Best-Practice in der Rollenverwaltung

War RBAC mehr auf die Zugriffskontrolle in den Zielsystemen fokussiert, so spiegeln heutige Rollenmodelle in einem IdM-System eher eine Enterprise-Sicht wieder, die die zielsystemspezifischen Berechtigungsstrukturen versteckt. Anstelle von akademischen Rollenhierarchien hat sich die Aufteilung in Business- und IT-Rollen in der Praxis etabliert, beziehungsweise als adäquat erwiesen. Ziel ist es, komplexe Rollenhierarchien zu vermeiden, die auf Dauer nicht verwaltbar sind. IT-Rollen definieren dabei den technischen Bezug der zugewiesenen Berechtigungen, die Business-Rollen hingegen den funktionalen Aspekt und/oder die Position des Benutzers innerhalb der Organisation. Das Rollenmanagement schlägt somit die Brücke zwischen Business und IT.

Bei der Erstellung eines Rollenmodells übernimmt die IT in der Praxis leider immer noch die führende Position, da die Zuweisung der Rollen nebst Antragsverfahren größtenteils in deren Verantwortung liegt. Oftmals scheint es sogar so, als ob die Rollen in einem modernen, automatisierten IdM-System nur das Leben der IT erleichtern, nicht aber das der Fachabteilung. Es gilt, Wege zu finden, das Business stärker in den Role-Lifecycle einzubinden, um beispielsweise Genehmigungsprozeduren zu vereinfachen und mehr Transparenz zu schaffen. Letztlich ist die Business-Ebene bei der Berechtigungsvergabe mehr in die Verantwortung zu nehmen und zwar nicht nur bei der Rollenerstellung, sondern auch bei deren Zuweisung, Pflege und Re-Zertifizierung. Dies lässt sich mit dem Begriff Identity und Access Governance (IAG) beschreiben. IAG bezeichnet ein ’neues’ IdM, in dem die Zugriffsverwaltung grundsätzlich vom Management gesteuert und verantwortet werden kann und muss – Governance dabei ganz im Sinne von Ownership. Hier sind wir wieder beim IdM 2.0 als Business-Kollaboration-Plattform, die von den einzelnen Akteuren getragen wird. Ziel ist es, IT-spezifische Ressourcen in Business-verständliche Bezeichnungen beziehungsweise Inhalte zu übersetzen und eine Business-Perspektive auf die darunterliegende IT-zentrische IdM-Infrastruktur zu entwerfen.

Neben Access Governance ist auch das Thema Access Intelligence derzeit ein treibender Faktor im IdM-Markt. Da allgemein statt der Identitäten heute die Berechtigungen im Zentrum stehen, lassen wir im Folgenden den Begriff Identity entfallen.