European Identity Conference 2010 Identity Management Projekte erfolgreich umsetzen Dr. Horst Walther, Senior Analyst bei Kuppinger, Cole + Partner 2010-05-05

Embed Size (px)

Text of European Identity Conference 2010 Identity Management Projekte erfolgreich umsetzen Dr. Horst...

Die Rolle von Identity Management und eProvisioning fr On-Demand-Strategien der IT

European Identity Conference 2010Identity Management Projekte erfolgreich umsetzen

Dr. Horst Walther, Senior Analyst bei Kuppinger, Cole + Partner

2010-05-05 10:30-11:30

Change Projekte mit einigen Besonderheitenspezifische Herausforderungen & flankierende Manahmen.QuerschnittscharakterIAM-Projekte berhren eine Vielzahl von UnternehmensfunktionenProzessreifekeine Inseln der Ordnung in einem Meer an ChaosProjektzuschnittIm Implementierungsprojekt nicht das Unternehmen organisieren.Verfgbarkeit von FachspezialistenPersonen mit business domain Wissen sind rare WesenFertigungstiefeNicht immer das Rad neu erfindenTechnische RisikenTechnik ist oft mehr Marketing als RealittVerantwortungWer sollte im Unternehmen fr Identity Management zustndig sein?Einfhrung Tiefe vs. BreiteWelches Vorgehen verspricht den hchsten Nutzen?Principle of least Berechtigung (PoLP)risikobasierte Entscheidungen sind erforderlichWo sich der Einsatz von Rollen lohntVon auen nach innen von untern nach oben!

QuerschnittscharakterIAM-Projekte berhren eine Vielzahl von UnternehmensfunktionenKomplexittsfaktorenIdentity-Management Prozesse sind typischerweise bereichsbergreifend.Es sind viele gleichberechtigte Stakeholder in ein Projekt involviert.3 bis 5 mal hhere Kommunikationskomplexitt zu normalen IT-Projekten.Typischer Change Management Prozess

ManahmenProjektmanagement strken!Programm statt ProjektKommunikationszuschlag einplanen!Auf Macht-Sponsor bestehen!

Prozessreifekeine Inseln der Ordnung in einem Meer an ChaosKomplexittsfaktorenJe hher die Reife der Management-Prozesse (z.B. nach CMMi) umso leichter fllt die Einfhrung von IAM- Prozessen, -Regeln, -Rollen, -Policies.in einem unreifen Prozess-Umfeld sind keine reifen IAM-Prozesse implementierbar.Die top-down-Definition von Rollen bentigt Prozessdefinitionen.

ManahmenNur IAM-Vorhaben umsetzen, die der Prozessreife der Umgebung angepasst sind.Auch einmal nein sagen!

ProjektzuschnittIm Implementierungsprojekt nicht das Unternehmen organisieren.

KomplexittsfaktorenImplementierungsprojekte sind berfordert, wenn sie die organisatorischen Voraussetzungen erst schaffen mssenProzess- und Rollen-Definitionen erfordern eigene Definitionsprojekte vor der oder parallel zur Implementierung.

ManahmenFr die Prozess- und Rollen- Definition eigene Projekte vor der oder parallel zur Implementierung aufsetzen.Verfgbarkeit von FachspezialistenPersonen mit business domain Wissen sind rare WesenKomplexittsfaktorenVerfgbarkeit von Fachpersonen mit Domnen-Wissen ist oft der Engpass-Faktor bei Rollen- und Prozess-Definitionen.Sie werden in der Anforderungsdefinition und der QS bentigt.Wartezeiten (auf Spezialisten) sind Aufwandstreiber.In Projekten neigen sie zum Verschwinden.

ManahmenDie Projektverantwortung in die Fachabteilung legen.Projekte ggf. in fachliche und Implementierungsprojekte teilen.Nicht zu viel auf einmal!

