Die Identity Governance & Administration Suite ORG unterstützt Prozesse für die angemessene regel- und rollenbasierte (ABAC & RBAC) IT-Berechtigungsvergabe und die regelmäßige Rezertifzie-rung von Berechtigungen. Damit wird die Einhaltung von gesetzlichen Anforderungen an Compliance und Datenschutz sowie die Einhaltung sonstiger Richtlinien gewährleistet.

Die Anforderungen von Cloud-Umgebungen, dem Internet der Dinge, Mobile-IT u.v.m. werden erfüllt.

Führenden Analysten zufolge werden zukünftig viele Unternehmen die attributbasierte Berechtigungsprüfung zum feingranularen Schutz kritischer Ressourcen einsetzen. Das zurzeit hauptsächlich verwen-dete rollenbasierte RBAC muss dann mit dem attributbasierten ABAC ergänzt werden. ORG unterstützt sowohl die rollen- als auch die attri-butbasierte Berechtigungsprüfung.

Alle gängigen Zielspeicher können mit ORG automatisch provisioniert bzw. deprovisioniert werden. Wegen der RBAC- und ABAC-Fähigkeit können Berechtigungsregeln unternehmens weit durchgesetzt werden.

Die Plattformunabhängigkeit von ORG ermöglicht die mühelose Integration in ein existierendes heterogenes Umfeld. Der Einsatz von ORG verringert den Administrationsaufwand und die Fehlerquote.

Die exzellente Usability ermöglicht den reibungslosen Beantragungs- und Genehmigungsprozess und gibt sowohl fachlichen als auch technischen Administratoren den nötigen Überblick. Die Rezertifizierungsfunktionen ermöglichen eine regelmäßige, bedarfsgerechte Überprüfung.

ORG ist „made in Germany”. Die FSP ist berechtigt das TeleTrusT- Qualitätszeichen „IT Security made in Germany” zu verwenden. Als TeleTrusT-Regionalstelle Köln engagiert sich die FSP für die IT-Sicherheit und ist bei allen Entwicklungen frühzeitig mit dabei.

Vergabe und Kontrolle von IT-Berechtigungen

DAS BERECHTIGUNGSMANAGEMENT

NO

TAB LE N

OTABLE

GARTNER nennt FSP im aktuellen Magic Quadrant for Identity Governance and Administration (IGA) einen „namhaften Anbieter”.**Gartner, Magic Quadrant for Identity Governance and Administration (IGA), Felix Gaehtgens, Brian Iverson, Perry Carpenter, 26 February 2016. Disclaimer: Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Systemübergreifende Provisionierung

Access Management

Access Management

BEANTRAGUNGSPROZESS

Berechtigungen

IT-SECURITY

LEAN-IAM

LEAN-IAM

LEAN-IAM

KONTROLLE

ACCESS GOVERNANCE

RBAC

LEAN-IAM

IT-SECURITY

COMPLIANCE

Identity Management

Identity Management

Identity Management

BERECHTIGUNGSMANAGEMENT

BERECHTIGUNGSMANAGEMENT

systemübergreifend

richtlinienbasiert

systemübergreifend

Schnittstellen zu allen gängigen Systemen

plattformunabhängig

RBAC

Compliance

RBACExternalized Access Management

Externalized Access Management

rollenbasiert

revisionssicher

revisionssicher

attributbasiert

regelbasiert

feingranulareRezertifizierung

plattformunabhängig

ABAC

Access Governance

attributbasiert

ABACattributbasiertrichtlinienbasiertfeingranular

kontextbasiert

regelbasiert

Funktionsumfang von ORGDie Identity Governance & Administration (IGA) Suite ORG unter-stützt Prozesse für die angemessene rollen- und richtlinienbasierte IT-Berechtigungsvergabe und deren regelmäßige Rezertifizierung.

DAS BERECHTIGUNGSMANAGEMENT

„Ein besonderer Vorteil von ORG

ist die Kombination von rollen-

und richtlinienbasierter Zugriffs-

steuerung in einer Lösung.”

