Zugriffsrechteverwaltung (ARM)

Access Rights Management (ARM) im Bereich Identity Governance & Administration ( IGA ) ist der durchgängige Prozess der Definition, Anforderung, Genehmigung, Gewährung, Überprüfung und des Entzugs des Benutzerzugriffs auf Systeme, Anwendungen und Daten – basierend darauf, wer der Benutzer ist und was er tun darf.

Man kann es sich als die Leitplanken vorstellen, die Folgendes gewährleisten:

• Die richtigen Leute
• den richtigen Zugang haben
• zum richtigen Zeitpunkt
• aus den richtigen Gründen
• und nicht länger als nötig

Die Verwaltung von Zugriffsrechten ist ein Prozess, der je nach Rolle des Benutzers und den Geschäftsanforderungen unterschiedliche Anwendungsfälle unterstützt.

Im einfachsten Fall ermöglicht es Benutzern, über ein Selbstbedienungsportal Zugriff anzufordern. Die Anfrage wird geprüft und genehmigt, bevor der Zugriff auf Verzeichnisse, Anwendungen oder Systeme gewährt wird.

Auf einer fortgeschritteneren Ebene lässt sich ARM durch Benutzerlebenszyklusmanagement vollständig automatisieren. In diesem Modell wird der Zugriff automatisch auf Basis von Informationen aus maßgeblichen Quellsystemen, wie z. B. HR-Systemen, gewährt und automatisch wieder entzogen, sobald das Beschäftigungsverhältnis oder der Arbeitszeitraum eines Benutzers endet.

Diese Flexibilität ermöglicht es Organisationen, mit einfachen Zugriffsanfragen und Genehmigungen zu beginnen und sich mit zunehmender Reife hin zu einem vollständig automatisierten, lebenszyklusbasierten Zugriffsmanagement weiterzuentwickeln.

Wichtigste Vorteile der Automatisierung von Zugriffsrechteverwaltungsprozessen

Geschäftliche Herausforderung

• Die manuelle Zugriffsverwaltung ist langsam, uneinheitlich und in großem Umfang schwer zu kontrollieren. Sie erhöht das Sicherheitsrisiko, treibt die Betriebskosten in die Höhe und birgt die Gefahr von Problemen bei Audits und Compliance-Prüfungen.

Was die Automatisierung liefert

• Stärkere Sicherheit – Zugriffe werden automatisch auf Basis von Rolle und Lebenszyklusereignissen gewährt und entzogen, wodurch übermäßige und veraltete Zugriffe reduziert werden.
• Schnellere Pro – Neueinstellungen und Rollenwechsel erhalten sofort die richtigen Zugriffsrechte, was die Geschäftseffizienz verbessert.
• Niedrigere Betriebskosten – Deutliche Reduzierung manueller Zugriffsanfragen und des IT-Supportaufwands.
• Einheitliche Governance – Richtlinienbasierte Entscheidungen gewährleisten eine einheitliche Durchsetzung über alle Systeme und Benutzer hinweg.
• Audit- und Compliance-Bereitschaft – Vollständige Nachvollziehbarkeit von Zugriffsentscheidungen mit klaren Auditnachweisen.

M42 IGA Lösung automatisiert und kombiniert Benutzerlebenszyklusereignisse zu effizienten Prozessen, die je nach Kundenbedarf erweitert werden können. Bevor Benutzer jedoch Zugriffe anfordern oder die Automatisierung diese automatisch gewähren kann, müssen einige administrative Aufgaben erledigt werden.

