Zum Newsroom

von Martina Glock/Björn Pagenkämper

Auf der Suche nach der idealen Anwendung werden Fachbereiche immer häufiger nicht mehr im Portfolio des Unternehmens, sondern eher im Internet bei entsprechenden Softwareanbietern fündig. Ein kostenloser Monat für das begehrte Stück, welches als Software as a Service (SaaS) serviert wird, tut ja nicht weh und nur einmal schauen ist sicherlich okay. Nach dem ersten "nur einmal schauen" wird dann gerne mal mehr damit herumprobiert und auch der Arbeitskollege vom Tisch gegenüber ist schnell interessiert. Aus einem Kollegen werden dann schnell 5 und man stellt fest, dass es sich gut gemeinsam damit arbeiten lässt. Aber was ist schon das gemeinsame Arbeiten ohne den entsprechenden Input? Also werden noch schnell einige Datensätze importiert – Test-Daten versteht sich - schließlich muss man sich ja auch versichern, dass später vielleicht Bestandsdaten überführt werden könnten.

Der Testmonat neigt sich dem Ende, alle im Team sind total happy mit dieser neuen Lösung - was nun? 2 € pro Benutzer oder dann auch 12 € im Monat sind ja nicht viel und das lässt sich gut über die Firmenkreditkarte abrechnen…  So oder so ähnlich ist aus der Not beziehungsweise einem Test nach wenigen Monaten eine produktive Lösung geworden, die man nicht wegdiskutiert bekommt.

Warum auch? Die Fachabteilung kann jetzt viel effektiver arbeiten und günstig ist es ja eigentlich auch.

So landet das Thema dann bei der IT-Abteilung, die die Pflege der neuen Anwendung übernehmen soll. Neben dem künftigen Anlegen und Löschen von neuen Accounts für Kollegen, kann diese sicherlich das Manko mit verschiedenen Benutzernamen und Kennwörtern anpassen. Es liegt auf der Hand, dass dieses Vorhaben nicht auf viel Gegenliebe stoßen wird.

 Die IT-Abteilung kann hier auf verschiedene Weisen reagieren: Eine Arbeitsanweisung oder Policy rausgeben, nach welcher so ein Schabernack nicht erlaubt ist, wäre eine davon. Dem Fachbereich wird aber nicht damit geholfen sein. Erfahrungsgemäß wird es dann nur ruhiger um das Thema und zukünftige Vorhaben dieser Art werden noch mehr im Nebel - oder eben der Cloud - durch die Fachbereiche selbst realisiert – die Schatten-IT ist geboren.

Warum also nicht die Fachbereiche ins Boot holen und ihnen die Nutzung solcher Dienste im Rahmen etwaiger regulatorischer Auflagen ermöglichen?

 Eine Identity Governance and Administration (IGA) Lösung ist natürlich nicht das Allheilmittel. Nüchtern betrachtet kann es hier jedoch - richtig angewendet - den Knoten durchschlagen. Die IT-Abteilung kann wieder die Kontrolle über Daten bzw. Accounts erhalten - die Governance zurückerobern. Den Fachbereichen kann dabei die komfortable und flexible Nutzung solcher Services ermöglicht werden.

 Durch die Nutzung moderner Authentifizierungsmethoden und Schnittstellen kann die Anzahl von Zugangsdaten für unterschiedliche Anwendungen reduziert werden. Die meisten SaaS Plattformen bieten hierfür direkt die Möglichkeit, SAML, Oauth oder OpenID Connect (OIDC) zu nutzen. Hält man nun die Identitäten seiner Benutzer zentral vor und nutzt einen Dienst, der die Authentifizierung für die Benutzer bei den SaaS Anwendungen übernimmt - ein Identity Provider (IdP) – entfallen auch die lästigen Arbeitsunterbrechungen durch Neuanmeldungen. Im Hintergrund werden dann zwischen dem IdP und der Gegenseite "nur noch" Tokens ausgetauscht, welche die Rechtmäßigkeit des Benutzers beziehungsweise der Anfrage bestätigen.

So richtig entspannt kann es für Benutzer mit einem zentralen App-Portal oder einem App-Hub werden. Damit bietet man seinen Benutzern die Möglichkeit, unterschiedliche SaaS Anwendungen direkt von einer einzigen Oberfläche zu öffnen, ohne sich jedes Mal erneut anmelden zu müssen.

  Die SaaS Plattformen ermöglichen häufig über ihre Schnittstellen das Anlegen, Ändern oder auch Löschen von Benutzern in dem jeweils gebuchten Service. Eben diese Schnittstellen lassen sich mit einer passende IGA Lösung effizient nutzen und erleichtern am Ende der IT-Abteilung solche Tätigkeiten. Soll ein neuer Benutzer entsprechende SaaS Angebote nutzen, muss diese Berechtigung schlicht über eine Gruppenmitgliedschaft erteilt werden. Im Hintergrund wird ein Benutzerkonto mit benötigten Informationen (z.B. Name, Telefonnummer, Mailadresse etc.) angelegt - ohne dass sich ein IT-Mitarbeiter bei dem Anbieter einloggen muss, um den Vorgang manuell durchzuführen.

Gleiches gilt natürlich im umgekehrten Fall: Ein Mitarbeiter verlässt das Unternehmen oder ihm beziehungsweise ihr soll womöglich kurzfristig der Zugriff auf die Dienste entzogen werden. Die Deaktivierung des Benutzers oder das Ändern der Gruppenmitgliedschaft könnte bereits das Sperren oder sogar das De-Provisioning (das Löschen) des Benutzers beim betroffenen Dienst auslösen - kein Zugriff, kein Datenabfluss.

 Beschäftigt man sich intensiver mit dem Thema "Identity Governance & Administration" in seinem Unternehmen, stößt man schnell auf eine Vielzahl von Use-Cases, von denen sowohl die Benutzer als auch IT-Abteilung profitieren - und am Ende das ganze Unternehmen.