daccord Produktübersicht
1. Inhalt 1. Inhalt 2. Produktbeschreibung 2.1 Herausforderung in Unternehmen 2.2 Produktvorstellung 2.3 Kernfunktionen 3. Funktionsweise 3.1 Datenmodell 3.2 Architektur 3.2.1 Collector Engine 3.2.2 Notification Engine 3.2.3 User Frontend 3.2.4 Admin Frontend 4. Fazit 2
2. Produktbeschreibung daccord gibt einen umfassenden Überblick über die Berechtigungsvergabe an Personen in einer IT-Umgebung. Egal ob Großkonzern oder mittleres Unternehmen: Viel zu oft fehlt der Überblick, wer eigentlich mit welchen Berechtigungen auf Daten innerhalb der Unternehmenssysteme zugreifen kann. 2.1 Herausforderung in Unternehmen IT-Landschaften wachsen immer schneller und oft heterogen. Im Firmenalltag werden Zugriffsrechte an Mitarbeiter oft willkürlich gewährt und das teilweise unter Zeitdruck und ohne die bisherigen Berechtigungen zu prüfen. Gerade in dezentralen Unternehmensstrukturen verliert sich schnell der Überblick. Welcher Benutzer hat auf welche Systeme oder hochsensible Daten Zugriff? Wann wurde die Genehmigung erteilt und von wem? Ist das Zugriffsrecht überhaupt noch aktuell? Antworten auf diese Fragen können meist nur nach zeitaufwendiger Recherche gegeben werden oder, im schlimmsten Fall, gar nicht mehr. So laufen die Zugriffsberechtigungen von Mitarbeitern, die z. B. die Abteilung gewechselt oder das Unternehmen verlassen haben, oft weiter oder Auszubildende sammeln mit ihrem Durchlauf durch viele Abteilungen mehr Zugriffsberechtigungen, als jedem Verantwortlichen lieb sein kann ein enormes Sicherheitsrisiko. Viele Unternehmen vernachlässigen diesen Bereich und das, obwohl nationale und internationale Gesetze vorschreiben, Zugriffsrechte zu kontrollieren und auch interne Unternehmensrichtlinien, Compliance- Grundsätze und externe Prüfer die Kontrolle der Zugriffsrechte fordern. Die Lösung: Um Abweichungen aufzuzeigen und gesetzliche Regularien einzuhalten, müssen die aktuellen, effektiven Berechtigungen von Mitarbeitern und Identitäten kontinuierlich geprüft werden (Continuous Auditing). daccord gewährleistet diese Überprüfung und bündelt und kontrolliert Zugriffsberechtigungen effektiv. 2.2 Produktvorstellung daccord bietet die Antwort auf die Fragen Wer hat welche Zugriffsberechtigungen? und gibt einen umfassenden Überblick über Benutzer und deren Berechtigungen in allen angeschlossenen Systemen. Eine Auswahl an möglichen zu überprüfenden Systemen sind z. B. folgende: 3
- HR-Systeme (z. B. SAP) - Verzeichnisdienste (z. B. Microsoft Active Directory, Novell edirectory) - Datenbanken (z. B. MySQL, MSSQL, Oracle) - Webapplikationen (z. B. Microsoft Sharepoint, Novell Vibe) - Mail-Systeme (z. B. Microsoft Exchange, Lotus Notes, Novell GroupWise) - Fileshare (z. B. Microsoft-Filesystem-Berechtigungen, Novell-OES- Filesystem-Berechtigungen ) - ERP-Systeme (z. B. SAP) - Mainframe-Systeme - weitere IT-Systeme können durch universell einsetzbare Konnektoren angebunden werden daccord trägt alle Informationen zu Zugriffsberechtigungen zusammen. So ist jederzeit ein schneller Überblick gewährleistet und man sieht sofort, wer über welche Rechte verfügt. daccord analysiert die Ergebnisse auf Wunsch, wertet sie in individuellen Reports aus oder stellt sie zusammengefasst dar. daccord gewährleistet so Transparenz für das Unternehmen und deckt den Bereich Access Rights Control vollständig und sicher ab. 2.3 Vorteile und Kernfunktionen Risikominimierung durch transparente Rechtestrukturen daccord bietet Sicherheit und Transparenz bei Zugriffsrechten und minimiert Risiken erheblich. Die Systeme sind vor ungewollten Einsichten, die aus vergessenen Zugriffsrücknahmen resultieren, geschützt. Langfristige Auswertung von Zugriffsberechtigungen in allen