Role Based Access Control

Flexible Rollen statt starrer Regeln

 

 

Das übliche Regel- und Bestellprozess-basierende Identity Management wird heute immer mehr vom rollenbasierten IdM (RBAC Schema) abgelöst. Damit müssen nicht mehr für jeden Anwendungsfall, wie z.B. wechselnde Projektzugehörigkeiten, von den Administratoren neue hochkomplexe Regeln geschrieben werden. Vielmehr wird im rollenbasierten IdM die Aufbauorganisation genutzt, an deren Organisationselementen die einzelnen Berechtigungen, als Fach- oder Businessrollen ‚verpackt‘, angeordnet sind. Das IdM-System arbeitet sämtliche Zweige des Organisationsbaumes ab und sammelt dabei die Rollen mit den jeweils zugewiesenen Rechten. So entsteht ein Bündel aus Fach- und Businesrollen.

 

Treffen auf den Benutzer Meier Mustermann die Rollen „Mitglied der Abteilung Einkauf“ und „Teamleiter“ und „…“  zu, so erhält er über die automatisierte Provisionierung alle diesen Rollen zugewiesenen Rechte. Parallel dazu überprüft das System die Rechtekombination und unterbindet unerwünschte Kombinationen, so dass beispielsweise ein Besteller niemals seine eigene Bestellung freigeben darf (Segregation).

Das Abbilden der Organisation im RBAC-System ist allerdings aufwändig. Der Vorteil der nicht mehr notwendigen starren IdM Regelwerke kommt erst ab einer gewissen Anzahl an Fachrollen zum Tragen. Oft ist es sinnvoll, zunächst mit einem regelbasierenden Identity Management zu starten und später auf ein rollenbasierendes IdM zu erweitern.

 

Nutzen von RBAC

  • Eine Vielzahl von (technischen) Einzelberechtigungen können in Fachrollen zusammengefasst werden.
  • Da wenige Fachrollen statt eines riesigen Katalogs aus Einzelberechtigungen genutzt werden, sinkt die Komplexität der Berechtigungsvergabe.
  • Fachrollen erhalten „sprechende“ Namen und sind verständlich. Es gibt weniger Anfragen am Helpdesk.
  • Administrative Aufwände reduzieren sich, da weniger Regelwerke im IdM vorgehalten und angepasst werden müssen.
  • Einzelberechtigungen sind oft komplex und es kommt zu falschen Bestellungen. Die Einfachheit von Fachrollen beseitigt dies.
  • Die Zentrale Verwaltung sämtlicher Berechtigungen, Security Policies und Benutzer-Rollen in einem IdM System (nicht bei jedem IdM Hersteller gegeben) erleichtert die Administration.
  • Durch einfache Anwendung von verständlichen Fachrollen entstehen weniger Anfragen an die IT. So sinken Aufwände.

Stolpersteine bei RBAC

  • Viele übergehen den Fachbereich und wundern sich dann, dass das neuen Verfahren nicht angenommen wird.
  • Bottom-up-Modelle oder pures Role-Mining auf Basis vorhandener Berechtigungen in den Applikationen führt nur zu technischen Rollen und vernachlässigt den fachlichen / organisatorischen Aspekt.
  • Die meisten unterschätzen die Anforderungen, die das Definieren und Anwenden von Fach- und Businesrollen an einen Projektmitarbeiter stellt. Auch denUmgang mit IT-Bestellprozessen, welche die Fachrolle nutzen, nehmen viele auf die leichte Schulter. Leider werden hier nur allzu oft interne IT Mitarbeiter überfordert – mit fatalen Folgen.
  • Man übersieht leicht, dass Überschneidungen aus Betriebs- und Projektorganisation (z.B. aus Projektzugehörigkeit resultierende Berechtigungen) geregelt werden müssen.
  • Temporäre Rollenzuweisungen (z.B. Datenzugriff bei Abteilungswechsel) werden zwar gebraucht aber oft vergessen einzurichten.