Berechtigungen und Anträge verwalten – Anforderungskatalog erstellen

Dies ist der wichtigste Anwendungsfall der gesamten IGA Lösung, denn die korrekte Einrichtung von Berechtigungen und deren Beziehungen zu Anwendungen bildet die Grundlage für alle zukünftigen Anwendungsfälle. Wichtige Punkte zu Berechtigungen und Anwendungsfällen finden Sie unten. Ausführlichere Informationen finden Sie in der vollständigen Anwendungsfallbeschreibung hier. <Link hier>

Momentaufnahme der Datenerfassung und des aktuellen Zugriffs

• Der Anwendungsfall liest Daten aus Verzeichnissen und Anwendungen innerhalb des Projektumfangs.
• Dies ermöglicht eine aktuelle Übersicht über die Zugriffsrechte der Benutzer und stellt die anfänglichen Beziehungen zwischen Benutzerkonten, Gruppen und Berechtigungen her.
• Sie bildet die Grundlage für die Erstellung präziser Benutzer-Zugriffs-Zuordnungen in der IGA Lösung.

Verbesserung der Ansprüche

• IGA Administratoren können Berechtigungen benutzerfreundliche Namen, Beschreibungen und zusätzliche Metadaten hinzufügen.
• Es können auch Beziehungen zwischen Anwendungen hergestellt werden, wodurch die Klarheit und Verwaltbarkeit der Zugriffsrechte verbessert wird.
• Wählen Sie die Genehmigungsstufe aus und veröffentlichen Sie die Berechtigungen im Self-Service-Portal, oder veröffentlichen Sie diese nicht und gewähren Sie sie automatisch mithilfe automatisierter Regeln (separater Anwendungsfall).

Informationen zur Antragstellung für Zugriffsanfragen

• Anwendungsdetails sind unerlässlich, wenn Endbenutzer Zugriffsrechte nach Anwendung auswählen. Dies ist die gängigste Methode, um den Zugriffsanforderungskatalog zu erstellen.
• Anwendungsdaten können automatisch aus Systemen wie beispielsweise folgenden bezogen werden:
  • Software Asset Management (SAM)-Lösungen
  • IT-Service-Management (ITSM)-Tools
  • Alternativ können Daten auch manuell importiert oder direkt in der IGA Lösung gepflegt werden.
• Diese Beziehungen gewährleisten auch, dass bei der Einführung neuer Anwendungen oder der Außerbetriebnahme alter Anwendungen die Zugriffsrechte den Benutzern korrekt entzogen oder neu zugewiesen werden.

Zusammenfassung:
Dieser Anwendungsfall stellt sicher, dass Berechtigungen, Anwendungen und Benutzerzugriffsdaten korrekt zugeordnet und angereichert werden und bietet damit eine solide Grundlage für zukünftige IGA Prozesse wie automatisierte Bereitstellung, Zugriffsanfragen und Compliance-Berichte.

Durch die Kombination von Zugriffsrechteverwaltung mit Benutzerlebenszyklusmanagement und Anwendungsfällen aus der Bibliothek werden mehr Automatisierung und Sicherheit ermöglicht.

Zugriffsrechte anfordern

Objektiv:
Ermöglichen Sie Benutzern und Managern, Zugriffsrechte effizient anzufordern, zu genehmigen und bereitzustellen und gleichzeitig die Einhaltung von Vorschriften, die Nachverfolgbarkeit und die Durchsetzung von Richtlinien zu gewährleisten.

Schritt 1: Anfrage initiieren

• Der Benutzer öffnet „Zugriffsrechte für mich selbst anfordern“
• Der Manager öffnet „Zugriffsrechte für meinen Untergebenen anfordern“ oder „Zugriffsrechte für externe Benutzer anfordern“.
• Hinweis! Nur Manager können Anfragen im Namen anderer stellen; Benutzer können Zugriff nur für sich selbst beantragen.

Schritt 2: Zielnutzer auswählen

• Der Manager wählt den/die unterstellten Mitarbeiter/in für den jeweiligen Arbeitszeitraum aus (intern oder extern, abhängig vom Dienst).
• Die Nutzer wählen sich automatisch selbst aus. Falls ein Nutzer mehrere Arbeitsperioden hat, wählt er die richtige aus der Liste „Meine Arbeitsperioden“ aus.

