Identity & Rights Management 2009

User Provisioning
vIRM2009 ist eine moderne Provisioninglösung der 3. Generation und  bildet eine Vielzahl von automatisierten IMACs Requests (Install, Move, Add, Change) in einer automatisierten Lösung ab.
Als Alleinstellungsmerkmal bildet die vIRM2009 Lösung  zwei wesentliche Supportprozesse in einer Lösung ab:

• Durch eine delegierte fachliche Verwaltung ohne technische Tools können IT Admin- und Support- Mitarbeiter durch die sog. Customer Self Administration (CSA) alle IT Services in ihrem Verantwortungsbereich komfortabel und revisionssicher verwalten
• Zur zusätzlichen Entlastung können umfangreiche, häufige IT Service Requests auch direkt durch den Anwender mittels der umfangreichen User Self Service (USS) Funktionen durchgeführt werden

Wesentliche Zielsetzung dabei ist immer die Verbesserung der Dienstleistungen der IT-Abteilung gegenüber ihren Kunden (intern & extern). Im Rahmen von CSA und USS können IT-Mitarbeiter, aber auch Endanwender einen signifikanten Teil Ihrer IT Services selbst verwalten (z.B. Zugriffe auf Anwendungen, Rechte auf Verzeichnisse, Druckerzuweisungen, Mailboxquotas, Verteilerlisten, etc.). Das vIRM2009 User Provisioning automatisiert die Verwaltung von Benutzerkonten und  deren Zugriffsberechtigungen in den Zielsystemen. Prozessorientierte Administrationsverfahren steigern die Servicequalität bei der Benutzerverwaltung der Berechtigungsvergabe, sowie bei der effizienten Bereitstellung von IT-Ressourcen. Sie reduzieren manuelle administrative Tasks und die damit verbundenen Fehlerquellen. Die Durchführung der Aufgaben erfolgt immer mit gleichbleibender Qualität.

Customer Self Administration (CSA)
Mit Hilfe der Customer Self Administration Funktionen können administrative Standardaufgaben von der IT-Abteilung hin in die Organisation delegiert werden. So kann die Benutzeranlage beispielsweise direkt durch Sachbearbeiter der Personalabteilung erfolgen.
Über das hierarchische Administrationsmodell kann einem Mitarbeiter dediziert zugewiesen werden, welche administrativen Aufgaben er durchführen und welche Ressourcen er verwalten darf. Es ist kein tiefergehendes IT Know-How von Nöten um administrative Aufgaben durchführen zu können.

User Self Service (USS)
Über eine Webanwendung kann ein Mitarbeiter aus einem IT Servicekatalog Zugriffe auf Systeme (z.B. SAP), Zugriffsberechtigungen auf Ressourcen — wie Drucker, Verzeichnisse und Software — direkt beantragen bzw. bestellen. Nach Freigabe, durch eine berechtigte Person, werden alle für die Bestellung notwendigen administrativen Operationen automatisch durchgeführt. Nach erfolgreicher Durchführung der Transaktion wird der Mitarbeiter automatisch darüber informiert.
Die USS-Funktion ermöglicht weiterhin, dass ein Mitarbeiter persönliche Informationen wie z.B. Kontaktdaten, sowie seine Passworte etc., eigenständig pflegen kann.

Bestell- und Freigabeprozesse
Den Kern von vIRM2009 bildet eine Prozessengine mit deren Hilfe sich vollständige Bestell- und Freigabeprozesse abbilden lassen.
Über das eingebaute Rollen- und Rechtemodell kann sehr subtil gesteuert werden, auf welche Funktionen des vIRM2009 ein Mitarbeiter Zugriff hat. Dies gilt auch für den Bereich der User Self Services. So kann sehr differenziert gesteuert werden, welche IT-Dienstleistungen überhaupt von einem Mitarbeiter direkt bestellt werden können.  
Für jede Bestellung kann ein eigenständiger Freigabeprozess definiert werden. Für jeden Freigabeprozess kann hinterlegt werden, wer freigeben darf. Dabei kann es sich um eine Person oder eine Gruppe von Personen handeln. Auch mehrstufige Freigabeprozesse können in vIRM realisiert werden.  So muss beispielsweise bei der Bestellung einer Anwendung, als erster der unmittelbare Vorgesetzte des Mitarbeiters zustimmen, der diese bestellt. Anschließend wird die Anfrage an den Anwendungsverwalter weitergeleitet der prüft, ob noch ausreichend Lizenzen vorhanden sind. Die zweite Prüfung könnte ebenso gut durch eine Abfrage eines Lizenzverwaltungstools erfolgen.
Für jede implementierte administrative Aufgabe kann separat eingestellt werden ob eine Genehmigung notwendig ist, oder ob diese genehmigungsfrei ausgeführt werden kann. 