ORG Admin

Flexible Administration

Initialbefüllung aus Human Resources-, Software Asset Management- und IT-Asset Management-Systemen mit

Device- und Software-Informationen Abteilungs-, Stellen - und Rollen-

informationen

Abbildung feingranularer Berechtigungs-regeln (ABAC / Externalised Access Management)

Definition Beantragungsprozess Wer darf was für wen beantragen Wer muss was genehmigen

Definition von Rollenkonflikten (Segregation of Duties)

Revisionssicherheit durch Historisierung sämtlicher Administrationsvorgänge (Neu, Änderung, Löschung)

Mandantenfähigkeit

In einer komplexen Welt reichen Rollen für die Berechtigungsvergabe allein nicht aus. Attri-bute der Identität, der Umgebung und der Aktion auf eine mehr oder minder zu schützende Ressource sind wichtig. Die Bildung von Regelwerken für die Berechtigungsvergabe ist zwingend notwendig. ORG kombiniert RBAC und ABAC und ermöglicht damit kontextab-hängige Berechtigungsentscheidungen zur Laufzeit.

ORG Ticket

Teilautomatische Zuweisung der Berechtigungen (Provisioning)

Wenn die automatische Provisionierung nicht möglich oder aus anderen Gründen nicht sinnvoll ist, dann:

E-Mails bzw. Tickets an Berechtigungs-administratoren mit Rückmeldung

ORG Connect

Automatische Zuweisung der Berechtigungen (Provisioning) an

Rollenbasierte (RBAC) Zielsysteme, z.B. AD, RACF, SAP, Exchange, Sharepoint, LDAP

Regel-/richtlinienbasierte Zielsysteme (ABAC)

Cloud / Externe SaaS Dienst leister

ORG Report

Flexible Auswertungen, z.B.

welche Mitarbeiter bzw. Dinge haben eine bestimmte Rolle, Stelle, …

Zeitreisemöglichkeiten, z.B. Vergleich von Berechtigungen über Zeiträume hinweg

welche Detailrechte verbergen sich hinter User X

nach User-ID, Stelle, Kostenstelle, Zeitpunkt, …

Revisionssicherer und regelbasierter Beantragungs- und Genehmigungs-workflow

Eintritt (Rechte können zum Eintritts-datum automatisch geschaltet werden)

bei Stellen-/Abteilungswechsel (automatischer Verlust der bisherigen und Gewinn der neuen Rechte)

Austritt (automatischer Verlust aller Rechte)

Zeitliche Befristung von Rechten (z.B. Urlaubsvertretung)

„Wiederbelebung“ eines abgelaufenen oder gelöschten Rechts

Bearbeitungsstatusrückmeldung

Regelmäßige Kontrolle der Berechtigungen (Rezertifizierung)

Rezertifizierung auch für Fachabteilungen verständlich und durchführbar

Rezertifizierungsreports für Applikations administratoren, Auditoren und Wirtschaftsprüfer

ORG Workflow

Martin Kuppinger,Principal AnalystKuppingerCole

KuppingerCole Executive View FSP Identity Governance & Administration Suite ORG Report Nr.: 71269 Seite 1 von 6

FSP Identity Governance & Administration Suite ORG Die FSP Identity Governance & Administration Suite ist eine Lösung zur Verwaltung des Identitäts- und Zugriffslebenszyklus und bedient somit den Markt für Identity Provisioning und Access Governance. Ein besonderer Vorteil des Produkts ist die Kombination von rollenbasierter und richtlinienbasierter Zugriffssteuerung in einer einzigen Lösung.

von Martin Kuppinger mk@kuppingercole.com April 2015

Content

1 Übersicht...................................................................................................................................... 2

2 Produktbeschreibung ................................................................................................................... 2

3 Stärken und Herausforderungen ................................................................................................... 4

4 Copyright ..................................................................................................................................... 5

Verwandte Quellen

#71,134 Advisory Note ABAC done right

#71,185 Advisory Note Redefining Access Governance

#70,839 Advisory Note Identity & Access Management/Governance Blueprint

KuppingerCole Report

EXECUTIVE VIEW von Martin Kuppinger | April 2015

KuppingerCole Executive View FSP Identity Governance & Administration Suite ORG Report Nr.: 71269 Seite 5 von 6

jedem Fall berücksichtigt werden, da das Produkt einen breiteren Ansatz verfolgt als viele andere moderne Lösungen.

