Grundsätze für ein erfolgreiches SSO-Projekt
Keine Digitalisierung ohne IT-Security: Ordnung schaffen in der Zugriffsverwaltung
Es gibt verschiedene Grundsätze, mit denen die Umsetzung eines Single-Sign-On-Projekts steht und fällt
Von Herbert Blaauw, Senior Manager Security, Atos
Unternehmen, die die Sicherheit und Anwenderfreundlichkeit ihrer IT-Systeme erhöhen wollen, kommen um ein unternehmensweites Single Sign-On (SSO) nicht herum. Dadurch können Nutzer über eine einmalige Authentifizierungsmethode auf alle Anwendungen zugreifen. Ein integriertes Passwortmanagement befüllt zudem Anmeldemasken, erstellt und verwaltet sichere, richtlinienkonforme Passwörter und definiert Zugriffsrechte und Rollen. Support-Anfragen aufgrund vergessener oder falsch eingegebener Passwörter sinken und da alle aktiven Nutzer erfasst werden, lassen sich zudem nicht benötigte Lizenzen identifizieren und Lizenzkosten optimieren. Wie können Unternehmen ein SSO-Projekt umsetzen und was ist dabei zu beachten?
Datensicherheit am Praxisbeispiel
Das Beispiel eines Krankenhauses veranschaulicht die Notwendigkeit einer starken Authentifizierung: Bei der Patientenbehandlung werden hochgradig sensible Personendaten erhoben und verarbeitet. Rechner dürfen nur von berechtigtem Personal genutzt werden. Gegebenenfalls müssen für unterschiedliche Personengruppen, etwa Ärzte und Pfleger, individuelle Berechtigungsstufen eingerichtet werden. Dabei lautet die oberste Maxime, dass der Authentifizierungsprozess das medizinische Personal in seiner eigentlichen Aufgabe nicht behindert.
Für ein Krankenhaus ist daher ein unternehmensweites Single Sign-On ideal. Damit können die Ärzte und das Pflegepersonal über eine einmalige Authentifizierungsmethode auf die Daten der Patienten zugreifen. Gleichzeitig wird sichergestellt, dass die sensiblen Patientendaten nur von berechtigten Personen eingesehen werden können. Mit dem Single Sign-On können sich Nutzer auch mit mobilen Geräten anmelden, um die erforderlichen Daten einzusehen. Fortschrittliche SSO-Lösungen bieten zusätzlich noch einen Notfallzugriff. Bei diesem Notfallzugriff können Anwender sich per QR-Code ein Einmal-Passwort für einen sicheren Zugriff erstellen.
Es gibt verschiedene Grundsätze, mit denen die Umsetzung eines Single-Sign-On-Projekts steht und fällt. Ein wesentliches Element ist das Projektziel. Dieses muss möglichst konkret formuliert sein - etwa, dass die Helpdesk-Kosten reduziert oder bestimmte Gesetze und Verordnungen eingehalten werden sollen. In der Regel gibt es ein bis zwei Hauptziele mit mehreren Unterzielen, die am besten schriftlich fixiert werden.
Zudem ist es wichtig, die Anwender am Projekt zu beteiligen. Deren Anmerkungen helfen, Pannen vorzubeugen und Anforderungen besser zu erfüllen. Sobald die Nutzer mit an Bord sind, sind die besten und wichtigsten Fürsprecher für das Projekt gewonnen. Sind sie hingegen nicht mit eingebunden, kann das zu Problemen und Unzufriedenheit im Unternehmen führen mit dem Resultat, dass sie das ihnen unbekannte System ablehnen und nicht nutzen. Änderungen in gewohnten Abläufen sollten daher auch auf ein Minimum reduziert und einzelnen Standorten oder Abteilungen gewisse Freiräume in der Planung des Projektes gewährt werden.
Regelmäßige Berichte geben Mitarbeitern eine Übersicht über den Projektstatus und wecken das Vertrauen der Beteiligten. Sie sollten daher auch für Nicht-Techniker verständlich sein und Informationen liefern, die für diese von Bedeutung sind wie die Anzahl der Helpdesk-Calls und Schätzungen der Zeiteinsparung durch die Automatisierung. Bei der Zusammenstellung des Projektteams ist es empfehlenswert, Rechtsabteilung miteinzubinden, damit von Anfang an auf Integrität, Vertraulichkeit und Verfügbarkeit der IT-Systeme hinsichtlich der rechtlichen Konformität geachtet wird.
Um die Kosten und die Komplexität eines Projekts zu kontrollieren, sollte die Architektur möglichst einfach gehalten werden. Werden bereits vorhandene Verzeichnisse, Server und Netzwerkressourcen verwendet, lassen sich Kosten während der Installation und im späteren Betrieb einsparen und ein schneller ROI belegen. Zum Ende des Single-Sign-On-Projekts sollte das Unternehmen die geforderten Ziele nochmals überprüfen und ausstehende Punkte oder auch Erweiterungsmöglichkeiten identifizieren, welche noch zusätzlich umgesetzt werden können.
Lesen Sie zum Thema "Software-as-a-Service" auch: SaaS-Magazin.de (www.saasmagazin.de)
Zugriffsrechte und Rollen genau definieren
Im Idealfall ist die SSO-Lösung Teil eines übergeordneten Identity and Access Managements (IAM). Darüber werden "Identitäten" plattform- und unternehmensübergreifend verwaltet. Denn zu wissen, wer wann auf welche IT-Ressourcen zugreift, ist für jede Organisation unverzichtbar gerade angesichts einer zunehmenden Vernetzung von Unternehmen untereinander. Dies umso mehr, als Mitarbeiter unterschiedliche Rollen übernehmen, etwa als Nutzer von SaaS-Angeboten, die das Unternehmen über eine Cloud bezieht, oder als "Mobile User", der von unterwegs aus auf das Firmennetz zugreift. Daraus entsteht ein Wildwuchs von Nutzerkonten und zeitlich befristeten Zugriffsrechten, dem nur eine IAM-Lösung Herr werden kann. Die Investition lohnt sich: Durch eine "All-in-One"-Lösung, in der unter anderem das SSO samt Web-Access-Management gebündelt ist, sinkt der Administrationsaufwand für die IT-Abteilung, während durch genau definierte und umgesetzte Rollen und Zugriffsrechte das Sicherheitsniveau steigt. (Atos: ra)
eingetragen: 17.05.16
Home & Newsletterlauf: 03.06.16
Atos: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.