Systemen (Continuous Auditing) daccord liefert eine langfristige und stets aktuelle Systemauswertung. Die Daten werden aus sämtlichen Systemen innerhalb der IT-Landschaft gesammelt und in der daccord-datenbank gespeichert. So können auch historische Daten immer wieder abgerufen werden. Missverständnisse darüber, wer zu welchem Zeitpunkt Zugriffe auf bestimmte Anwendungen hatte, treten dann gar nicht erst auf. Der Bereich Access Rights Control ist somit abgedeckt. Erfüllung gesetzlicher Anforderungen durch Bereitstellung von Berechtigungsprotokollen daccord stellt in Form von Berechtigungsprotokollen einen Überblick über die Zugriffsberechtigungen her und ermöglicht so eine professionelle und rechtlich gewünschte Präsentation, z. B. bei externen Prüfun- 4
gen oder für die Geschäftsleitung. daccord ermöglicht die Überwachung der Berechtigungen im Rahmen der so wichtigen Funktionstrennung (Segregation of Duties). Automatische Anzeige von Rechteverletzungen (Funktionstrennung) daccord überprüft, ob die erteilte Zugriffsberechtigung zu den dieser Person zugewiesenen Rechten passt. Ist das nicht der Fall, meldet daccord automatisch eine Rechteverletzung und informiert nach einem vorher festgelegten Prozess zum Beispiel den verantwortlichen Rechtemanager (RightsManager) oder den IT-Experten per E-Mail darüber. Verständliche Darstellung von Rechtestrukturen daccord stellt die Rechtestrukturen innerhalb eines Unternehmens verständlich dar, schützt vor ungewollten Datenzugriffen und vereinfacht so allen Beteiligten die Arbeit. Reduzierung der Kosten für aufwendige Rechteanalysen daccord entlastet die IT-Mitarbeiter, die bisher z. B. alle Rechtestrukturen manuell und einzeln aus den Systemen erstellen mussten, schafft Freiräume für wichtigere Dinge und hilft so, Arbeitszeit und Geld zu sparen. Transparente Darstellung von aktiven und inaktiven Lizenzen Durch eine Filterfunktion selektiert daccord nach aktiven und inaktiven Benutzern und schafft so eine klare Übersicht wer in den Unternehmenssystemen aktiv ist. Eventuelle inaktive Benutzer können aus den Systemen gelöscht und somit Lizenzkosten eingespart werden. Rollenbasierte Zugriffskontrolle (Role Based Access Control) Die verschiedenen Funktionen im Unternehmen sind meist über Rollen definiert. Ähnlich können Rollen auch in punkto Zugriffrechten eingeteilt werden. Die Zuweisung, wer, welche Berechtigungen erhält, geschieht somit einfach über vordefinierte Rollen. 3. Funktionsweise Die wesentlichen Aufgaben von daccord sind, Daten aus Systemen verschiedener Art zu aggregieren, Verantwortliche bei Rechteverletzungen zu benachrichtigen und Reports über vergebene Berechtigungen zu erstellen. Um diesen Anforderungen gerecht zu werden, müssen die Informationen in ein übergreifendes und auswertbares Datenmodell überführt werden. 5
3.1 Datenmodell Das Datenmodell ist das Ergebnis der Datenaufbereitung und stellt die verschiedenen Beziehungen der in den Systemen agierenden Persons, User, Rights und Relations dar. Im Bild wird SAP als Basissystem angesehen, um die Stammdaten einer natürlichen Person (Person) zu erhalten. Dies kann auch durch ein anderes System (meist HR-System) ersetzt werden, das die Daten der natürlichen Personen beinhaltet. - Person(s): Als Person wird innerhalb des daccord-systems eine natürliche Person mit ihren Eigenschaften (Stammdaten) verstanden. Eine Person kann eine beliebig große Anzahl an Usern in den verschiedenen Anwendungen oder Systemen besitzen (z. B.: Person Max Mustermann hat in SAP, Microsoft ADS und Novell edirectory jeweils einen User). - User: Unter einem User wird in daccord die Repräsentation einer natürlichen Person (Person) innerhalb einer bestimmten Anwendung oder eines Systems verstanden (z. B. Useraccount in Microsoft ADS). 6