Stärken Herausforderungen

● Gute Basisfunktionen sowohl für Identity Provisioning als auch für Access Governance

● Unterstützung für komplexe Umgebungen, wie z. B. SAP und RACF, umfassende Abstimmungsfunktionen

● Gebrauchsfertige Prozesse zur Unterstützung des gesamten Identitäts- und Zugriffslebenszyklus

● Flexible Integration mit vorhandenen Workflows und eigener Workflow-Engine

● Integrierte Unterstützung für adaptives, richtlinienbasiertes Access Management (ABAC) mit großer Auswahl an APIs

● Integrierte Reporting- und Audit-Funktionen, plus Partnerschaft mit Brainwave für fortgeschrittene Analyseanforderungen

● Volle Unterstützung für SoD-Management

● Benutzeroberfläche sollte modernisiert werden

● Der Standardansatz ist möglicherweise zu komplex für manche Unternehmen, aber aufgrund seiner Strenge erfüllt er die Anforderungen von stark regulierten Unternehmen.

● Kleines Partnernetzwerk, noch keine Präsenz außerhalb Deutschlands oder der Schweiz

4 Copyright

© 2015 Kuppinger Cole Ltd. All rights reserved. Reproduction and distribution of this publication in any form is forbidden unless prior written permission. All conclusions, recommendations and predictions in this document represent KuppingerCole´s initial view. Through gathering more information and performing deep analysis, positions presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research documents may discuss legal issues related to information security and technology, KuppingerCole do not provide any legal services or advice and its publications shall not be used as such. KuppingerCole shall have no liability for errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to change without notice. All product and company names are trademarks™ or registered® trademarks of their respective holders. Use of them does not imply any affiliation with or endorsement by them.

Kuppinger Cole Ltd. Sonnenberger Strasse 16 65193 Wiesbaden | Germany

Tel. +49 (211) 23 70 77 – 0 Fax +49 (211) 23 70 77 – 11 www.kuppingercole.com

KuppingerCole supports IT professionals with outstanding expertise in defining IT strategies and in relevant decision making processes. As a leading analyst company KuppingerCole provides first-hand vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions essential to your business.

KuppingerCole, founded in 2004, is a leading Europe-based analyst company for identity focused information security, both in classical and in cloud environments. KuppingerCole stands for expertise, thought leadership, and a vendor-neutral view on these information security market segments, covering all relevant aspects like Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), IT Risk Management, Authentication and Authorization, Single Sign-On, Federation, User Centric Identity Management, eID cards, Cloud Security and Management, and Virtualization.

For further information, please contact clients@kuppingercole.com

The Future of Information Security – Today

Eigen-entwicklungen

Standard-anwendungen

RBAC

ORG Laufzeit DBs

ORG RuntimE

ORG-APi(Java, PL/1, C, C++, COBOL)

ABAC

PRODuktivumGEBunGADmin umGEBunG

LDAP AD

SAP RACF

mS Exchange

mS Share- point

sonstige Systeme

DAS BERECHTIGUNGSMANAGEMENT

Die durchdachte Softwarearchitektur ist das Fundament von ORG.

Weitere Informationen: FSP GmbH Software & ConsultingAlbin-Köbis-Straße 8, 51147 Köln

+49 2203 37100 00, info@fsp-gmbh.com www.fsp-org.com

Die FSP ist dieTeleTrusT Regionalstelle Köln

2. Revisionssicherer Beantragungs-prozess1. Ableitung

Berechtigungs-modell

3. TeilautomatischeZuweisung derBerechtigungen

4. Automatische Zuweisung der Berechtigungen

5. Regelmäßiges Auditieren und Rezertifi zieren

MaRisk AT 7.2:Vergabe benötigter IT-Berechtigungen

MaRisk AT 4.3.1:Vermeidung von Interessens konfl ikten (SoD)

BSI Grundschutz M 2.31:Dokumentation zugelasse-ner Benutzer und Rechte

...

• Analyse von Berechtigungs-struktur und Anwendungen (rollen- und regelbasiert)

• Zuordnung des fachlichen zum technischen Berechtigungs-modell

• Konsolidierung interner und externer Regeln (z.B. Gesetze, Wirtschaftsprüfervorgaben)

BSI Grundschutz M 2.8: Vergabe von Rechten

MaRisk AT 7.2: Prozesse für angemessene

IT-Berechtigungsvergabe (Vieraugenprinzip)

User-Help-Desk- und Selfservice-Unterstützung

...

• Beantragungsablauf revisionssicherz.B. Wer darf was beantragen? z.B. Wer darf genehmigen?

