In der Vergangenheit übernahmen die traditionellen Identity-Management-Systeme (IdM) vor allem IT-lastige Administrationsaufgaben. Dabei stand der Ansatz des Single-Point-of-Administration im Fokus und überwiegend steuerten die Daten aus der Personalabteilung die Pflege von Identitäten und Berechtigungen. Die Rede war vom sogenannten HR-driven Provisioning. Gleichzeitig kam das Konzept der rollenbasierten Zugriffskontrolle (Role Based Access Control, RBAC) als effektive Kapselung von Berechtigungen auf.

Getrieben durch eine Vielzahl von regulatorischen beziehungsweise Compliance-Anforderungen ersetzt heute zunehmend die Business-orientierte Verwaltung von Berechtigungen das klassische IT-lastige Modell. Dieser Richtungswechsel des IdM lässt sich unter den Begriffen Access Governance und Access Intelligence zusammenfassen. Hierbei gilt es, mit geeigneten Maßnahmen, verstärkt die Fachabteilung in die Berechtigungsvergabe einzubinden und Business-verständliche Informationen in vielfältiger Form bereitzustellen.

In diesem veränderten Szenario stellt sich die Frage, welche Funktion die Rollenverwaltung einnehmen soll. Sind die Rollen hier nur noch ein technisches Relikt oder haben sie eine entscheidende Relevanz für das Business? Der folgende Beitrag beleuchtet diese Aspekte und beschreibt die Rollenverwaltung innerhalb von Access Governance und Intelligence.

Der Wandel zum Community-getriebenen IdM 2.0

Rollen sind seit langem bekannte und wichtige Kernkomponenten beim Identity Management. Im Rahmen von Access Governance und Intelligence verändert sich jedoch deren Aufgabe und Stellenwert. Die traditionelle Rollenverwaltung, das heißt die reine administrative Bündelung von Zugriffsrechten, ist nicht mehr ausreichend. Rollen müssen neue Business-orientierte Funktionen unterstützen und unterliegen beispielsweise einem Antrags- und Genehmigungsverfahren.

Aber gehen wir nochmals einen Schritt zurück und betrachten näher den Wandel im Bereich Identity Management. Wie alle IT-Themen ist auch der IdM-Markt in starker Bewegung. So sprechen wir heute von IdM 2.0, da der Community-getriebene Ansatz des Web 2.0, Inhalte zu erzeugen, sich auch auf das IdM-Umfeld übertragen lässt.

IdM 1.0 war IT-lastig, Administrator-orientiert und stellte den Single-Point-of-Administration, das HR-driven Provisioning sowie RBAC in den Vordergrund. Im Fokus standen nicht nur die Identitäten und deren Verwaltung, sondern vielmehr die Berechtigungen und deren Handhabung – besser ausgedrückt auch als Identity und Access Management (IAM) anstelle von IdM. Im folgenden Text verwenden wir jedoch weiterhin den Sammelbegriff IdM.

IdM 2.0 baut mit seinen Business-orientierten Funktionalitäten darauf auf. Bei den heutigen Systemen handelt es sich kurz gesagt um eine Business-Kollaboration-Plattform für die Zugriffsverwaltung. Die Systeme werden seitens der User verändert wahrgenommen und genutzt, beziehen die Fachabteilung in Entscheidungsprozesse ein und sind mit umfangreichen Self-Service-Funktionen ausgestattet, um nur einiges zu nennen. Letztlich ist der einzelne Anwender mehr denn je verantwortungsvoll in die sichere und regelkonforme Verwaltung der Zugriffsrechte mit einbezogen. Damit hat sich auch die Zielsetzung eines IdM-Systems gewandelt. Standen früher Faktoren wie Kostensenkung und effizientes User Management im Vordergrund, suchen Unternehmen heute nach einem System, mit dem sie zusätzlich Regularien und Gesetze sowie das Risikomanagement bewältigen.