Ohne neues Konzept und Analysen geht es nicht

Erfolgreiche IAM-Systemintegration

Thomas große Osterhues hat in den USA, Österreich und Deutschland Wirtschaftswissenschaften studiert und weist mehr als 15-Jahre Erfahrung im Product & Solution Management in den Bereichen Identity Access Management, Identity Governance, Compliance & Security auf. Der IT- & Kommunikationsexperte versteht es, Technologie aus unterschiedlichen Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen.
Angenommen, Sie müssten umziehen – würde Ihr neues Heim genauso aussehen wie Ihr jetziges Zuhause? Immer mehr IAM-Kunden drängt sich die Frage eines Systemwechsels auf.

Seit einigen Jahren sind diverse etablierte Lösungen, darunter BMCs Control-SA oder SUNs Identity Manager, aus unterschiedlichen Gründen nicht mehr am Markt präsent. Für Bestandskunden solcher Systeme zählt vorrangig, die eingestellte Lösung durch ein neues System abzulösen. Zahlreiche Anbieter versprechen hier eine reibungslose Migration von der installierten Altlösung auf ihre Plattform.

Nicht jeder Schlüssel passt in jedes Schloss. Datensätze aus bereits jahrelang bestehenden IAM-Systemen sollten vor der Übernahme in ein neues System auf ihre Aktualität geprüft werden.
Nicht jeder Schlüssel passt in jedes Schloss. Datensätze aus bereits jahrelang bestehenden IAM-Systemen sollten vor der Übernahme in ein neues System auf ihre Aktualität geprüft werden.
Foto: andrey_I - shutterstock.com

Häufig werben Unternehmen mit speziellen Tools, mit denen sich die aktuellen Datenkonfigurationen einfach und ohne großen Aufwand automatisch konvertieren und in die neue Umgebung übertragen lassen. Erfahrungsgemäß ist eine IAM-Systemmigration jedoch vom zeitlichen Rahmen mit dem Umzug in eine neue Wohnung vergleichbar. Um bei diesem Beispiel zu bleiben: Wäre es tatsächlich empfehlenswert, dass die Umzugsfirma die Möbel ohne vorherige Absprache und ohne Anweisungen im neuen Zuhause aufstellt - ausgehend vom Grundriss der alten Wohnung?

Auf Veranstaltungen wie der European Identity & Cloud Conference (EIC), dem Gartner Identity & Access Management Summit (IAM) in London sowie ähnlichen Konferenzen sprechen sich zahlreiche Experten dagegen aus, ein altes IAM-System auf Grundlage einer neuen Technologie schlicht 1:1 abzubilden.
Es ist davon auszugehen, dass das Altsystem - daher auch der Name - voraussichtlich vor zehn Jahren oder noch früher entwickelt wurde. Für IAM-Projekte dieser Art ist typisch, dass diesen eine funktionale Spezifikation zum damaligen Stand der Technik zu Grunde liegt.

Meist handelte es sich außerdem um das allererste IAM-System im Unternehmen, so dass vermutlich zum damaligen Zeitpunkt die IAM-Erfahrung im Unternehmen sehr begrenzt war. Berücksichtigt man diese Aspekte so wird deutlich, dass vor einer Migration unbedingt eine Analyse und darauf basierend eine Neugestaltung des IAM-Systems - wo nötig - stehen sollte. Denn in der Regel führt eine fundierte Analyse der unterschiedlichen IAM-Aspekte zu dem Ergebnis, dass es praktisch keinen Bereich gibt, der sich im Laufe der Jahre nicht verändert hat.

Datenmodell

Auf den ersten Blick sind die vielen Veränderungen seit der letzten (sprich ersten) IAM-Generation schwer auszumachen: Identitäten, Rollen, Gruppen und Systeme. Die Datenstruktur der bisherigen IAM-Lösung scheint noch korrekt zu sein, was den Anschein fördert, die vorhandene Datenbasis automatisch extrahieren und ins neue System übertragen zu können. Grundsätzlich ist dieser Ansatz der Migration nicht völlig falsch.
Allerdings sollte im Detail betrachtet werden, wie und in welchem Umfang Access Governance seine Spuren im Datenmodell hinterlassen hat.

Seit IAM auch verstärkt Einzug in die Abteilungsebene hält, sollte ein IAM-System diverse zusätzliche Informationen speichern und verarbeiten. Daher ist es umso wichtiger, die unterschiedlichen Identitätsarten sauber zu trennen: Mitarbeiter, Freischaffende, Kunden, technische Identitäten und so weiter. Zu der Zeit, als die erste IAM-Generation entwickelt wurde, gab es praktisch nur betriebsinterne Benutzer.

Heute ist das sogenannte IAM-Universum um Trends wie Cloud Computing oder IoT erweitert, so dass gänzlich neue Identitäten entstehen, die das alte Modell nicht berücksichtigt. Vor diesem Hintergrund sollten Unternehmen, die auf ein neues IAM-System aufrüsten möchten, genau prüfen, ob das gewählte System alle derzeit relevanten Identitätsarten abbilden und entsprechend ihrer individuellen Profile verarbeiten kann.
Darüber hinaus haben die Daten- und Reportingpfade der Unternehmensorganisation im letzten Jahrzehnt beständig an Bedeutung gewonnen.

Während sich die ersten IAM-Systeme noch darauf beschränkten, simple Organisationsstrukturen in Form eines Verzeichnisbaums zu verwalten, müssen moderne IAM-Systeme zwischenzeitlich in der Lage sein, zwischen verschiedenen Verantwortlichen je nach Anwendungsfall zu differenzieren.

Die Vergabe von Zugriffsrechten findet zudem immer mehr auf Projektebene statt und nicht nur, wie früher, rein auf Grundlage der organisatorischen Zugehörigkeit.

Aufgrund dieser veränderten Datenstruktur sollten Unternehmen, bei denen ein IAM-Systemwechsel ansteht, zunächst das eigene IAM-Konzept einer genauen Analyse unterziehen. Viele Anbieter verfügen über das technische Know-how, um die Migration des vorhandenen Datenbestands in eine neue Systemumgebung automatisch oder teilautomatisiert durchzuführen. Wenn Unternehmen vor der Migration ihre Anforderungen aber nicht neu bewerten und prüfen, erweist sich die neue IAM-Lösung allzu leicht als ebenso sperrig und eingeschränkt wie das Altsystem, wenn auch auf einem technologisch modernem Fundament.

Daher müssen Unternehmen sich darüber im Klaren sein, dass ein Migrationsprojekt eine gründliche Neubetrachtung des Ist- und Sollstands erfordert. Positiv betrachtet stellt dies eine gute Gelegenheit dar, sinnvolle und nötige Strukturen einzuführen. Hierzu zählen klassische Fragen wie "von wo werden die (neuen) Daten bezogen" oder "wie ist der Prozess/Reportingpfad in der Organisation für einen konkreten Ablauf gestaltet"? Unter Berücksichtigung eines derart erweiterten Datenmodells verschwinden die Grenzen zwischen einem IAM-Upgrade und der kompletten Neueinführung eines IAM-Systems.