{"id":19467,"date":"2021-08-23T11:03:00","date_gmt":"2021-08-23T09:03:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19467"},"modified":"2021-08-17T10:13:13","modified_gmt":"2021-08-17T08:13:13","slug":"hop-on-hop-offboarding-schnell-effizient-und-sicher","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19467","title":{"rendered":"Hop-On- \/ Hop-Offboarding \u2013 schnell, effizient und sicher"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.pingidentity.com\/de.html\">Thomas Schneider, Vertriebsleitung \u2013 DACH &amp; EMEA South bei Ping Identity<\/a>\/gg<\/p>\n\n\n\n<p>Mitarbeiter kommen und gehen, wechseln die Abteilung, werden bef\u00f6rdert, heiraten oder gehen in Elternzeit \u2013 in gr\u00f6\u00dferen Unternehmen wird die Verwaltung von Benutzerkonten und Zugriffsberechtigungen schnell zur Mammutaufgabe. Oder sogar zum Sicherheitsrisiko, wenn die IT-Verantwortlichen nicht rechtzeitig \u00fcber den Austritt von Mitarbeitern informiert werden. Zudem kostet die manuelle Benutzer- und Kontenbereitstellung kostbare Zeit sowie IT-Manpower und ist noch dazu fehleranf\u00e4llig. Ein automatisiertes Provisioning und Deprovisioning stellt hingegen sicher, dass w\u00e4hrend des gesamten Mitarbeiter-Lifecycles immer die richtigen Leute \u2013 und zwar nur die \u2013 Zugriff auf die richtigen Anwendungen, Dateien und Services haben. Gleichzeitig reduziert es die Reibungsverluste f\u00fcr Systemadministratoren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-scaled.jpg\"><img loading=\"lazy\" decoding=\"async\" width=\"683\" height=\"1024\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-683x1024.jpg\" alt=\"\" class=\"wp-image-19469\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-683x1024.jpg 683w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-200x300.jpg 200w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-768x1152.jpg 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-1024x1536.jpg 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-1365x2048.jpg 1365w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-1320x1980.jpg 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/DSC05207-scaled.jpg 1706w\" sizes=\"auto, (max-width: 683px) 100vw, 683px\" \/><\/a><figcaption>Bild: Ping Identity<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Automatisiertes Provisioning ist vor allem dann n\u00fctzlich, wenn Informationen in einer Identit\u00e4tsquelle, zum Beispiel einer HR-Mitarbeiterdatenbank, hinzugef\u00fcgt oder ge\u00e4ndert werden m\u00fcssen und diese Anpassungen in mehreren anderen Anwendungen synchronisiert werden sollen. Werden Mitarbeiter eingestellt, bef\u00f6rdert oder versetzt, stellt eine automatisierte Bereitstellung sicher, dass die Zugriffsrechte der Benutzer in allen Systemen des Unternehmens immer auf dem neuesten Stand sind \u2013 und das mit minimalem Arbeitsaufwand von Seiten der IT-Abteilung.<\/p>\n\n\n\n<p>Automatisiertes Deprovisioning kommt in der Regel zum Einsatz, wenn ein Mitarbeiter das Unternehmen verl\u00e4sst. Es deaktiviert, l\u00f6scht oder \u00e4ndert Konten auf anderen Servern, wie zum Beispiel Active Directory, und gibt so den Speicherplatz, die Lizenzen und die physische Hardware eines Unternehmens f\u00fcr neue Mitarbeiter frei. Deprovisioning ist dabei h\u00f6chst sicherheitsrelevant, da Personen, die nicht mehr mit dem Betrieb verbunden sind, nicht l\u00e4nger Zugang zu internen Daten oder Ressourcen haben.<\/p>\n\n\n\n<p><strong>Vorteile einer automatisierten Benutzer- und Kontenbereitstellung<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Effizientere Sicherheitsverwaltung, weniger Arbeitsaufwand f\u00fcr Administratoren: \u00c4nderungen auf dem Server werden innerhalb von Sekunden ganz ohne menschliches Zutun automatisch mit den Anwendungen synchronisiert, was den Arbeitsablauf zwischen Personal- und IT-Abteilung vereinfacht.