Provisioning
Passende Rechte automatisiert zustellen
Standard-Arbeitsabläufe wie z.B. das Anlegen eines neuen Mitarbeiters in den verschiedenen Systemen schlucken unnötig viel Zeit. Mühsam müssen alle nötigen Informationen im Unternehmen zusammengesucht werden. Mit Provisioning und zugehörigen Workflows lassen sich diese Abläufe weitestgehend automatisiert ausführen.
Für das Provisioning werden die entsprechenden Prozesse in Regeln und Rollen abgebildet und im System hinterlegt. Werden diese angestoßen, sind die angeschlossenen Systeme, wie beispielsweise Email, SAP, Warenwirtschaftssystem oder Datenbanken, ohne weitere Administration durch die EDV, für den (neuen) Mitarbeiter bereit. Auch Änderungen wegen Abteilungswechsel, Umzug, Projektmitgliedschaft,… oder Löschungen wegen Firmenwechsel oder Rente werden nur einmal ausgelöst und laufen dann automatisiert ab. Der administrative Aufwand sinkt drastisch.
Im Projekt bei der Fa. Gehe verkürzte sich beispielsweise die Zeit für das Anlegen eines neuen Mitarbeiters von 2 Stunden auf 2 Minuten. Es ist sogar möglich, die Personalstelle als Trigger zu nutzen. Ihr liegen die Funktion und die Personalien des neuen Mitaerbeiters vor. Damit legt sie den neuen Mitarbeiter im Personalverwaltungsprogramm an. Implementierte Regeln und Rollen sorgen dafür, dass im Hintergrund alle Zielsysteme automatisch über das IdM-System mit den entsprechende Account- und Berechtigungsinformationen versorgt werden. So kann der neue Mitarbeiter seinen PC, passenden Drucker usw. sofort nutzen.
Der Nutzen von Provisioning
- Zentrale Verwaltung sämtlicher Berechtigungen, Security Policies und Benutzer-Rollen führt zu Administrationsvereinfachung.
- Account- und Berechtigungsvergabe sowie Account- und Berechtigungsentzugentzug werden automatisiert. Die Account-Verwaltung (Anlegen, Ändern, Löschen von Account-Daten; Zuteilung von Zugriffsrechten) wird mit Regeln und Rollen gestaltet. Administrative Aufwände und Kosten sinken bei gleichzeitigem Qualitätsgewinn.
- Sicherheitssteigerung durch regelbasiertes, unternehmenskonformes und automatisiertes Löschen von Accounts und Berechtigungen.
- Entlastung des Helpdesks durch reduzierte Anfragen aufgrund Automatisierung von Standardabläufen.
- Schneller Zugriff auf nötige Daten, (neue) Mitarbeiter sind sofort arbeitsfähig.
Stolpersteine beim Provisioning
Beim Provisioning ist die Konzeption äußerst wichtig. Ohne definierte Regelwerke und Policys bringt die Automatisierung nichts: Je präziser die Anforderungen, desto effektiver das Provisioning….
- Oft werden Provisionierungsregeln nur allgemein statt für jedes Zielsystem separat definiert.
- Mitunter werden Regelwerke übertrieben. 100% Regelabbildung ist unwirtschaftlich, ein Mix aus 80% Regeln sowie Rollen und 20% Einzelrechten ist praxistauglich.
- Oft wird vergessen, die Handhabung von Ausnahmen zu regeln.
- Viele versäumen festzulegen, wer sich um die Pflege von Regeln kümmert. Das Ergebnis: Keiner tut es und das ist ein Sicherheitsrisiko.
- In der Regel haben nicht alle Zielsysteme entsprechende Schnittstellen und Integrationswerkzeuge, vielemehr müssen diese erst geschaffen bzw. besorgt werden.
- Viele übersehen zu Beginn, dass sie später Account- / Berechtigungsdaten (IST Zustand) für Auditzwecke aus den Applikationen auslesen müssen.
- Häufig reagiert die Provisionierungs-Engine nicht in Echtzeit auf einen Berechtigungs-Request, sondern einfach irgendwann. Dies führt zur Unzufriedenheit der Anwender.