Identity und Access Management in der Cloud etablieren
Autor: Philipp Schurr | 18. April 2023
Identity und Access Management ist eine wichtige Komponente für die IT-Sicherheit in Unternehmen, aber häufig kommt es zu Komplikationen bei einem Wechsel von On-Premise in die Cloud. Wie Sie den Umschwung ohne große Probleme durchführen können, erfahren Sie hier.
Was ist Identity und Access Management?
Identity- and Access Management (IAM) oder auch Identitäts- und Zugriffsverwaltung ist ein Oberbegriff für alle Prozesse und Anwendungen, die für die Administration von Identitäten und die Verwaltung von Zugriffsrechten, zuständig sind.
Das IAM kombiniert die eigenständigen Themengebiete Identity Management und Access Management. Identity Management stellt hier den operativen Part da. Dieses managt die Authentifizierung und Autorisierung von Benutzern für alle Systeme und Applikationen eines Unternehmens. Zudem kümmert es sich um den Identity Lifecycle eines jeden Benutzers. Hierzu gehört beispielsweise das Onboarding und Ausstatten mit Berechtigungen von neuen Nutzern. Ebenfalls baut es eine Berechtigungsverwaltung auf, welche anhand von Rollenkonzepten dafür sorgt, dass Mitarbeiter alle Berechtigungen besitzen, welche Sie für ihre Stelle brauchen.
Beim Access Management geht es primär um die Umsetzung von GRC-Richtlinien. Es unterstützt Unternehmen bei der Sicherstellung der Umsetzung von Vorgaben im Bereich Governance, Risk und Complicance (GRC). Darüber hinaus identifiziert es Funktionskonflikte, um diese zu vermeiden. Ein Funktionskonflikt tritt zum Beispiel auf, wenn ein leitender Mitarbeiter die Berechtigung besitzt die Urlaubanträge der unterstellten Mitarbeiter sowie die eigenen Anträge zu genehmigen. Das Access Management ist des Weiteren dafür verantwortlich, Datenmissbrauch und Datendiebstahl zu erkennen und zu vermeiden.
Start in die Cloud ohne funktionierende Prozesse
Die meisten Unternehmen starten grundsätzlich mit der manuellen Bearbeitung. Ohne integrierte Standards und Tools müssen alle Anfragen manuell geprüft und bearbeitet werden. Mit der Zeit wird die manuelle Arbeit jedoch zu „einem Fass ohne Boden” – zu viele Mitarbeiter und zu viele Systeme führen dazu, dass die Kapazitäten ausgereizt und infolgedessen überlastet werden. Diese Unternehmen befinden sich zurzeit im ersten Reifegrad.
Wenn die manuelle Arbeit nicht mehr ausreicht und somit ineffizient wird, gehen Unternehmen in den zweiten Reifegrad über. Dieser beinhaltet die Etablierung von IAM-Tools für On-Premise-Systeme. In diesem Fall sollen die Tools einen Großteil der Arbeit abnehmen. Der Einsatz von Tools wie SAP IdM wird zur Automatisierung von IAM-Workflows, Provisionierung und GRC-Prüfungen genutzt.
Für die On-Premise-Lösungen haben sich die IAM-Tools schon lange etabliert. Hier finden vor allem das Identity Management (IdM) und IAM Tools Anwendung. IdM findet seine Zuständigkeit in der Berechtigungsanfrage und Freigabe der Workflows sowie der Provisionierung. Provisionierung beschreibt die Versorgung von Angebundenen Systemen mit den entsprechenden Usern mit Berechtigungen. Diese Systeme können SAP sowie Non-SAP Systeme sein.
Das IdM-Tool ist sehr eng gekoppelt oder auch teilweise identisch zu dem IAM-Tool. Dieses führt zusätzlich Risikoanalysen durch und etabliert entsprechende Schutzmaßnahmen. Ein Beispiel für so ein Tool ist SAP Access Control.