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Zufriedenere Mitarbeiter: Benutzer haben nahtlosen Zugriff auf alles, was sie f\u00fcr ihre Arbeit ben\u00f6tigen, ohne dass sie Administratoren fragen oder auf Genehmigungen warten m\u00fcssen.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Effiziente Nutzung von Ressourcen: Beim Just-in-Time-Provisioning (JIT) wird ein Account zeitgleich mit dem ersten Zugriff des Anwenders angelegt. Zugleich werden die entsprechenden Konten in mehreren Systemen und Anwendungen sofort gel\u00f6scht, deaktiviert oder ge\u00e4ndert, wenn sich der Status eines Benutzers \u00e4ndert, zum Beispiel bei K\u00fcndigung oder Positionswechsel.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Verbesserte Sicherheit innerhalb einer Organisation: Benutzer k\u00f6nnen nur auf Ressourcen zugreifen, die sie f\u00fcr ihre t\u00e4gliche Arbeit auch tats\u00e4chlich ben\u00f6tigen. So werden Systeme und Anwendungen vor unbefugter Nutzung gesch\u00fctzt und sichergestellt, dass Konten sofort deaktiviert werden. Das automatisierte Lifecycle-Management verhindert au\u00dferdem eine schleichende Ausweitung der Berechtigungen, indem die Benutzerberechtigungen neu bewertet werden, wenn sich ihr Status \u00e4ndert, und indem sichergestellt wird, dass ein neuer Benutzer nicht einfach von einem bestehenden Benutzer kopiert wird, was zu einer \u00fcberm\u00e4\u00dfigen Vergabe von Berechtigungen f\u00fchren k\u00f6nnte.<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02.webp\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"269\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-1024x269.webp\" alt=\"\" class=\"wp-image-19470\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-1024x269.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-300x79.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-768x201.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-1536x403.webp 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-2048x537.webp 2048w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Inbound-Provisioning_PingFed-Directory-SCIM-02-1320x346.webp 1320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption>Grafik: Ping Identity<\/figcaption><\/figure>\n\n\n\n<p><strong>Wie funktionieren automatisiertes Provisioning und Deprovisioning?<\/strong><\/p>\n\n\n\n<p>Administratoren k\u00f6nnen Lifecycle-Management-Aktivit\u00e4ten automatisieren, indem sie die Unterst\u00fctzung des SCIM-Protokolls (System for Cross-Domain Identity Management) nutzen oder Just-in-Time (JIT)-Funktionen verwenden, die einige Anwendungen implementieren. Was ist damit gemeint? SCIM ist ein Protokoll zur Automatisierung von Transaktionen von Benutzeridentit\u00e4tsdaten zwischen IT-Systemen. Es wird verwendet, um eine Benutzer\u00e4nderung von einer Identit\u00e4ts-Datenquelle an nachgelagerte Anwendungen und Systeme zu kommunizieren, wodurch Aktionen zum Erstellen, Lesen, Aktualisieren und L\u00f6schen von Konten (CRUD) in diesen Netzwerken ausgel\u00f6st werden. Um das Provisioning auf mehrere Mitarbeiter gleichzeitig anzuwenden, werden Benutzer auf der Grundlage von Faktoren wie Position oder Standort in Gruppen eingeteilt. In diesen Gruppen werden die gleichen Berechtigungen f\u00fcr alle Mitglieder angewendet, anstatt jeweils auf einen einzelnen Besch\u00e4ftigten. Wenn also ein neuer Kollege im Marketing anf\u00e4ngt, wird er der Marketinggruppe zugewiesen und hat damit automatisch Zugang zu allen Marketing-Tools und -Anwendungen. Wechselt er in die Vertriebsabteilung, gen\u00fcgt eine \u00c4nderung im Benutzerverzeichnis und die Zugriffsberechtigungen werden angepasst.