- Rights: Rights bzw. Rechte sind im daccord-system Berechtigungen, die eine Anwendung oder ein System zur Verfügung stellen (z. B. Gruppen in Microsoft ADS, Rollen in SAP). - Relations: Alle Informationen bezüglich der Zuweisung eines Rechts (Rights) zu einem Benutzerkonto (User) werden innerhalb des daccord-systems als Relations bezeichnet. Dazu gehören sowohl die Rechtezuweisungen als auch die Laufzeit der Rechtezuweisung (z. B. Gruppenzugehörigkeiten eines Benutzers, Gültigkeitsdatum). - System: Ein System ist eine in daccord dargestellte Anwendung, in der eine Person mindestens einen User und eventuell Berechtigungen (Rights) besitzt (z. B. Microsoft ADS, Lotus Notes oder Fachanwendungen). - PersonManager: Die Zuweisungen (Personenverantwortlichkeit) zwischen verschiedenen Personen (Persons) innerhalb des Systems werden als PersonManager-Beziehung bezeichnet. Dies kann zum Beispiel eine Vorgesetztenstruktur sein (z. B. Max Mustermann ist Head of Department und damit Vorgesetzter, also PersonManager, der ihm direkt unterstellten Mitarbeiter). - RightsManager: Die Zuweisung (Rechteverantwortlichkeit) von Personen (Persons) für verschiedene Berechtigungen wird innerhalb des daccord-systems als RightsManager bezeichnet (z. B. Max Mustermann ist verantwortlich für das Recht xy in einem bestimmten System und kann einsehen, wer dieses zugewiesen bekommen hat). - Proxy: Die Zuweisung (Vertretung) zwischen verschiedenen Personen (Persons) im Sinne einer Vertretungsbeziehung wird als Proxy- Zuweisung bezeichnet (z. B. Max Mustermann ist Vertreter von Erika Musterfrau und erhält dadurch erweiterte Möglichkeiten innerhalb von daccord, er kann zum Beispiel die Rights von Erika Musterfrau einsehen). 3.2 Architektur Die Komponenten Collector Engine, Notification Engine, User Frontend und Admin Frontend bilden die grundlegende Architektur von daccord. Nachfolgend werden die Komponenten genauer beschrieben. 7
3.2.1 Collector Engine Mithilfe der Collector Engine stellt daccord Kontakt zu den verschiedenen Systemen her, identifiziert die Informationen über Persons, User, Rights und Relations und überträgt sie in das zentrale daccord-system. Um eine Verbindung mit dem Zielsystem herzustellen, verwendet daccord die sogenannten Connectoren. Zurzeit stehen folgende Connectoren zur Verfügung: - Microsoft Active Directory Connector - Novell edirectory Connector - CSV Connector - JDBC Connector - Oracle JDBC Connector - FLT (Fixed Length, Mainframe) Connector - XML Connector - Novell OES Filesystem Connector Die Informationen liefern einen Differenzabgleich zwischen den zurückgelieferten Daten (Ist-Zustand im angebundenen System) und den bisherigen Daten (historische Daten, Daten des letzten Abgleichs 8
im daccord-system). Das Ergebnis des jeweiligen letzten Laufs wird in der daccord-datenbank im Datenmodell gespeichert und für die nächste Überprüfung wieder zum Differenzabgleich zur Verfügung gestellt. Somit kann immer auf die historischen Stände der Berechtigungen zurückgegriffen werden. Der Zeitraum, wann daccord die Verbindung zu einem Zielsystem aufnimmt und Daten daraus importiert, kann flexibel eingestellt werden (z. B. täglich, wöchentlich oder monatlich). Ein manueller Start ist ebenso jederzeit möglich. Die Collector Engine kann zudem auf Ereignisse während der Datensammlung aktiv reagieren und eine beliebige Anzahl von festgelegten Aktionen automatisch durchführen. Eine Vorgabe/Aktion könnte z. B. lauten, alle Daten, die älter als 14 Tage sind, täglich zu löschen. Eine andere könnte z. B. lauten, den Systemadministrator bei einem fehlgeschlagenen Import von Daten zu benachrichtigen. Von der Collector Engine