberechtigungen für die Person zuweisen. In mittleren und großen Unternehmen kann die Automatisierung eine Organisation aber in die Lage versetzen, die Skalierung effektiver durchzuführen und die Identitäten präzise zu pflegen.

Bei einem typischen Prozess zum Einrichten von Identity Lifecycle Management in einer Organisation werden die folgenden Schritte ausgeführt:

  1. Ermitteln, ob bereits „Systems of Record“ vorhanden sind: Dies ist die Bezeichnung für Datenquellen, die von der Organisation als autoritativ angesehen werden. Beispielsweise kann die Organisation über Workday als System für die Personalverwaltung verfügen. Dieses System wird in Bezug auf die Bereitstellung der aktuellen Mitarbeiterliste als Autorität angesehen, einschließlich einiger zugehöriger Eigenschaften wie der Name oder die Abteilung eines Mitarbeiters. Ein anderes Beispiel ist ein E-Mail-System, z. B. Exchange Online, das als autoritativ in Bezug auf die E-Mail-Adresse eines Mitarbeiters angesehen wird.

  2. Verbinden Sie diese Systems of Record mit Verzeichnissen und Datenbanken, die von Anwendungen genutzt werden, und beseitigen Sie die Inkonsistenzen zwischen den Verzeichnissen und den Systems of Record. Beispielsweise kann ein Verzeichnis veraltete Daten enthalten, etwa ein Konto für einen ausgeschiedenen Mitarbeiter, das nicht mehr benötigt wird.

  3. Ermitteln, welche Prozesse verwendet werden können, um bei einem fehlenden System of Record autoritative Informationen bereitzustellen. Wenn beispielsweise digitale Identitäten für Besucher verwendet werden und die Organisation über keine Datenbank für Besucher verfügt, muss ggf. auf andere Weise ermittelt werden, wann eine digitale Identität für einen Besucher nicht mehr benötigt wird.

  4. Stellen Sie sicher, dass Änderungen aus dem Aufzeichnungssystem oder anderen Prozessen in alle Verzeichnisse oder Datenbanken repliziert werden, die eine Aktualisierung erfordern.

Identity Lifecycle Management zur Darstellung von Mitarbeitern und anderen Personen mit einer Beziehung zur Organisation

Beim Planen von Identity Lifecycle Management für Mitarbeiter oder andere Personen mit einer Beziehung zur Organisation, z. B. Auftragnehmer oder Studenten, nutzen viele Organisationen einen Prozess nach dem Muster „Eintritt, Versetzung und Austritt“:

  • Eintritt: Wenn eine Person Zugriff benötigt, muss für die entsprechenden Anwendungen eine Identität vorhanden sein. Falls noch keine digitale Identität vorhanden ist, muss diese neu erstellt werden.
  • Versetzung: Hierbei beginnt eine Person mit der Arbeit in einem neuen Bereich, für den ihrer digitalen Identität zusätzliche Zugriffsberechtigungen hinzugefügt (oder auch daraus entfernt) werden müssen.
  • Austritt: Wenn eine Person keinen Zugriff mehr benötigt, müssen die entsprechenden Berechtigungen ggf. entfernt werden. Unter Umständen ist die Identität für die Anwendungen dann nicht mehr erforderlich – außer zu Prüfungs- oder Forensikzwecken.

Wenn beispielsweise ein neuer Mitarbeiter in Ihre Organisation eintritt, der bisher noch keinerlei Beziehung zur Organisation hatte, benötigt er eine neue digitale Identität (ein Benutzerkonto in Azure AD). Die Erstellung dieses Kontos ist ein Vorgang vom Typ „Eintritt“, der automatisiert werden kann, wenn ein System of Record vorhanden ist (z. B. Workday). Mit diesem System kann angegeben werden, wann der neue Mitarbeiter mit der Arbeit beginnt. Wenn ein Mitarbeiter in Ihrer Organisation dann beispielsweise aus der Vertriebs- in die Marketingabteilung wechselt, ist dies ein Vorgang vom Typ „Übergang“. Dieser Wechsel würde es erforderlich machen, die nicht mehr benötigten Zugriffsrechte für die Vertriebsabteilung zu entfernen und die erforderlichen Rechte für die Marketingabteilung zu gewähren.

Identity Lifecycle Management für Gäste

Für Gäste und andere Benutzer werden ähnliche Prozesse benötigt. Bei der Azure AD-Berechtigungsverwaltung wird Azure AD B2B (Business-to-Business) zum Bereitstellen der Lebenszyklus-Steuerelemente für die Zusammenarbeit mit Personen außerhalb Ihrer Organisation verwendet, die Zugriff auf die Ressourcen Ihrer Organisation benötigen. Externe Benutzer verwenden Azure AD B2B für die Authentifizierung gegenüber ihrem Basisverzeichnis, aber sie werden in Ihrem Verzeichnis dargestellt. Die Darstellung in Ihrem Verzeichnis ermöglicht dem Benutzer den Zugriff auf Ihre Ressourcen. Bei der Berechtigungsverwaltung können Personen außerhalb Ihrer Organisation Zugriff anfordern, und bei Bedarf wird für sie dann eine digitale Identität erstellt. Diese digitalen Identitäten werden automatisch entfernt, wenn der Benutzer keinen Zugriff mehr hat.

Wie wird Identity Lifecycle Management von Azure AD automatisiert?

Azure AD verfügt derzeit über die folgenden Features:

  • Benutzer, bei denen es sich um Mitarbeiter handelt, können in Azure AD und Active Directory automatisch erstellt und aktualisiert werden, indem die personalbasierte Bereitstellung verwendet wird.
  • Benutzer, die in Active Directory bereits vorhanden sind, können in Azure AD per Bereitstellung zwischen Verzeichnissen automatisch erstellt und verwaltet werden.
  • Benutzer können basierend auf ihren Eigenschaften automatisch Gruppen zugewiesen werden, indem dynamische Gruppen verwendet werden. Bei Bedarf können sie per Berechtigungsverwaltung und Privileged Identity Management Gruppen, Teams, Azure AD-Rollen, Azure-Ressourcenrollen und SharePoint Online-Websites zugewiesen werden.
  • Updates für Benutzer können per App-Bereitstellung automatisch an weitere Anwendungen gesendet werden.

Nächste Schritte