Rollenbasierte Verwaltung von Zugriffrechten 
Ein Mitarbeiter benötigt, um seine Aufgaben gemäß seiner organisatorischen Rolle erfüllen zu können, eine Vielzahl von Zugriffsrechten in den IT-Systemen des Unternehmens.
Um die Verwaltung von Zugriffsberechtigungen zu ver-einfachen stellt vIRM2009 sogenannte Anwenderrollen zu Verfügung. In einer Anwenderrolle können Zugriffs-berechtigungen auf die verschiedensten Ressourcen zusammengefasst werden (z.B. ein Set von Anwendungen, Zugriffsberechtigungen auf Verzeichnisse, Drucker, über Black- und Whitelist's gesteuerte Internetzugriffe, etc.). Der Mitarbeiter wird einer oder mehreren Anwenderrollen zugeordnet und erhält damit alle Zugriffe, die er für seine tägliche Arbeit benötigt. Nur in Ausnahmen, wenn ein Mitarbeiter spezielle Rechte benötigt, werden ihm diese direkt zugeordnet.
Die Zuordnung zu einer Anwenderrolle kann entweder manuell oder regelbasiert erfolgen (z.B. alle Mitarbeiter einer Organisationseinheit werden einer korrespondierenden Anwenderolle automatisch zugeordnet).

Der vIRM2009 basiert auf einer Microsoft .NET serviceorientierten Architektur mit einem vollständig modularen Aufbau. Die Lösung lässt sich bedarfsgerecht für jede Art von Zielsystem und Plattform anpassen und integriert sich in bestehende Unternehmensportale.

• Das Basissystem basiert auf Windows 2003 oder 2008 Server und nutzt den Internet Information Server Version 6 oder 7
• Die Datenhaltung findet in MS SQL 2005 statt
• Die Lösung skaliert nachweislich bis über 150.000 verwaltete User und über 2.000 gleichzeitige Nutzer im System
• Das System ist in einer 3-Tier Architektur aufgebaut und kann hochverfügbar, auch in DMZ Umgebungen, aufgebaut werden

vIRM2009 Basissystem
Das vIRM Basissystem bildet den Kern der Identity und Provisioninglösung. Es stellt grundlegende Systemkomponenten wie die Workflowengine, Benutzeroberflächen für Administratoren und Anwender, Protokollierungs- und Reportingkomponenten sowie grundlegende Schnittstellen zu Directory Services (Active Directory, LDAP), Datenbanken (ODBC) und viele weitere zur Verfügung.
Das Basissystem kann um Funktionen wie Multimandantenfähigkeit, Multiplattformmanagement, etc. erweitert werden. Weiterhin kann das vIRM2009 Basissystem um spezielle Provisioningmodule erweitert werden. Diese Module stellen Funktionen zur Verwaltung von zielsystemspezifischen Ressourcen zur Verfügung. vIRM2009 stellt beispielsweise, für die Verwaltung von Microsoft Systemen und Infrastrukturkomponenten die folgenden Module zur Verfügung.

Das Modul Benutzerverwaltung für Active Directory Konten stellt beispielsweise alle zur Verwaltung benötigten Funktionen wie anlegen, löschen, bearbeiten, aktivieren, deaktivieren, etc. zur Verfügung. Hinter jeder einzelnen Funktion liegt ein stark parametrisierter Infrastrukturworkflow. Wird ein Auftrag zur Benutzeranlage gestartet, läuft der dahinter liegende Workflow ab. Er legt dabei das Benutzerkonto an, setzt die definierten Attribute des Benutzerobjektes, legt danach ein Home Directory an und führt noch diverse andere Operationen durch. Alle Operationen können per Schalter  aktiviert oder deaktiviert werden.