Schritt 3: Zugriffsrechte auswählen

• Zugriffsrechte werden aus vordefinierten Kategorien ausgewählt:
  • Kategorie 1: Von der Organisation anpassbar
  • Kategorie 2: Von der Organisation anpassbar
  • Anwendungen: Liste der verfügbaren Systeme
  • Zugriffsrechte / Berechtigungen: Anwendungsspezifische Berechtigungen
  • Geschäftsrollen: Vordefinierte Berechtigungssätze im Zusammenhang mit Geschäftsfunktionen
  • Start- und Enddatum: Optionaler Gültigkeitszeitraum für den Zugriff
• Hinweis! Falls für eine Berechtigung Validierungsregeln gelten, haben diese Vorrang vor manuell eingegebenen Datumsangaben.
• Hinweis! Benutzer und Manager können nur Zugriffe in der Liste sehen, die im Arbeitszeitraum des ausgewählten Benutzers nicht vorhanden sind.

Schritt 4: Begründung Pro und einreichen

• Benutzer/Manager fügt obligatorische Begründung hinzu
• Klicken Sie auf Absenden.

Schritt 5: Genehmigungsworkflow

• Genehmigung durch den Manager
  • Bei Ablehnung: Prüfprotokoll gespeichert, Benutzer benachrichtigt, Prozess beendet
  • Bei Genehmigung für einen unterstellten Mitarbeiter: Kein zusätzlicher Vorgesetzter als Befürworter erforderlich
• Berechtigungsspezifischer Genehmiger
  • Falls definiert, ist eine Genehmigung der zweiten Ebene erforderlich.
  • Bei Ablehnung: Prüfprotokoll gespeichert, Benutzer benachrichtigt, Prozess beendet

(falls zutreffend, Schritt 6: Überprüfung der Richtlinien und der Einhaltung der Vorschriften)

• IGA Lösung prüft automatisch auf Konflikte aufgrund toxischer Kombinationen/Aufgabentrennungen, wenn
• Diese Anwendungsfälle sind separat von der Anwendungsfallbibliothek implementiert und gehören nicht zum Paket für die Zugriffsrechteverwaltung.
• Der Benutzer oder Manager wird informiert, falls Regeln gelten.

Schritt 7: Pro

• Zugriffsrechte werden bereitgestellt über:
  • Automatische Bereitstellung (bevorzugt)
  • Manuelle Bereitstellung (falls keine Automatisierung implementiert ist)
  • Kombination: Zuerst automatisierte Bereitstellung, anschließend manuelle Aufgaben für die verbleibenden Elemente
• Die erste Phase umfasst üblicherweise die Automatisierung für ein oder zwei Verzeichnisse, während der Zugriff auf andere Anwendungen manuell bereitgestellt wird.
• In den nächsten Phasen werden weitere Konnektoren implementiert, um die Automatisierung anderer Anwendungszugriffsrechteanfragen zu gewährleisten.

Schritt 8: Prüfung und Abschluss

• Alle Zugriffsanfragen, Genehmigungen und Bereitstellungsaktionen werden protokolliert.
• Zur Sicherstellung der Einhaltung der Vorschriften werden Prüfprotokolle geführt.
• Dieser Anwendungsfall umfasst folgende Prüfinformationen:
  • Wer hat die Anfrage gestellt und um welche Uhrzeit?
  • Was beantragt und was bewilligt wurde.
  • Wie lange die Bereitstellung dauerte und wann sie abgeschlossen war.
  • Wer hat die Genehmigung erteilt und wann? War der Genehmiger identisch mit dem zuvor definierten?
  • Wem wurden Zugriffsrechte auf Basis von Selbstbedienungsanfragen gewährt?

Schritt 9. Pro ist beendet.