FertigungstiefeNicht immer das Rad neu erfinden

KomplexittsfaktorenNur ein Teil der IAM-Prozesse ist wirklich unternehmens-spezifisch.Die bernahme von Prozessen und / oder Rollen aus generischen Modellen kann Projekte beschleunigen. Immer wieder mit einem weien Blatt Papier zu beginnen berfordert die Projekte.

ManahmenIntegratoren und Berater nach konsolidierten Erfahrungs-modellen fragen. An Standardisierungsinitiativen teilnehmen.Geschftskomplexitt reduzieren

Technische RisikenTechnik ist oft mehr Marketing als RealittKomplexittsfaktorenIAM-SW-Suiten sind komplex und schwer zu handhaben.Ohne Implementierungserfahrung in exakt der geforderten Umgebung sind Projektrisiken nicht kalkulierbar.Hinter harmlosen Versions-sprngen stecken oft komplette Neuentwicklungen.Die Matrix der vom Hersteller untersttzten Komponenten vs. Version ist oft dnn besetzt.Ersatz von Infrastruktur-Komponenten fhrt oft zu hohem Aufwand.ManahmenReferenzinstallationen prfenAusgewhlte Software immer erst im Pilotbetrieb testen.Integratoren mit echter Produkterfahrung whlen.

Falsche ZustndigkeitenUnternehmensorganisation braucht Business OwnerKomplexittsfaktorenIdentity Management ist eine fachliche Aufgabe.Identity Management ist pure Unternehmensorganisation.HR knnte sich dem annehmen will es aber meistens nicht.Die IT kann es umsetzen hat aber nicht das Organisationsmandat.Dem Fachbereich fehlen methodisches und technisches Wissen.

ManahmenDie Verantwortung unternehmensbergreifend definieren.Eine interdisziplinr arbeitende neue Funktion schaffen.

VerantwortungWer sollte im Unternehmen fr Identity Management zustndig sein?

HRhat eine natrliche Affinitt zu PersonenRelativ businessfernZeitverhalten nicht gerade real time.BusinessVerantwortung und Aufgaben decken sich.Nicht Unternehmens-bergreifendSpezialwissen fehlt.neue FunktionNoch ohne BeispielMuss fr Identitten, Rollen & Prozesse zustndig seinBraucht organisatorisches und technisches WissenBraucht GestaltungsmandatChance fr ein mageschneidertes DesignITTechnisches Umsetzungswissen ist vorhandenMandat fr Unter-nehmensgestaltung fehlt.Organisation ist nicht Technik.

Einfhrung Tiefe vs. BreiteWelches Vorgehen verspricht den hchsten Nutzen?Durchstich in der Tiefe wenn ...Einige wenige Systeme gut angebundenRechtesituation gut bekanntbidirektionale Anbindung technisch vorhandenWichtige Massensysteme: WindowsExchangeLotus NOTESSystemneueinfhrungEvidenzbildung in der Breite wenn ...Eine zentrale Benutzerverwaltung aufgebaut werden sollCompliance- und Sicherheits- Erwgungen im Vordergrund stehen.Viele wichtige und wenig bekannte Altsysteme angebunden werden sollen.In gewachsenen Systemlandschaften lassen sich nicht alle Systeme in einem Schritt einbinden.

1125.01.2016Zentral vs. LokalIDs & Rollen haben zentralen, Berechtigungen lokalen Charakter.