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>Was ist der Unterschied zwischen Provisioning und Authentifizierung?<\/strong><\/p>\n\n\n\n<p>Authentifizierung bezieht sich darauf, dass ein Benutzer nachweist, dass er derjenige ist, der er vorgibt zu sein. Bei der Bereitstellung dagegen geht es um die Rechte und Berechtigungen, die ein Benutzer besitzt. Als Beispiel: In einem Krankenhaus muss sich jeder Mitarbeiter bei Systemen und Anwendungen, die er benutzt, authentifizieren, oft durch eine Kombination aus Benutzernamen und Passwort. Der Mitarbeiter wird authentifiziert, das hei\u00dft es wird nachgewiesen, dass er in der Tat Kollege Max Mustermann ist. Bevor er jedoch auf ein bestimmtes System oder eine Anwendung zugreifen kann, muss Max Mustermann ein Konto f\u00fcr dieses System oder diese Anwendung haben, und hier kommt das Provisioning ins Spiel. W\u00e4hrend jemand mit der Rolle \u201eKrankenpfleger\u201c in der Personaldatenbank wahrscheinlich ein Konto f\u00fcr den Zugriff auf ein Patientenverwaltungssystem h\u00e4tte, w\u00fcrde er vermutlich keine Berechtigung f\u00fcr den Zugriff auf eine Anwendung in der Gehaltsabrechnung haben.<\/p>\n\n\n\n<p><strong>Bereitstellung von Konten mit SAML<\/strong><\/p>\n\n\n\n<p>Die Bereitstellung mit SAML-Assertions wird allgemein als JIT-Bereitstellung bezeichnet. W\u00e4hrend SAML ein Authentifizierungsprotokoll ist, k\u00f6nnen Systeme, die JIT-Provisioning unterst\u00fctzen, die in SAML-Assertions bereitgestellten Attribute zur Erstellung von Konten verwenden. Bei der JIT-Bereitstellung wird ein Benutzerkonto erstellt, sobald sich der Mitarbeiter zum ersten Mal bei einer Anwendung anmeldet und \u00fcber die erforderliche Berechtigung verf\u00fcgt. Dazu konfigurieren Administratoren Single Sign-On (SSO) zwischen dem Identity Provider und dem Service Provider (der Zielanwendung) und f\u00fcgen alle zutreffenden Attribute hinzu, die der Service Provider ben\u00f6tigt. Diese SAML-Attribute enthalten Informationen \u00fcber den Benutzer, wie seine E-Mail-Adresse, Position oder Abteilung.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-scaled.webp\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"231\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-1024x231.webp\" alt=\"\" class=\"wp-image-19471\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-1024x231.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-300x68.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-768x173.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-1536x347.webp 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-2048x462.webp 2048w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/Outbound-Provisioning_PingFed-Directory-SCIM-01-1320x298.webp 1320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption> Grafik: Ping Identity<\/figcaption><\/figure>\n\n\n\n<p><strong>Verschiedene Arten von Benutzerbereitstellung<\/strong><\/p>\n\n\n\n<p>Besonders h\u00e4ufig ist das rollenbasierte Lifecycle-Management. Dabei werden die Gruppenmitgliedschaften eines Benutzers aus einer Identit\u00e4tsquelle in Rollen und Berechtigungen f\u00fcr mehrere Anwendungen \u00fcbersetzt. Ein Beispiel: Ein Unternehmen speichert Benutzer in einer Datenbank mit Gruppen wie Corporate, Marketing und DevOps. Mitglieder der Gruppe \u201eMarketing\u201c k\u00f6nnen auf die f\u00fcr sie bestimmten Anwendungen zugreifen, sind aber von den f\u00fcr die Gruppen \u201eCorporate\u201c und \u201eDevOps\u201c vorgesehenen Anwendungen ausgeschlossen.