einnehmen. Zwischen den Rollen können Hierarchien bestehen. Derzeit unterstützen am Markt befindliche Systeme noch nicht den vollen Umfang des Standards. Das Konzept der Benutzergruppierung über Rollen und damit der indirekten Rechtezuordnung ist jedoch in den meisten Tools vorhanden.

Auch beim Permission-Management bedarf es zunächst eines organisatorischen Konzepts, um dieses dann an die IT-Prozesse abzubilden. Zwar realisieren Firmen die Umsetzung der Berechtigungsverfahren in die eigene DV-Umgebung selbst. Doch inzwischen haben auch hierfür einige Softwarefirmen Produkte vorgestellt. Zu nennen wären hier beispielsweies der „Policy Director“ der IBM, „Site Minder“ von Netegrity sowie „Netpoint“ des Herstellers Oblix.

Für die konzeptionelle Festlegung der Permissions müssen Unternehmen nicht auf der grünen Wiese anfangen, sondern können auf Standards wie etwa Role Based Access Control zurückgreifen. Dieses Rahmenwerk lässt sich dann auf die unternehmensspezifischen Belange anpassen. Dabei sollten die Projektleiter beachten, das Konzept nachzuvollziehen zu gestalten und sich an bestehenden Organisationsstrukturen des Unternehmens und nicht etwa an den IT-Systemen zu orientieren. Ein Wildwuchs von Rollen oder die Abbildung von komplexen Hierarchiestufen macht die praktische Umsetzung fast unmöglich. Des Weiteren ist es ratsam, die Organisationsabteilungen, Prozessentwickler sowie die relevanten IT-Spezialisten (Architektur-, Sicherheits- und Plattformverantwortliche) an einen Tisch zu bringen.

Das Identity- und Permission-Management-Konzept lässt sich auch dann nicht immer vollständig in der IT-Umgebung umsetzen. So wird möglicherweise die gewünschte Hierarchietiefe im Rollensystem der Softwarelösungen nicht unterstützt. So unterstützt möglicherweise das Werkzeug zur Beantragung von Rollen die Hierarchietiefe des Rollensystems nicht vollständig. Unter Umständen lassen sich keine oder nur unzureichende Einschränkungen bezüglich der Rollenzuordnung realisieren. Die Erfahrung zeigt, dass klar strukturierte Konzepte in der Praxis oft durch Besonderheiten verwässern, beispielsweise dann, wenn Person mehrere Rollen innehat, die sich aus fachlicher Sicht wiedersprechen.