Identitäten, Rollen und Anwendungen

Nach dem Login kann ein Administrator in verschiedenen Bereichen mit seiner Arbeit starten: Nutzer, Berechtigungen / Rollen und Anwendungen managen. Über den Teil des Access Managements hinaus, bietet die Admin-Konsole die Möglichkeit den User-Life-Cycle zu gestalten. Für technische Administratoren gibt es den direkten Zugang zur Nutzerverwaltung.

Erfahren Sie mehr zu den genannten Bereichen: Zugriffssteuerung – User-Life-Cycle – Nutzerverwaltung – Anbindung von Anwendungen

Neben dem Registrierungsvorgang für neue Nutzer (integriert im User-Self-Service der MyProfile-Applikation), kann ein Administrator auch manuell neue Nutzer anlegen. Über die Suchfunktion kann er existierende Nutzer finden und diese managen. Dazu gehören neben dem klassischen Passwort-Zurücksetzen auch die Modifikation persönlicher Nutzerinformationen oder die Zuweisung eines Nutzers zu einer SSO-angebundenen Anwendung (Tenant). Darüber hinaus ermöglicht das System:

• Die Einteilung von Nutzern in Sicherheitsklassen,
• deren Zuteilung zu bestimmten Organisationseinheiten und
• Rollenzuweisungen.

Siehe auch Erläuterungen zu IMS-Bestandteilen weiter unten.

Ergänzende Funktion zur Administration – hier erfahren Sie mehr darüber: User-Self-Service

Im IMS-Tool gibt es die Abbildung hierarchisch-strukturierter Organisationen:

• Oberstes Element ist die „Corporation“.
• Kleinstes Element ist eine Organisationseinheit.
• Mehrere Organisationseinheiten können eine „Company“ bilden. Mehrere „Companies“ bilden zudem die höchste Einheit „Corporation“.
• „Corporation“, „Company“ und Organisationseinheiten bezeichnet man allgemein als Organisation. Jede Organisation ordnet man einem Tenant (SSO-angebundene Anwendung) zu.
• Ein Administrator kann bei Bedarf weitere Ebenen hinzugefügen und auch die Bezeichnungen frei wählen.

Diese Struktur ermöglicht die reale Abbildung der Zugehörigkeiten der Nutzer und befähigt Administratoren Verantwortungsbereiche zu delegieren. Als wichtigsten Vorteil ergibt sich die Fein-Granularität für Nutzerrollen, die ganz bestimmten Organisationsebenen und Sicherheitsklassen angehören. Die genannte Funktion ist unbegrenzt skalierbar, was andere IMS-Tools üblicherweise durch technische Grenzen nicht ad-hoc bieten.

Wollen Sie unser System dazu in Aktion sehen, dann buchen Sie doch „Login-Master live“ mit uns: Live-Demo

Grundsätzlich managt das Single-Sign-On (Keycloak) angeschlossene Anwendungen. In der Admin-Konsole pflegt ein Administrator die für den User-Life-Cycle relevanten Details einer Anwendung. Genauer gesagt geht es hier um die Rollen, die in jeder Anwendung definiert sind. Zur Pflege kann der Administrator

• neue Anwendungen definieren
• nach bestehenden Anwendungen suchen
• Rollen zu Anwendungen hinzufügen oder darin löschen.

Erfahren Sie mehr über die oben genannten Systemfunktionen: Single-Sign-On – Dynamische Berechtigungsvergabe

Berechtigungen überträgt Login-Master an die jeweilige Anwendung just-in-time während der Nutzersession. Dazu bestimmt und konfiguriert ein Anwendungsarchitekt zuvor die Rollen in seiner Anwendung. Und der IMS-Administrator übernimmt diese im IMS-Tool und bestimmt die Nutzerberechtigungen. Rollen können neben ihren Standardparametern Gültigkeitsspannen inne haben und auf aktiv oder passiv gestellt sein. Rollen sind immer mit einer Sicherheitsklasse verknüpft, d.h. nur autorisierte Nutzer können bestimmte Rollen ausführen oder vergeben.

Nach der Registrierung besitzt ein Nutzer eine Default-Security-Klasse. Dies entspricht ganz generischen Berechtigungen, wie z.B. dem Erhalt eines Newsletters, den er auch abbestellen kann. Ein Administrator, der einer höheren Sicherheitsklasse als der Nutzer angehört, kann ihm weitere Berechtigungen zuweisen.

Erfahren Sie mehr über die ausgefeilte, hochmoderne und damit sehr sichere Zugriffssteuerung von Login-Master in unserem kostenfreien Webinar mit Kuppinger & Cole: The Evolution of Access Control

Nach unserem Stufenmodell hat ein globaler Administrator die höchste Sicherheitsklasse und kann alle Aktivitäten in dem IMS-System vornehmen. Wie zum Beispiel delegierte Administratoren bestimmen, die dann weniger oder maximal die gleichen Rechte inne haben.

Erfahren Sie mehr darüber: Delegierte Administration

Login-Master bietet ein Sicherheitsmodell vom Feinsten. Warum? Weil wir es hier mit einer hochmodernen und sicheren Berechtigungsvergabe zu tun haben. Wir teilen Rollen in Sicherheitsklassen ein. Je nach Höhe der Sicherheitsklasse ist eine Rolle sicherheitsrelevant oder eher unkritisch.

Anwendungsrollen und Nutzer sind immer mit einer Sicherheitsklasse verknüpft. Dies hat mehrere Gründe:

• Sichtbarkeit: Nutzer können Rollen sehen, deren Sicherheitsklasse gleich oder niedriger ist als ihre eigene.
• Pflege: Nutzer können ihre Rollen managen (erstellen, ändern, löschen), deren Sicherheitsklasse gleich oder niedriger ist als ihre eigene.
• Rollenzuweisung: Zur Vergabe, der Änderung oder dem Löschen von Rollen anderer Nutzer muss ein Nutzer einer „Mindest-Sicherheitsklasse“ angehören. Meist ist dieser als Administrator definiert.

Besondere Sicherheitsstufen haben z.B. Rollenadministratoren, die neue Rollen und Berechtigungen ins System einpflegen oder generelle Änderungen daran vornehmen. Einige Vorgänge sind erst unter Einbindung von Workflows möglich, z.B. die Bestimmung eines „Corporate“-Administrators. Supportmitarbeiter haben höhere Sicherheitsklassen als „Nutzeradministratoren“, jedoch eine geringere als der globale IMS-Admin.

Erfahren Sie mehr über ähnliche Themen: Sicherheit – Rollenshop