initiierte Aktionen sind zum Beispiel: - Mail Action (z. B. automatisierte Benachrichtigung per E-Mail) - JDBC Action (z. B. automatisierter Aufruf einer Datenbankbereinigung) - Report Action (z. B. automatisierte Reporterstellung) 3.2.2 Notification Engine Während die Collector Engine die Daten aus den verschiedenen angeschlossenen Systemen in die daccord-datenbank überträgt, führt die Notification Engine eine automatisierte Überwachung der vergebenen Rechte an Personen (Persons) und deren User durch. Falls z. B. eine Rechteverletzung vorliegt, benachrichtigt das System die jeweiligen Vorgesetzten oder Verantwortlichen (RightsManager) automatisch darüber. Zeitgesteuerte oder manuell gestartete Benachrichtigungen versendet daccord per E-Mail an die vorher definierten Personen (Persons) im System und hängt zusätzliche Informationen je nach Unternehmenswunsch Dokumente (z. B. Anweisungen) oder dynamisch generierte Reports mit an. Ebenfalls möglich ist das Anstoßen eines Workflows. Die Regel (z. B. eine Benachrichtigung bei einem bestimmten Ereignis auszulösen) kann beliebig hinterlegt werden. Als praktisches Beispiel sei hier der Einsatz von externen Mitarbeitern genannt. Nach Projektende informiert daccord automatisch den zuständigen RightsManager darüber, 9
dass die Zugriffsrechte dieser Mitarbeiter nun wieder zurückgesetzt werden müssen. Eine Sicherheitslücke schließt sich. Derzeit unterstützt die Notification Engine folgende Arten von Benachrichtigungen: - Mail-Benachrichtigung (E-Mail mit dynamischem Inhalt und einer beliebigen Anzahl von Anhängen) - Mail-Report-Benachrichtigung (E-Mail mit dynamischem Inhalt und einer beliebigen Anzahl von angehängten, dynamisch generierten Reports) - Lotus Notes Workflow Notification (z. B. wird eine Rezertifizierung durch einen Workflow angestoßen, der in einem bestimmten E-Mail- Format versendet wird) 3.2.3 User Frontend Das webbasierte User Frontend von daccord dient der Darstellung von Informationen über Persons, User, Rights und Relations. Der Benutzer (User) meldet sich über daccord an, wird authentisiert und kann direkt auf das User Frontend zugreifen. daccord zeigt dem Benutzer (User) zunächst seine eigenen Daten und Berechtigungen in der Perspektive Meine User IDs und Berechtigungen an. Darüber hinaus kann der Benutzer (User) zwischen den weiteren Perspektiven Berechtigungen, die ich verwalte, Mitarbeiter, die ich verwalte, sowie Meine Rollen und Berechtigungen wählen. - Meine User IDs und Berechtigungen: Angezeigt wird eine Übersicht aus dem Zielsystem über die zu dem daccord-anwender gehörenden Benutzer (User) und die jeweiligen Rechte (Rights). - Berechtigungen, die ich verwalte: In dieser Perspektive werden der Person (Person) die Rechte (Rights) in den Zielsystemen aufgezeigt, für die sie selbst verantwortlich ist (RightsManager). Zu jedem Recht (Right) werden die Personen (Persons) angezeigt, die dieses Recht (Right) besitzen. - Mitarbeiter, die ich verwalte: In dieser Perspektive wird der Person (Person) eine Hierarchie von Persons angezeigt, für die sie bezüglich der Berechtigungsvergabe verantwortlich ist (PersonManager). Der PersonManager kann sich über die Berechtigungen seiner zugewiesenen Personen informieren. - Meine Rollen und Berechtigungen: Diese Perspektive dient der Darstellung der vergebenen Rechte (Rights) bezüglich der Aufgabenstellung, die eine Person (Person) im Unternehmen hat. Hier kann an- 10