Die mitgelieferten Standardprozesse sind einfach kundenspezifisch anpassbar. Sie lassen sich durch den hohen Grad an Parametrisierung einfach an die Gegebenheiten der Zielplattform adaptieren. Alle Prozesse greifen auf der untersten Ebene auf Funktionen von Konnektoren für das jeweilige Zielsystem zu. Diese Konnektoren stellen neben der eigentlichen Connectivity zu dem Zielsystem auch Low Level Funktionen, sogenannte Elementar Operationen, zur Verfügung. Über diese Elementar Operationen können beispielsweise Objekte im Active Directory angelegt, bearbeitet und gelöscht werden.
vIRM2009 Prozesse können entweder manuell, zeit- oder ereignisgesteuert gestartet werden. Der Anwender kann jederzeit über die Auftragsverfolgung den Status des Prozesses und dessen Teilschritte abfragen.

vIRM2009 stellt für eine Vielzahl von Zielsystemen administrative Funktionen zur Verwaltung von IT-Ressourcen zur Verfügung. Diese gehen über die reine Verwaltung von Benutzerkonten weit hinaus.
Für jedes unterstützte Zielsystem, wie Microsoft Active Directory, Unix basierte Systeme, SAP, Lotus Notes, etc., werden spezifische Module zur Verfügung gestellt. Diese beinhalten, neben dem eigentlichen Konnektor zum Zielsystem, auch entsprechende administrative Low-Operationen. So enthält der Active Directory Konnektor beispielweise Operationen zum Anlegen, Bearbeiten und Löschen von AD-Objekten jeder Art. Weiterhin können mit ihm jedoch auch Operationen im Microsoft Windows File-System durchgeführt werden.
Die vIRM2009 Konnektoren ermöglichen bidirektionale Zugriffe auf die Zielsysteme. D.h., es können sowohl lesende, wie auch schreibende Zugriffe durch sie erfolgen. Mit Hilfe von speziellen Sync- und Discover Operationen lassen sich problemlos die Strukturen, sowie alle vorhandenen Objekte (inklusive deren Attribute) aller Zielsysteme auslesen und mit der zentralen vIRM2009 Datenbank synchronisieren.

Active Directory Konnektor
Der Active Directory Konnektor bildet die  technische Basis mit dessen Hilfe  das Anlegen, Löschen und Bearbeiten jedwedes Objektes im Microsoft Active Directory ermöglicht wird. Weiterhin können mit Hilfe von administrativen Funktionen auch ins Active Directory integrierte Microsoft Services und Systeme, wie z.B. File- und Print Services, sowie Microsoft Exchange und Sharepoint Server automatisiert verwaltet werden.

Konnektoren für Unix Systeme
Der vIRM2009 Konnektor für Unix Systeme stellt eine Reihe von Funktionen zur Verwaltung von Unix Benutzerkonten und Gruppen zur Verfügung. Zusätzlich werden Operationen zur Verwaltung von unter Unix üblichen Datei- und Printservices zur Verfügung gestellt.

SAP Konnektor
Der vIRM2009 Konnektor für SAP R/3 stellt Funktionen zur Verwaltung von SAP Benutzerkonten zur Verfügung. Mit seiner Hilfe können Benutzerkonten angelegt, bearbeitet und gelöscht werden. Weiterhin kann ein SAP Benutzerkonto entsprechenden SAP Gruppen, Profilen und Rollen zugewiesen werden.  Über Filter ist einstellbar, welche Gruppen und Rollen in der vIRM Oberfläche angezeigt werden sollen. Darüber hinausgehende Funktionen, wie das Anlegen, Bearbeiten und Löschen von SAP Gruppen, Profilen und Rollen sind derzeit, aus Sicherheitsgründen nicht Bestandteil des vIRM2009 SAP Konnektors.