• Ergebnis: Dieser Workflow gewährleistet, dass Zugriffsrechte effizient, sicher und in Übereinstimmung mit den Unternehmensrichtlinien angefordert, genehmigt, bereitgestellt und geprüft werden.
• Zugriffsrechte beziehen sich auf die Arbeitszeiten der Benutzer, um sicherzustellen, dass Benutzer aus verschiedenen Gründen Zugriffe erhalten können und dass diese Zugriffe gemäß den korrekten Ereignissen des Benutzerlebenszyklusmanagements gewährt und entzogen werden.

Zugriffsrechte entfernen

Ziel: Benutzern und Managern die Möglichkeit geben, Zugriffsrechte effizient, sicher und in Übereinstimmung mit den Unternehmensrichtlinien zu entfernen, wobei die Nachvollziehbarkeit erhalten bleibt.

Schritt 1: Löschungsantrag einleiten

• Der Benutzer öffnet die Option „Zugriffsrechte entfernen“.
• Der Manager öffnet „Zugriffsrechte meines Untergebenen entfernen“ oder „Zugriffsrechte externer Benutzer entfernen“.
• Hinweis! Benutzer können die Löschung nur für sich selbst beantragen; Manager können die Löschung im Namen anderer beantragen.

Schritt 2: Zielnutzer auswählen

• Der Manager wählt den/die Untergebenen aus, dessen Zugriffsrechte entzogen werden sollen.
• Der Nutzer zielt automatisch auf sich selbst ab
• Wenn der Benutzer mehrere Arbeitsperioden hat, muss eine ausgewählt werden.
• Wenn es nur eine Arbeitsperiode gibt, ist diese vorausgewählt.

Schritt 3: Auswahl der zu entfernenden Zugriffsrechte

• Benutzer/Manager wählt die Zugriffe aus Kategorien zur Entfernung aus:
  • Alle Benutzer verfügen über aktive Zugriffsrechte – eine vollständige Liste der aktiven Berechtigungen anzeigen und auswählen
  • Geschäftsrollen – zusätzliche aktive Geschäftsrollen entfernen
• Für die Stapelentfernung können mehrere Zugriffsrechte aus derselben Liste ausgewählt werden.
• Das optionale Abholdatum kann angegeben werden.
• Hinweis! Nur Zugriffsrechte, die über Self-Service angefordert und gewährt wurden, können entfernt werden. Das bedeutet, dass Zugriffsrechte, die automatisch durch Automatisierung gewährt werden, nicht über Self-Service entfernt werden können.

Schritt 4: Begründung Pro und einreichen

• Benutzer/Manager fügt obligatorische Begründung hinzu
• Klicken Sie auf Absenden.

Schritt 5: Genehmigungsworkflow

• Wenn ein Benutzer die Entfernung beantragt, ist die Genehmigung des Managers erforderlich.
• Wenn ein Vorgesetzter die Entlassung eines Untergebenen beantragt, ist kein zusätzlicher Befürworter erforderlich.

Schritt 6: Pro

• Die IGA Lösung empfängt die Entfernungsanforderung und startet den Bereitstellungsprozess:
  • Automatische Bereitstellung (bevorzugt)
  • Manuelle Bereitstellung (falls keine Automatisierung implementiert ist)
  • Kombination: Zuerst automatisierte Entfernung, anschließend manuelle Bearbeitung der verbleibenden Gegenstände

Schritt 7: Prüfung und Berichterstattung

• Alle Entfernungsaktionen, Genehmigungen und Bereitstellungsaktivitäten werden protokolliert.
• Prüfprotokolle werden zur Einhaltung der Vorschriften gespeichert.

Schritt 8: Pro ist beendet.

• Ergebnis: Dieser Workflow gewährleistet, dass Zugriffsrechte effizient, sicher und konsistent entfernt werden, wodurch das Risiko übermäßig privilegierter Konten reduziert und die vollständige Nachverfolgbarkeit für Prüfungszwecke erhalten bleibt.