gezeigt werden, welche Rechte (Rights) eine Person (Person) aufgrund ihres Aufgabengebietes haben sollte und welche Rechte (Rights) sie tatsächlich hat. Die Rechte (Rights), die die Person (Person) aufgrund ihrer Funktionen und Aufgaben haben sollte, werden vorher definiert und im System hinterlegt. - Meine Anträge: In dieser Perspektive können Anträge, die der Anwender genehmigt hat, Anträge, die er selbst erstellt hat oder Anträge, die ihm zugeordnete User betreffen einsehen. In jeder der Perspektiven gibt es die Möglichkeit, Reports als PDF-File generieren zu lassen. Außerdem bietet daccord umfassende Filterund Selektionsmöglichkeiten; so können z. B. inaktive Personen (Persons) entweder angezeigt oder ausgeblendet werden. 3.2.4 Admin Frontend Für administrative Tätigkeiten steht ein umfangreiches Admin Frontend zur Verfügung. Hierüber können alle Komponenten des Systems administriert werden. Je nach Anforderung, kann die Anzahl an Collectoren in größeren Umgebungen steigen. Deshalb sind zur einfacheren Darstellung im Admin Frontend Möglichkeiten implementiert, die eine Gruppierung der Collectoren und Notifications in logische Einheiten ermöglichen. Nach Anmeldung stehen dem Administrator neben einer Hilfeoption und einer Kurzdokumentation unterschiedliche Perspektiven zur Verfügung: - Engines - Frontends - User und Rollen - daccord-daten Folgende Funktionen können über diese Perspektiven ausgeübt werden: - Engines: Das Admin Frontend bietet die Möglichkeit, die Collector Engine und die Notification Engine in der Perspektive Engines zu konfigurieren. Dort lassen sich auch die sogenannten Collector Groups und die Notification Groups modifizieren, ergänzen, ändern und löschen. Gleichzeitig dient diese Ansicht der Überwachung von Collectoren und Notifications. Zum Beispiel wird angezeigt, ob ein bestimmter Collector aktiv ist oder ob er bei der letzten Ausführung fehlerfrei gelaufen ist. 11
- Frontends: In der Perspektive Frontends können unterschiedliche Konfigurationsparameter für die Frontends hinterlegt werden. Generell werden von daccord mehrere Frontends unterstützt, deren Parameter unterschiedlich konfiguriert werden können. Zum Beispiel ist in den Parametern einzustellen, welches System zur Validierung des Anmeldenamens genutzt werden soll. - User und Rollen: In dieser Perspektive werden interne Benutzer angelegt, d. h. Benutzer mit administrativen Berechtigungen. Im Feld Rollen werden die Rollen der internen daccord-user verwaltet, sprich die Funktion des Users wird mit den jeweiligen Rechten einer Funktion versehen. - daccord-daten: In daccord-daten können detaillierte Suchen nach Persons, User und Rights durchgeführt werden. Die Suche dient der Überprüfung und Kontrolle des Datenbestandes. Diverse Filtermöglichkeiten in der Suchmaske ermöglichen die Suche vielfältiger und detaillierter Informationen. Für angezeigte Personen (Persons) können die Person-Reports und für angezeigte Rechte die Rights- Reports generiert werden. Auch eine manuelle Zuweisung von PersonManager, RightsManager und Vertretungen sind möglich. Diese Zuweisungen können im Gegensatz zu den automatischen Importen (z. B. die Vorgesetztenstruktur aus SAP) auch manuell wieder entfernt werden. Zudem lassen sich in der Perspektive daccord-daten von jedem Administrator Rollen verwalten. Den Rollen können die eingelesenen Rechte aus den Systemen zugewiesen werden. Personen (Persons) können die Rollen dann direkt oder indirekt über weitere Rollen zugewiesen werden. 4. Fazit Mit dem übergreifenden System daccord bekommen Unternehmen die Kontrolle über die Zugriffsberechtigungen in den Griff und erhalten darüber hinaus langfristige Auswertungen über die Rechtevergabe im Unternehmen. Dies entlastet IT-Mitarbeiter und minimiert die Sicherheitsrisiken vor unerlaubten Zugriffen. G+H Netzwerk-Design Gesellschaft für IT Consulting mbh Obere Grenzstraße 74 63071 Offenbach am Main Ansprechpartner Sabrina Weimer +49 (0) 69 85 00 02-72 s.weimer@netzwerk-design.de www.netzwerk-design.de 12