Die Prozesse sind nicht ausgereift
Foto: Deron
Aber nicht nur bei fehlenden Prozessen missachten Administratoren notgedrungen die Richtlinien. Auch definierte Prozesse werden umgangen, nämlich dann, wenn sie nicht ausgereift sind. So haben viele Unternehmen eine IT-gestützte Kommunikation zwischen IT und fachlich Vorgesetzten eingerichtet, damit der IT einfach, schnell und nachvollziehbar mitgeteilt werden kann, welche Zugriffsrechte benötigt werden. Nicht selten haben dann Betriebswirte, Verkäufer oder Juristen, also Mitarbeiter mit durchschnittlichen IT-Kenntnissen, in schier endlosen Web-Katalogen Hunderte von Checkboxen abzuarbeiten, die sie höchstens zum Teil verstehen.
Die Folge: Entweder sie kreuzen alles an, damit die benötigten Berechtigungen auch sicher dabei sind, oder sie rufen den Administrator an und fragen, was sie ankreuzen müssen beziehungsweise ob er auch ohne das Web-Formular die benötigten Accounts und Berechtigungen anlegen kann. Damit hat sich der Nutzen des Web-Katalogs in Luft aufgelöst. Denn die digitale Abbildung eines Prozesses allein bringt wenig. Prozesse können erst dann gewinnbringend abgebildet werden und für die nötige Sicherheit sorgen, wenn auch wirklich alle Beteiligten mit ihnen umgehen können.
An den Produkten liegt es nicht
Unternehmen kämpfen heutzutage also mehr mit der Definition ihrer eigenen Prozesse als mit den Schwächen der IdM-Produkte. Kein Wunder, haben sich doch die Produkte in den letzten Jahren stark entwickelt: Wo sich früher jedes rudimentäre Meta-Directory IdM nannte, stehen heute gereifte Lösungen mit Workflows, Meta-Directory und Business-Role-Management zur Verfügung. Auch musste man sich früher mit Reports der aktuellen Berechtigungen zufriedengeben und Abweichungen zum Soll-Zustand selbst heraussuchen. Heute darf man dagegen ein Audit von seinem IdM-Produkt erwarten, das die Abweichungen zwischen Soll- und Ist-Zustand gezielt aufzeigt.
Aber trotz dieser Stärken sind Unternehmen mit ihren IdM-Produkten noch nicht wunschlos glücklich. Denn die vielen Funktionen eines IdM sind nicht integriert, und so müssen einzelne Module selbst verbunden, einzeln administriert und teilweise auch separat gekauft werden. Eine einheitliche Administrations- und Entwicklungsoberfläche für alle Funktionen des IdM wie Rollen, Audit, Workflow und Meta-Directory wäre eine echte Arbeitserleichterung.
Noch weiter in die Zukunft geblickt ist es eine Überlegung wert, auch Softwareverteilung, Lizenzverwaltung und Zutrittsberechtigungs-System mit dem IdM zu koppeln. Erste Unternehmen praktizieren dies bereits, sodass ihre Mitarbeiter automatisiert und maßgeschneidert Software auf ihren Arbeitsplatzrechner aufgespielt bekommen oder die Lizenz für den neuen Mitarbeiter nicht neu gekauft, sondern von einem ausgeschiedenen Kollegen übernommen wird. Für die meisten ist dies aber noch Zukunftsmusik.