Life Cycle Management
Der Life Cycle zeigt die Schritte die nötig sind, um Entitäten über digitale Identitäten bis zur deren Löschung in ein IdMS zu integrieren und zu verwalten. Der Zyklus beginnt mit der Erstellung und Administration von digitalen Identitäten und deren Attributen in entsprechenden Datensätzen sowie deren Zuteilung in entsprechende Repositories. Die Zugriffsrechte der digitalen Identitäten werden durch eine Rollenverteilung eingeschränkt. Die Änderung bzw. Aktualisierung von Identitäts-bezogenen Daten und Credentials erfolgt im Rahmen der Provisionierung, der De- und Reprovisionierung und durch Synchronisierung aller Repositories mit dem jeweils führenden System (z.B. ein Metadirectory). Durch einen Self Service haben Benutzer mit einer im System hinterlegten digitalen Identität selbst die Möglichkeit, wenn auch eingeschränkt, z.B. ihre Daten zu aktualisieren und zusätzliche Rechte bzw. Rollen anzufordern. Der Life Cycle einer Entität endet mit der endgültigen Löschung einer digitalen Identität. Eine Reprovisionierung ist dann unmöglich.
Identity Administration
Der eigentliche Fixpunkt in einem Identity Management System ist die digitale Identität. Sie ist eine Ansammlung von Attributen einer Entität (z.B. einer Person oder einem IT-System), die diese von anderen Entitäten in einem bestimmten Kontext unterscheidbar macht. So ist jede Entität eindeutig identifizierbar und alle Datenanforderungen oder -übermittlungen können einer bestimmten Entität zugeordnet werden. Die Identity Administration erstellt und verwaltetet die digitalen Identitäten. Sie unterstützt deren Erzeugung und Bearbeitung und sorgt für eine Synchronisierung identitätsbezogener Daten.
Provisionierung
Die Provisionierung (auch Benutzer-Provisionierung, englisch: Provisioning bzw. User-Provisioning) muss die Automatisierung aller Prozesse bezüglich der Erstellung, Verwaltung, Deaktivierung sowie Löschung von digitalen Identitäten und deren Attributen bzw. Berechtigungen ermöglichen. Neben der Provisionierung müssen auch die Abläufe Deprovisionierung und Reprovisionierung von digitalen Identitäten und zugehörigen Daten möglich sein. Durch eine Deprovisionierung werden Berechtigungen einer digitalen Identität und ggf. die gesamte digitale Identität in allen betroffenen IT-Systemen automatisiert deaktiviert. Dies geschieht z.B. wenn ein Mitarbeiter das Projekt wechselt oder das Unternehmen verlässt. Der Mitarbeiter hat dann keinen Zugang mehr zu den Projekt- bzw. Organisationsressourcen und den Diensten des IdMS. Mit Reprovisionierung werden digitale Identitäten, ihnen zugehörige Daten und die jeweiligen Berechtigungen wieder reaktiviert, sofern sie aufgrund bestehender Vorschriften noch vorgehalten wurden.
Rollenmanagement
Ein Rollenmanagement wird zur Erstellung und Verwaltung von Rollen benötigt. Es regelt die Zuteilung von Rollen an eine digitale Identität (Benutzer oder IT-Systeme). Eine Rolle ist eine Art Baustein eines Zugriffsmodells und wird benötigt, um digitalen Identitäten Berechtigungen zu erteilen. Die unterschiedlichen Berechtigungen in einem Unternehmen müssen je nach Prozess in entsprechenden Rollen zusammengefasst werden. Einer digitalen Identität können mehrere Rollen für verschiedene Teilbereiche zugeordnet werden. Rollen differenzieren sich in Geschäftsrollen und technische Rollen. Eine Geschäftsrolle ist eine Zusammenfassung von technischen Rollen und könnte beispielsweise „Mitarbeiter“ oder „Projektleiter“ heißen. Technische Rollen wiederum sind spezifisch gerichtet, wie z.B. eine Portalrolle „Mitarbeiter Standard“. Die Einstellungen werden per Hand vom Administrator bewilligt und zugewiesen. Im Self Service hat der Benutzer eine stark eingeschränkte Möglichkeit Rollen zu verwalten, z.B. einen Antrag für eine neue Rolle zu erstellen. Mithilfe von Genehmigungsworkflows und Separation of Duties kann die Zuweisung an die unternehmensspezifischen Policies und Workflows angepasst werden. Ein Rollenmanagement unterstützt über das Verfahren des Role Mining die Gewinnung von Rollen für eine optimale und sichere Administration, falls bisher keine Rollen genutzt wurden oder falls zusätzliche bereits bestehende Verfahren das IdMS nutzen sollen.