Source: Ferraiolo, Sandhu, Gavrila: A Proposed Standard for Role-Based Access Control, 2000. lokalzentralIdentitten werden Rollen zugewiesenRollen knnen hierarchisch angeordnet sein.Oft haben bergeordnete Rollen alle Rechte untergeordneter Rollen Berechtigungen sind Operationen auf Objekte.Berechtigungen knnen additiv oder subtraktiv zugewiesen werden.Rollen knnen temporr pro Session gelten.Principle of least Privilege (PoLP)risikobasierte Entscheidungen sind erforderlichEinem Benutzer sollte nicht mehr Ressourcen zugriff gewhrt werden, als er zur Erfllung seiner Aufgaben bentigt.Die Leitlinie fr die Erstellung von ZugriffsrichtlinienIn der Praxis ist sie jedoch nur schwer zu verwirklichen.Erfordert die Zuteilung sehr feinkrniger Zugriffsrechte.Berechtigungen sind volatil sie ndern sich im Laufe der Zeit.Die folge ist ein hoher Wartungsaufwand.Die zugrunde liegende Fachlichkeit ist of nicht ausreichend definiert.Das principle of least privilege ist nur fr Hochrisiko-Zugriffe erforderlichFr geringere Risiko Niveaus ist eine transparente Zurechenbarkeit ausreichend.Zugriffsrichtlinie verffentlichenAlle Ressourcenzugriffe loggenLog-Dateien regelmig auf Aufflligkeiten prfenBei Aufflligkeiten unmittelbar handeln.Prinzip: PoLP fr hohe Zurechenbarkeit fr mittlere und geringe Risiken.high risklow riskPOLPZurechenbarkeitmedium riskWo sich der Einsatz von Rollen lohntOptimale Ergebnisse bei einer hohen Zahl von Jobs niedriger Komplexitthufig einfachOptimale EffizienzDafr wurden Rollen erfunden.Hier starten!hufig komplexLohnend aber riskantBei Erfolg hier fort fahren.selten komplex Nur fr hoch sensitive JobsNur bei guten Grnden fr ein Rollenengineering.selten einfachDirekte RechtevergabeFr einfache Flle lohnt sich kein Rollenengineering.Organisatorische KomplexittHufigkeit des Auftretensniedrighochniedrighochnur fr sehrsensitiveAufgabenoptimaleEffizienzdirekteRechte-Vergabelohnendaber riskant1425.01.2016Frequently occurring business functions with low or medium complexity obviously promise best result to effort ratios. Those functions are most commonly found at the lower end of the traditional enterprise pyramid, where operational functions are located. Here is clearly a good starting point fr role engineering. The nearer the role engineer comes to the headquarters und the more he moves up the corporate hierarchy the more difficult his task becomes. The portfolio diagram may serve as a guideline while looking fr a good starting point fr role engineering.

Questions - comments suggestions?

1525.01.2016

Caution AppendixHere the notorious back-up-slides follow ...1625.01.2016DefinitionIdentity- & Access Management Was ist das?Identity Management (IdM) ist die ganzheitliche Behundlung digitaler Identitten.Identity & Access Management (IAM) schliet auch die Verwaltung von Zugriffsrechten ein.Die Aufgaben des IAM sind nicht neu sie sind seit Anbeginn mit den betrieblichen Ablufen fest verbunden.Neu ist die bergreifende Betrachtung Der einzelnen Disziplinen und ber das gesamte Unternehmen hinwegIAM ist eine Infrastrukturaufgabe mit Einer fachlich organisatorischen KomponenteEiner technischen Komponente undDafr gibt es im klassischen Unternehmens-aufbau keine definierte Ownership

Identity Managementhat ein fachliches und ein technisches Gesicht.Identity Management (IdM) ist die ganzheitliche Behandlung digitaler Identitten.Identity & Access Management (IAM) schliet auch die Verwaltung von Zugriffsrechten ein.Die Aufgaben des IAM sind nicht neu sie sind seit Anbeginn mit den betrieblichen Ablufen fest verbunden.Neu ist die bergreifende Betrachtung Der einzelnen Disziplinen und ber das gesamte Unternehmen hinwegIAM ist eine Infrastrukturaufgabe mit zu etwa gleichen Teilen Einer fachlich organisatorischen KomponenteEiner technischen Komponente undDafr gibt es im klassischen Unternehmens-aufbau keine definierte Ownership

IAM ist eine Infrastrukturaufgabe mit einer fachlich organisatorischen Komponenteeiner technischen Ko