• Revisionssichere Speicherung des Beantragungsprozesses und des Ergebnisses

COBIT DS 5.3:Benutzerzugriff srechte regelkonform

Art. 55 DSGVO:Zugriff sberechtigung nur für autorisierte Personen

Fehlerreduktion durch Teilautomatisierung

...

• via Tickets oder E-Mail an die Administratoren

• Administrator muss rückmelden

COBIT DS 5.3: Benutzerzugriff srechte regelkonform

Art. 55 DSGVO:Zugriff sberechtigung nur für autorisierte Personen

Fehlereliminierung durch vollautomatisierte Berechtigungszuweisung

...

• Standardanwendungen und Eigenentwicklungen werden via Konnektoren ange-schlossen (RBAC / ABAC)

• Unterstützt alle technischen Plattformen inkl. der Cloud.

MaRisk AT 4.3.1: regelmäßige Überprüfung von IT-Berechtigungen, sowie die Vermeidung von Interessens konfl ikten (SoD)

COBIT DS 5.4:Regelmäßige Überprüfung aller IT-Berechtigungen

IGA-Lifecycle (Identity Governance and Administration)

...

• Reports• Rezertifi zierungsprozess

ORG Admin

ORG Report

ORG Ticket

ORG Connect

ORG Workfl ow

Schritt für Schritt zum ErfolgDAS BERECHTIGUNGSMANAGEMENT

Identity Governance & Administration

► REQUESTDie Beantragung (Request) von neuen, zu ändernden und zu entziehenden Benutzer-rechten wird häufig von einem HR-System angestoßen. Alternativ kann die Beantra-gung über das ORG Workflow-Modul erfol-gen – in einem konfigurierbaren Rahmen auch als Self-Service. Bereits im Unterneh-men genutzte Workflow-Systeme können für den Beantragungsprozess via Schnitt-stellen angebunden und verwendet werden.

► POLICYCHECK / APPROVALIm Rahmen des Beantragungs prozesses wird sichergestellt, dass Verantwortliche beantragte Berechtigungen prüfen und frei-geben können. Das ORG Workflow-Modul organisiert die vollständigen Beantragungs-, Prüfungs- und Freigabeprozesse.

► ADMINISTRATIONNach abgeschlossenem Freigabe prozess, werden die beantragten Rechte in das zentrale Rechtesystem ORG automatisiert eingepflegt. In der ORG Administrationsda-tenbank liegen die attribut- und rollenbasier-ten Rechteinformationen, die im nächsten Schritt provisioniert, sprich verteilt werden.

► PROVISIONINGProvisioning ist die automatisierte Verteilung von Benutzer konteninformationen und Be-rechtigungen in alle Zielsysteme, egal auf welcher technischen Plattform sie laufen. Je nach Zielumgebung werden entweder fein-granulare attributbasierte Berechtigungs-informationen oder, bei rollenbasierten Zielspeichern, Benutzer- und Rolleninforma-tionen via Konnektortechnologie transferiert.

► AUDIT / REPORTINGRegelmäßiges Auditing der Berech-tigungs speicher des Unternehmens er-möglicht es, operative Risiken im Zusam-menhang mit Benutzerberechtigungen zu ermitteln.

► COMPLIANCE / RECERTIFICATIONDie effiziente Rezertifizierung von Zugriffs-rechten ermöglicht es, die Zugriffsrechte aller Benutzer zu überprüfen und auf Un-stimmigkeiten und Veränderungen zeitnah zu reagieren.

Regelgesteuerte Rezertifizierungskampa-gnen auf Basis von Organisationen, Auf-gaben, Inhaber oder Risikobewertungen.

Möglichkeit zur Online-Fortschrittskontrol-le des Rezertifizierungsprozesses. (automatischer Verlust aller Rechte)

Automatische Eskalationsverfahren bei fehlenden Rezertifizierungen.

Auditierbare Kampagnen: vollständige Ereignisprotokollierung und Archivierung.

Die Vergabe und Kontrolle von IT-Berechtigungen wird von führenden Analystenhäusern als Identity Governance and Administration (IGA) bezeichnet. Das IGA-Modell definiert alle Punkte, die ein solides zukunftsfähiges Berechtigungsmanagement-System liefern muss. Mit Hilfe der FSP-Software können Sie die Anforderungen mühelos erfüllen.

IGA-LIFECYCLE

IGA

Policy check / Approval

Compliance / Recertification

Provision ing

Request

Adminis trationAudit /

Reporting