Privileged User Management
Privilegierte Nutzer (englisch: privileged users), wie z.B. Administratoren von IT-Systemen, besitzen durch ihre weitreichenden Rechte, z.B. Daten und Benutzereigenschaften zu verwalten oder Berechtigungen zu vergeben, die potentielle Macht, um jederzeit und an jedem Ort Veränderungen an diesen Informationen durchführen zu können. Außerdem verfügen diese Nutzergruppen fast immer auch über das notwendige Fachwissen, um diese Macht anzuwenden, was oft auch unbemerkt passieren kann. Aus diesem Grund ist eine genaue Kontrolle der privilegierten Nutzer, verbunden mit zusätzlichen Sicherheitsmaßnahmen, notwendig. Privileged User Management (PUM) stellt sicher, dass Personen mit besonders weitreichenden/kritischen Rechten, z.B. Administratoren, nur die Rechte und Zugänge erhalten, die für die Erfüllung ihrer Aufgaben notwendig sind. Ein Privileged User Management ermöglicht die Datenschutz- und Richtlinien-konforme kontinuierliche Überwachung von Aktivitäten privilegierter Nutzer, integriert in das Monitoring und Reporting des IdMS. Dies dient der Risikominimierung und hat den Vorteil, dass durch automatisiert versandte Reports bei Verdacht auf kriminelle Handlungen zeitnah eingegriffen werden kann.
Delegierte Administration
Mit delegierter Administration werden in einem Identity Management System (IdMS) Rechte/Privilegien (im Idealfall auf Rollen basierend) nach Bedarf von einer digitalen Identität an eine bisher nicht privilegierte Identität weitergegeben. Dieser Prozess kann auch, gesteuert durch zuvor festgelegte und in einem Policy Repository bereitgestellte Richtlinien, automatisiert ablaufen. So werden Mitarbeitern, abhängig von der erwünschten Zuständigkeit, z.B. als stellvertretender Abteilungsleiter, entsprechende Rollen und Rechte zugeteilt. Die Zuteilung kann auch für einen bestimmten Zeitraum realisiert werden, z.B. bei Urlaub oder Erkrankung. Mit diesem automatisierbaren Prozess soll ein möglichst fortwährender Arbeitsbetrieb gewährleistet werden. Jegliche Weitergabe von Rechten wird zu jedem Zeitpunkt durch das IdMS protokolliert und ist somit vollständig nachvollziehbar.
Synchronisierung
Bei der Synchronisierung werden Daten jeglicher Art nach einer Veränderung automatisch an alle beteiligten IT-Systeme, z.B. Repositories bzw. Directory Services, weitergeleitet und abgeglichen. Dieser Vorgang ist z.B. notwendig, um Berechtigungsänderungen im Rahmen der Provisionierung in den betroffenen IT-Systemen durchzuführen oder Inkonsistenzen von Datenbeständen in unterschiedlichen Verzeichnissen zu vermeiden.
Self Service
Die Pflege von Benutzerdaten kann sich als sehr aufwändig herausstellen. Unterstützung erfahren die Verwalter und Administratoren durch einen kontrollierten User Self Service, bei dem Benutzer die eigenen Daten, im Rahmen der ihnen begrenzt zur Verfügung gestellten Möglichkeiten, selbst verwalten können. Die Funktionen des Self Service sind:
- Anmeldung an Diensten
- Änderung eigener Daten sowie Passwortbearbeitung
- Zurücksetzen vergessener Passwörter (z.B. anhand von vorher festgelegten Antworten auf definierte Fragen)
- Beantragung von Rollen für sich selbst
- Überprüfen des Status der eigenen Anträge
- Genehmigung sowie Delegation von Zugriffsrechten oder Teilen davon für die Benutzer- und Rollenverwaltung an andere Benutzer
Eine datenschutzkonforme Protokollierung aller Aktivitäten im Self Service stellt sicher, dass eine Nachvollziehbarkeit gewährleistet ist und jederzeit Prüfungen im Rahmen des Auditing durchgeführt werden können.
Credential Management
Ein Credential Management (deutsch: Management von Berechtigungsnachweisen) ist zuständig für die komplette Verwaltung aller Credentials einer Entität. Credentials sind Benutzernamen, Passwörter, Zertifikate, biometrische Merkmale, kryptografische Schlüssel und weitere Nachweise, die als Authentisierungsmerkmale dienen können. Diverse Kombinationen aus diesen Credentials ergeben wieder eigene Credentials, bspw. das Paar Benutzername+Passwort. Zusätzlich regelt ein Credential Management auch die Nutzung von Hilfsmitteln, die zum sicheren Umgang mit Credentials notwendig sind. Dies kann z.B. eine Smart Card sein, die als sicherer Container für Zertifikate dient, oder ein Security Token mit ähnlicher Funktionalität.