Identity Governance – Zugriffspakete

Verfasst vonClick Coach - Approach the CoachVeröffentlicht inAzure, Cloud, Identity, Risiken absichernSchlagwörter:, , , , , ,

English Version

Wir haben in der Vergangenheit vermehrt über PIM (Privileged Identity Management) gesprochen. Damit wird sicher gestellt, dass administrative Konten nur die Rechte haben, die tatsächlich gebraucht werden. Die Rechte werden automatisch nach einer bestimmten Zeit wieder entfernt.

Aber ist PIM auch für diesen Fall geeignet? Bernd hat gerade in der Buchhaltung angefangen. Bernd braucht jetzt die gleichen Rechte wie Lola um seine Arbeit zu machen. Bernd kennt aber nicht genau die Gruppenstrukturen im Active Directory oder Entra. Dann sind ‚Access Packages‘ die bessere Wahl.

  • PIM: Für den Rollen-basierten Zugriff auf Entra oder Azure Ressourcen
    • Im Zentrum stehen IT Rollen
    • Man stellt einen PIM Antrag für eine bestimmte Rolle oder Gruppe
  • Access Packages: Für den Rollen-basierten Zugriff auf Applikationen oder Daten
    • Im Zentrum stehen User-Aktivitäten / Programmzugriffe
    • Man stellt einen Antrag auf eine vordefinierte Sammlung von Rechten

Doch was sind ‚Access Packages‘ wirklich und wie funktionieren die eigentlich?

Sagen wir Bernd braucht hauptsächlich zwei Zugriffe:

  • Buchhaltungsprogramm
  • MWST Abrechnungsprogramm

Wie würde das jetzt heute laufen? Lola aus der Buchhaltung schreibt vielleicht ein Mail an die IT „Bernd braucht Zugriff! Gleich wie ich!“ Kopieren wir also in der IT einfach die Gruppenmitgliedschaften und gut ist? Blöd ist einfach, dass Lola auch Zugriff auf die Spesenabrechnungen der Geschäftsleitung hat. Dumm gelaufen.

Mit „Access Packages“ kann der Zugriff nun so gestaltet werden, dass zukünftig nicht die IT, sondern die betroffene Abteilung entscheidet welche Zugriffe Bernd braucht.

Eigene ‚Access Packages‘ erstellen

Erstellen wir also unser erstes ‚Access Package‘. Zu finden ist das im ‚Azure Portal‘ unter ‚Identity Governance‘. Klicken wir hier auf ‚New Access Package‘

Geben wir dem ‚Access Package‘ einen schlauen Namen und beschreiben wozu es gut ist

Wir sind beim Herzstück der ‚Access Packages‘ angelangt. Was brauchen Buchhaltungsmitarbeitende alles für ihren Job? Wir wählen für unser Beispiel das SAP Buchhaltungsprogramm aus. Praktisch können wir beliebige Gruppen und Programme zu einem Paket zusammenstellen.

Als nächstes definieren wir

  • Wer darf den Zugriff anfragen? In unserem Beispiel dürfen das alle in der Firma ausser den Gastkonten. Damit haben diese User noch keinen Zugriff aber zumindest die Möglichkeit den Zugriff zu erfragen.
  • Wer muss den Zugriff bewilligen? Das können spezifische Personen sein oder auch der Manager. Idealerweise ist es eine Gruppe damit die Stellvertretung gewährleistet ist.
  • Warum braucht es den Zugriff? Eine Begründung kann und soll verlangt werden.
  • Wie lange dauert das? Der Request muss in maximal 14 Tagen beantwortet werden, sonst verfällt er.

Jetzt gäbe es auch noch die Möglichkeit dem User standardisierte Fragen zu stellen. Das ist nicht zwingend aber ein Beispiel könnte so aussehen:

Jobs ändern sich! Personen sind nur temporär angestellt oder wechseln die Abteilung. Darum sollte ein Zugriff nicht permanent sein sondern ein vordefiniertes Ablaufdatum haben. Wird der Zugriff überhaupt noch gebraucht? Folgendes können wir definieren:

  • Läuft der Zugriff irgendwann ab oder ist er für immer?
  • Wann läuft der Zugriff ab?
  • Kann der User eine Verlängerung beantragen?
  • Muss die Verlängerung auch wieder bewilligt werden?
  • Zum Thema ‚Access Review‘ werde ich einen weiteren Artikel schreiben, daher stellen wir das im Beispiel auf ‚Nein‘.

Es gibt einige erweiterte Funktionen, die nur mit einer ‚Governance License‘ möglich sind. Details über die ‚Governance License‘ finden sich hier. Mit der P2 Lizenz ist aber schon viel möglich aber eben nicht alles.

Als nächstes führen wir ‚Review + Create‘ durch und schon ist unser erstes Access Package bereit.

Zugriff verlangen

Damit ein solches Konzept funktioniert braucht es ein einfaches, von überall verfügbares Webportal. Das eben erstellte Zugriffspaket erscheint im Access Portal

Das Paket ist unter ‚Access Packages‘ sichtbar. Wir markieren es und klicken auf ‚Request‘

Wir sehen:

  • Um welches Paket geht es
  • Für welche Ressourcen wird der Zugriff angefragt

Nun beantworten wir die vordefinierten Fragen und begründen unseren Antrag.

Zugriff gewähren

Die Zugriffsanfragen werden auch per e-mail verschickt. Der Klick auf den Link führt dann aber direkt wieder ins Access Portal wo der Antrag unter ‚Approvals‘ erscheint und bestätigt oder abgelehnt werden kann.

Zugriff nutzen

Der Benutzer wird per e-mail informiert, dass sein Antrag bewilligt wurde. Er kann seinen aktiven Zugriff oder den Status auch jederzeit im Access Portal kontrollieren.

Unter ‚Actions‘ kann man den Zugriff auch vorzeitig wieder zurückgeben oder entfernen lassen wenn man ihn nun doch nicht mehr braucht.

Und zum Schluss

Microsoft hat hier ein durchgängiges System geschaffen mit dem die IT entlastet wird indem die Zugriffe direkt von den zuständigen Abteilungen verwaltet werden können. Zukünftig soll es auch möglich sein Entra Rollen zu integrieren. Ich werde im nächsten Teil erklären wie ‚Access Reviews‘ funktionieren und wie wir die ‚Access Packages‘ sinnvoll ergänzen können.

Denkt daran

  • Ideen oder Feedback kannst Du jederzeit über den Vorschlaghammer einbringen
  • Gerne kannst Du unsere Seite unterstützen und dabei gut aussehen mit dem T-Shirt
Heute über Access Reviews
Heute über Access Reviews

Veröffentlicht von Click Coach - Approach the Coach

I’ve been working in IT for over 20 years, mainly within the Microsoft world. Over the years, I’ve come across the same questions and problems again and again. On my blog, I share tips and tricks on all kinds of IT topics. It’s not meant for IT pros — but they’re welcome to read along too! 😊

Hinterlasse einen Kommentar