Lotus Notes Konnektor
Mit Hilfe des vIRM2009 Konnektors  für Lotus Notes können Benutzerkonten, Gruppen, Mailboxen und Datenbanken verwaltet werden. Damit stehen alle zur automatisierten Verwaltung eines Lotus Notes Systems benötigten administrativen Funktionen zur Verfügung.  Ein Lotus Notes System erlaubt es, eigene Anwendungen zu entwickeln und zu integrieren, sowie Notes Datenbanken einem extremen Customizing zu unterziehen. Die Verwaltung dieser Komponenten ist grundsätzlich über vIRM2009 möglich, vor einer Einbindung muss jedoch das System einer grundlegenden Analyse unterzogen werden.

Protokollierung & Reporting
Alle über vIRM2009 durchgeführten administrativen Prozesse werden automatisch revisionssicher protokolliert. Somit ist jederzeit vollständig nachvollziehbar, wer, wann, welche Aktivitäten durchgeführt hat.
Über die im vIRM2009 integrierten Reporting Services kann jederzeit, über die aktuelle Rechtestruktur Auskunft gegeben werden. So kann für einen Mitarbeiter aufgezeigt werden welche Ressourcen er nutzt und welche Zugriffsberechtigungen er besitzt. Ebenso kann geprüft werden wer Zugriffsberechtigungen auf eine Ressource, wie z.B. eine Anwendung einen Drucker oder auf ein Verzeichnis, besitzt.

Alle Protokoll- und Reportinginformationen können automatisch archiviert, oder zur Weiterverarbeitung in eine Datei exportiert werden.

Plattform Sicherheit / Integrität
Alle Operationen in den Zielsystemen erfolgen im Kontext eines technischen Benutzers. Anwender, die mit dem vIRM2009 administrative Aufgaben durchführen, arbeiten dagegen ausschließlich in einem Benutzerkontext. Bei der Ausführung des Auftrags findet ein Kontextwechsel von Benutzerkontext hin zum technischen Benutzer statt. Mit dieser Vorgehensweise wird sichergestellt, dass Anwender des vIRM2009 keine Rechte in den Zielsystemen benötigen. Sie können daher auch nicht direkt mit Systemmanagementtools des Zielsystems arbeiten, da Ihnen hierzu die benötigten Zugriffsrechte fehlen.

Plattform Integrität & Revisionssicherheit
Zur Bewahrung der Plattformintegrität besitzt vIRM2009 ausgeklügelte Rollbackverfahren. Die Reaktion im Fehlerfall ist einstellbar. Entweder wird die ganze Transaktion per Rollback zurückgesetzt oder, wenn diese schon weit fortgeschritten ist, kann ein Administrator über den Status informiert werden, um sie manuell zu vervollständigen.

Um die Plattform Integrität in jedem Fall zu gewährleisten, kann das Zielsystem gezielt auf Veränderungen hin periodisch gescannt werden.
Werden unautorisierte Änderungen entdeckt, werden diese zunächst revisionssicher protokolliert. Anschließend kann auf diese Änderungen automatisiert mit entsprechenden Operationen reagiert werden. D.h., die nicht autorisierte Veränderung kann automatisiert zurückgesetzt werden (Beispiel: Nicht autorisierte Zuweisung zu einer Berechtigungsgruppe).
Mithilfe dieses Mechanismus ist die IT-Abteilung jederzeit in der Lage einen revisionssicheren Nachweis über Änderungen in den IT-Systemen zu erbringen.

Mandantenfähigkeit
Der vIRM2009 ist als vollständig mandantenfähiges System designed. In allen Komponenten ist die strikte Trennung der mandantenspezifischen Informationen gesichert.

Über spezielle Mechanismen ist es jedoch möglich übergeordnete Administrationsmodelle, wie sie von Outsourcing und Hosting Unternehmen benötigt werden, zu realisieren. Dennoch steht auch hier der Mandant im Zentrum. Die Administratoren eines Mandanten müssen dediziert freigeben, welche administrativen Funktionen von Dritten benutzt werden dürfen und explizit Mitarbeiter für diese freischalten.