Hop-On- / Hop-Offboarding – schnell, effizient und sicher

Autor/Redakteur: Thomas Schneider, Vertriebsleitung – DACH & EMEA South bei Ping Identity/gg

Mitarbeiter kommen und gehen, wechseln die Abteilung, werden befördert, heiraten oder gehen in Elternzeit – in größeren Unternehmen wird die Verwaltung von Benutzerkonten und Zugriffsberechtigungen schnell zur Mammutaufgabe. Oder sogar zum Sicherheitsrisiko, wenn die IT-Verantwortlichen nicht rechtzeitig über den Austritt von Mitarbeitern informiert werden. Zudem kostet die manuelle Benutzer- und Kontenbereitstellung kostbare Zeit sowie IT-Manpower und ist noch dazu fehleranfällig. Ein automatisiertes Provisioning und Deprovisioning stellt hingegen sicher, dass während des gesamten Mitarbeiter-Lifecycles immer die richtigen Leute – und zwar nur die – Zugriff auf die richtigen Anwendungen, Dateien und Services haben. Gleichzeitig reduziert es die Reibungsverluste für Systemadministratoren.

Bild: Ping Identity

Automatisiertes Provisioning ist vor allem dann nützlich, wenn Informationen in einer Identitätsquelle, zum Beispiel einer HR-Mitarbeiterdatenbank, hinzugefügt oder geändert werden müssen und diese Anpassungen in mehreren anderen Anwendungen synchronisiert werden sollen. Werden Mitarbeiter eingestellt, befördert oder versetzt, stellt eine automatisierte Bereitstellung sicher, dass die Zugriffsrechte der Benutzer in allen Systemen des Unternehmens immer auf dem neuesten Stand sind – und das mit minimalem Arbeitsaufwand von Seiten der IT-Abteilung.

Automatisiertes Deprovisioning kommt in der Regel zum Einsatz, wenn ein Mitarbeiter das Unternehmen verlässt. Es deaktiviert, löscht oder ändert Konten auf anderen Servern, wie zum Beispiel Active Directory, und gibt so den Speicherplatz, die Lizenzen und die physische Hardware eines Unternehmens für neue Mitarbeiter frei. Deprovisioning ist dabei höchst sicherheitsrelevant, da Personen, die nicht mehr mit dem Betrieb verbunden sind, nicht länger Zugang zu internen Daten oder Ressourcen haben.

Vorteile einer automatisierten Benutzer- und Kontenbereitstellung

  • Effizientere Sicherheitsverwaltung, weniger Arbeitsaufwand für Administratoren: Änderungen auf dem Server werden innerhalb von Sekunden ganz ohne menschliches Zutun automatisch mit den Anwendungen synchronisiert, was den Arbeitsablauf zwischen Personal- und IT-Abteilung vereinfacht.
  • Zufriedenere Mitarbeiter: Benutzer haben nahtlosen Zugriff auf alles, was sie für ihre Arbeit benötigen, ohne dass sie Administratoren fragen oder auf Genehmigungen warten müssen.
  • Effiziente Nutzung von Ressourcen: Beim Just-in-Time-Provisioning (JIT) wird ein Account zeitgleich mit dem ersten Zugriff des Anwenders angelegt. Zugleich werden die entsprechenden Konten in mehreren Systemen und Anwendungen sofort gelöscht, deaktiviert oder geändert, wenn sich der Status eines Benutzers ändert, zum Beispiel bei Kündigung oder Positionswechsel.
  • Verbesserte Sicherheit innerhalb einer Organisation: Benutzer können nur auf Ressourcen zugreifen, die sie für ihre tägliche Arbeit auch tatsächlich benötigen. So werden Systeme und Anwendungen vor unbefugter Nutzung geschützt und sichergestellt, dass Konten sofort deaktiviert werden. Das automatisierte Lifecycle-Management verhindert außerdem eine schleichende Ausweitung der Berechtigungen, indem die Benutzerberechtigungen neu bewertet werden, wenn sich ihr Status ändert, und indem sichergestellt wird, dass ein neuer Benutzer nicht einfach von einem bestehenden Benutzer kopiert wird, was zu einer übermäßigen Vergabe von Berechtigungen führen könnte.
Grafik: Ping Identity

Wie funktionieren automatisiertes Provisioning und Deprovisioning?

Administratoren können Lifecycle-Management-Aktivitäten automatisieren, indem sie die Unterstützung des SCIM-Protokolls (System for Cross-Domain Identity Management) nutzen oder Just-in-Time (JIT)-Funktionen verwenden, die einige Anwendungen implementieren. Was ist damit gemeint? SCIM ist ein Protokoll zur Automatisierung von Transaktionen von Benutzeridentitätsdaten zwischen IT-Systemen. Es wird verwendet, um eine Benutzeränderung von einer Identitäts-Datenquelle an nachgelagerte Anwendungen und Systeme zu kommunizieren, wodurch Aktionen zum Erstellen, Lesen, Aktualisieren und Löschen von Konten (CRUD) in diesen Netzwerken ausgelöst werden. Um das Provisioning auf mehrere Mitarbeiter gleichzeitig anzuwenden, werden Benutzer auf der Grundlage von Faktoren wie Position oder Standort in Gruppen eingeteilt. In diesen Gruppen werden die gleichen Berechtigungen für alle Mitglieder angewendet, anstatt jeweils auf einen einzelnen Beschäftigten. Wenn also ein neuer Kollege im Marketing anfängt, wird er der Marketinggruppe zugewiesen und hat damit automatisch Zugang zu allen Marketing-Tools und -Anwendungen. Wechselt er in die Vertriebsabteilung, genügt eine Änderung im Benutzerverzeichnis und die Zugriffsberechtigungen werden angepasst.