Durch die Wandlung der Technologiesysteme geht der Trend von On-Premise zur Cloud. Der Knackpunkt: die vorhandenen IAM-Tools können in der Business Technology Plattform nicht ohne weiteres integriert werden. Dieses gilt nicht ausschließlich für die BTP sondern ebenfalls für alle weiteren Cloud-Lösungen. Aus diesem Grund ist die Weiterentwicklung des IAM mit Blick auf die Nutzung in der Cloud besonders relevant.
Herausforderungen in der Cloud
In den letzten Jahren hat sich ein neuer Reifegrad entwickelt. Im Fokus steht die Etablierung des IAM in der Cloud. Aus diesem Grund ist es notwendig die Tools und Prozesse auf neue Cloud-Lösungen auszuweiten. Bei diesem Schritt ist es egal, ob Unternehmen sich in Reifegrad eins oder zwei befinden. Aber warum ist es sinnvoll, eine IAM-Lösung für die Business Technology Platform zu entwickeln? – Ein Beispiel.
Viele Unternehmen, die in den letzten Jahren durch mindsquare beraten wurden, haben mit der Business Technology Plattform häufig als eine Plattform für IT-Mitarbeiter angefangen, um diese als Providing von IT-Tools zu nutzen. Beispielsweise wird die BTP initial eingeführt, um SAP Fiori Apps zu schaffen, da die gängigen Entwicklungsumgebungen der SAP als Service ausschließlich in der BTP zur Verfügung gestellt werden. Das bedeutet, dass Entwickler auf diesen Service zugreifen müssen.
Im Reifegrad eins besteht hier noch kein großes Problem, da die User-Verwaltung noch manuell gut möglich ist und nur eine kleine Anzahl an Mitarbeiter mit diesen Tools arbeiten müssen. Die SAP Basis Admins pflegen die Benutzer hier unproblematisch per Hand.
Problematisch wird diese manuelle Pflege jedoch, wenn Unternehmen die Apps in der Cloud zur Verfügung stellen müssen. Im Zuge der Corona-Pandemie haben viele Unternehmen ein Fiori Launchpad etabliert. Das bedeutet, dass nun alle Mitarbeiter die BTP Services nutzen, um Fiori Apps von überall und von jedem Endgerät erreichen zu können. Statt zehn bis 15 Mitarbeitern nutzen nun mehrere hundert Mitarbeiter die BTP-Dienste. Durch den Wandel wird eine automatisierte Pflege der Benutzer notwendig, um die effiziente Arbeit zu gewährleisten.
Lösungen für Identity und Access Management in der SAP BTP
Um das IAM in der Cloud zu etablieren, stellt SAP eine Lösung vor, um eine Brücke zwischen den Systemen zu bauen. SAP hat unabhängig von der jeweiligen Cloud-Lösung Identity Services entwickelt und zur Verfügung gestellt.
Hierbei handelt es sich zum einen um den Identity Provisioning Service (IPS). Dieser IPS bildet ein Provisionierungstunnel und fungiert somit als Konnektor um das vorhandene IDM-Tool, welches bereits in der On-Premise-Lösung eingesetzt wird, auch für die Cloud zu nutzen. Unternehmen müssen mit dieser Lösung nicht alle Prozesse neu generieren und brauchen keine zweite große IDM-Lösung. Vorteil des IPS ist, dass freigegebene Berechtigungen in Cloud-Lösungen provisioniert werden können.
Die Identity Services werden durch den Identity Authentication Service (IAS) erweitert. Der IAS ist der Authentifizierungsdienst, welche die Authentifizierung in der Cloud managt. Besonders in der Cloud ist dieser Dienst besonders relevant. Der Zugriff für die User muss stetig gewährleistet sein und durch eine mindestens zweistufige Authentifizierung sichergestellt werden.
Zusammenfassend lässt sich sagen, dass die On-Premise-Lösung mit dem IDM und IAM weiterhin als Hauptkomponente genutzt werden kann und die Cloud-Lösung über die Identity Services mit integriert werden kann.
Haben Sie Fragen oder Beratungsbedarf zum Thema Cloud Security? Schreiben Sie uns gerne eine Mail an info@rz10.de oder stellen Sie eine unverbindliche Anfrage: hier anfragen