<\/p>\n\n\n\n<p>Eine weitere Variante ist das Inbound-Provisioning f\u00fcr Service Provider. Hier liegt das Quellverzeichnis (oder die Identit\u00e4ts-Datenquelle) au\u00dferhalb des SCIM-Clients, etwa wenn Benutzerkonten in Partnersystemen existieren. Das Quellverzeichnis sendet SCIM-Befehle an den SCIM-Client, der wiederum CRUD-Operationen an nachgelagerte Systeme und Anwendungen weiterleitet.<\/p>\n\n\n\n<p>Dagegen spricht man von Outbound-Provisioning, wenn die Identit\u00e4tsquelle direkt mit dem SCIM-Server verbunden ist. Ein SCIM-Client verbindet sich mit dem Benutzerverzeichnis und \u00fcberwacht es auf \u00c4nderungen. Wenn Benutzer hinzugef\u00fcgt, ge\u00e4ndert oder gel\u00f6scht werden, werden die \u00c4nderungen an die Zielverzeichnisse oder -anwendungen \u00fcber deren propriet\u00e4re Provisioning-APIs \u00fcbertragen.<\/p>\n\n\n\n<p><strong>Wie aufwendig ist die Implementierung der Benutzer- und Kontenbereitstellung?<\/strong><\/p>\n\n\n\n<p>Bei der nativen SCIM-Bereitstellung werden CRUD-Vorg\u00e4nge innerhalb von Sekunden nach einer \u00c4nderung im Benutzerspeicher ausgef\u00fchrt. Die Einrichtung dauert in der Regel weniger als eine Stunde f\u00fcr jedes nachgelagerte System oder jede Anwendung. F\u00fcr Systeme, die SCIM nicht nativ unterst\u00fctzen, gibt es Konnektoren, die eine nahtlose Integration erm\u00f6glichen. Dabei werden die nativen APIs eines Systems genutzt, um bei Bedarf neue Konnektoren innerhalb von ein bis f\u00fcnf Tagen zu erstellen. Dies erm\u00f6glicht Unternehmen eine schnelle Konfiguration der Bereitstellung f\u00fcr jede Legacy- oder benutzerdefinierte Anwendung.<\/p>\n\n\n\n<p>In jedem Fall zahlt sich eine automatisierte Provisionierung und Deprovisionierung aus \u2013 durch eine h\u00f6here Effizienz der Mitarbeiter, geringere Risiken f\u00fcr die IT-Sicherheit und eine insgesamt deutlich bessere Benutzererfahrung und damit auch mehr Zufriedenheit im Team.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mitarbeiter kommen und gehen, wechseln die Abteilung, werden bef\u00f6rdert, heiraten oder gehen in Elternzeit \u2013 in gr\u00f6\u00dferen Unternehmen wird die Verwaltung von Benutzerkonten und Zugriffsberechtigungen schnell zur Mammutaufgabe. Oder sogar zum Sicherheitsrisiko, wenn die IT-Verantwortlichen nicht rechtzeitig \u00fcber den Austritt von Mitarbeitern informiert werden. Zudem kostet die manuelle Benutzer- und Kontenbereitstellung kostbare Zeit sowie IT-Manpower und ist noch dazu fehleranf\u00e4llig. Ein automatisiertes Provisioning und Deprovisioning stellt hingegen sicher, dass w\u00e4hrend des gesamten Mitarbeiter-Lifecycles immer die richtigen Leute \u2013 und zwar nur die \u2013 Zugriff auf die richtigen Anwendungen, Dateien und Services haben. Gleichzeitig reduziert es die Reibungsverluste f\u00fcr Systemadministratoren.<\/p>\n","protected":false},"author":1,"featured_media":19469,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[15120,15118,4602,15119,13800,11217,4743,5344,4956,15121,2570],"class_list":["post-19467","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-crud","tag-deprovisioning","tag-devops","tag-jit","tag-offboarding","tag-onboarding","tag-ping-identity","tag-provisioning","tag-saml","tag-scim","tag-sso"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19467","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19467"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19467\/revisions"}],"predecessor-version":[{"id":19472,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19467\/revisions\/19472"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19469"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19467"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19467"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19467"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}