Mit ORG 4 alles perfekt geregelt

Die ordnungsgemäße Berechtigungsverwaltung und die Beschränkung der Zugriffsrechte auf das erforderliche Minimum sind aktuelle Grundforderungen von diversen Gesetzen und Richtlinien.

Die ORG Suite von FSP ermöglicht Ihnen zentral und effizient das Management und die Dokumentation der Zugriffsmöglichkeiten auf Anwendungen und deren Funktionen in Ihrem Unternehmen. Fünf Module von ORG decken sämtliche denkbaren Erfordernisse rund um Ihr Berechtigungsmanagement ab.

Fünf Module, ein Ziel: Das sichere und komfortable Berechtigungsmanagement

Workflow
Workflow
Admin
Admin
Connect
Connect
Ticket
Ticket
Report
Report

Die Module von ORG 4 im Überblick

ORG Workflow
ORG Admin
ORG Connect
ORG Ticket
ORG Report
ORG Workflow
1. Workflow
2. Vorteile
2. Rezertifizierung

ORG Workflow

Der Governance Workflow zur Einbindung der Fachabteilungen, Partner und Benutzer in die Berechtigungsverwaltung zur Steigerung von Effizienz und Geschwindigkeit der Bearbeitung:

  • Direkte Einbindung der Fachabteilungen. Es ist sichergestellt, dass die IT-Sicherheitsrichtlinien eingehalten werden und die zugewiesenen Berechtigungen rückverfolgbar, rezertifizierbar und auditierbar sind
  • Übertragung der Verantwortung für die Verwaltung der Zugriffsrechte bedarfsgerecht auf Fachabteilungen, Partner und Benutzer

Vorteile

  • Bearbeitungszeiten für Zugriffsfreigaben werden deutlich verkürzt
  • Die Vergabe, Änderung und Löschung von Zugangsberechtigungen ist lückenlos historisch nachvollziehbar
  • Die Realtime-Provisionierung ermöglicht die unmittelbare Freigabe benötigter Zugriffe für die Benutzer
  • Die regulatorischen Anforderungen werden gemäß den Compliance-Vorgaben eingehalten
  • Administratoren werden durch die Einbindung der Fachabteilungen mittels ORG-Workflow entlastet

    Rezertifizierung von Berechtigungen

    Die effiziente Rezertifizierung von Zugriffsrechten ermöglicht es, die Zugriffsrechte aller Benutzer zu überprüfen und auf Unstimmigkeiten und Veränderungen zeitnah zu reagieren.

    • Regelgesteuerte Rezertifizierungskampagnen auf Basis von Organisationen, Aufgaben, Inhabern oder Risikobewertungen
    • Möglichkeit zur Online-Fortschrittskontrolle des Rezertifizierungsprozesses
    • Automatische Eskalationsverfahren bei fehlenden Rezertifizierungen
    • Auditierbare Kampagnen: vollständige Ereignisprotokollierung und Archivierung
    ORG Admin
    1. Admin
    2. Funktionen
    3. AG
    4. RAS

    ORG Admin

    • Initialbefüllung aus Human Resources-, Software Asset Management- und IT-Asset-Management-Systemen mit Device- und Software-Informationen sowie Abteilungs-, Stellen­- und Rollen­informationen
    • Abbildung feingranularer Berechtigungsregeln (ABAC / Externalised Access Management)
    • Definition Beantragungsprozess
    • Definition von Rollenkonflikten (Segregation of Duties)
    • Revisionssicherheit durch Historisierung sämtlicher Administrationsvorgänge
    • Mandantenfähigkeit

    Funktionen

    Flexible Administration bei

    • Stellenwechsel (automatischer Verlust der bisherigen Rechte, Gewinn der neuen Rechte)
    • Abteilungswechsel (automatischer Verlust der bisherigen Rechte, Gewinn der neuen Rechte)
    • Austritt (automatischer Verlust aller Rechte)
    • Eintritt (Rechte können zum Eintrittsdatum automatisch scharf geschaltet werden)
    • Berechtigungsregeländerungen
    • Korrektur von zeitlichen Befristungen

    Access Governance

    • Stellen- und rollenbasiertes Role Lifecycle Management
    • Automatische Stellen- und Rollenzuordnung möglich
    • Integration in bestehende Identity-Management-Umgebungen mittels Standard-Konnektoren
    • Durchsetzung von SoD-Regeln (Segregation of Duties)
    • Steuerung der Autorisierung basierend auf der Abbildung der internen IT-Sicherheitsrichtlinien in Rollen und feingranularen Rechten

    Rezertifizierung, Audit, Security

    • Festlegung von Rezertifizierungsprüfungen für die vergebenen Zugriffsrechte inklusive Rezertifizierungs-Workflows
    • Historisierung der Zugriffsrechte und deren Veränderungen
    • Single Point of Information und Umsetzung der Zugriffsrichtlinien
    • Flexible Report-Erzeugung dynamisch online nach Bedarf oder standardisiert im Hintergrund
    • Flexible, bedarfsgerechte Verwaltung der Rechte von Administratoren mit unterschiedlichen Berechtigungsprofilen
    ORG Connect
    1. ORG Connect
    Neues Register

    ORG Connect

    Als Modul zur Provisionierung ermöglicht die zentrale Administration und Steuerung der Berechtigungsinformationen in sämtlichen IT-Systemen:

    Provisionierung

    • Anbindung und Steuerung von IT-Applikationen durch eine große Auswahl von Out-of-the-Box-Konnektoren
    • Flexibler und hochskalierbarer Abgleich des Identity Managements mit den anzubindenden Zielsystemen
    • Bereitstellung, Konsolidierung und Abgleich der Zugriffsrechte
    • Umsetzung von Veränderungen in Echtzeit

    User Management

    • Automatischer Datenimport der Personaldaten aus dem HR-System
    • Unterstützung des User-Lebenszyklus (Eintritte, Austritt und Stellenwechsel)
    ORG Ticket

    ORG Ticket

    Wenn die automatische Provisionierung nicht möglich oder aus anderen Gründen nicht sinnvoll ist, dann: E-Mails bzw. Tickets an Berechtigungs­administratoren mit Rückmeldung.

      ORG Report
      1. Register
      Neues Register

      ORG Report

      • Welche Mitarbeiter bzw. Dinge haben eine bestimmte Rolle, Stelle, …
      • Zeitreisemöglichkeiten, z. B. Vergleich von Berechtigungen über Zeiträume hinweg
      • Welche Detailrechte verbergen sich hinter User X nach User-ID, Stelle, Zeitpunkt, …

      Funktionen

      Flexible Auswertungen

      • welche Mitarbeiter haben Rolle X
      • Zeitreisemöglichkeiten, wie Vergleich von Berechtigungen über Zeiträume hinweg
      • welche Detailrechte verbergen sich hinter User X
      • nach User-ID, Stelle, Kostenstelle, Zeitpunkt usw.

      Regelmäßige Kontrolle der Berechtigungen / Rezertifizierung

      • Rezertifizierung auch für Fachabteilungen verständlich
      • Rezertifizierungsreports für Applikationsadministratoren
      • Rezertifizierungsreports für Auditoren / Wirtschaftsprüfer
      • Rollenkonflikt-Definition (Segregation of Duties)

      ORG Release 4.1: Die Aktualisierungen im Detail

      Segregation of Duties
      Risikoklassen
      Standard- & Ad-hoc-Rezertifizierungen
      Flexible Anbindung von Systemen
      Erweiterte Filter und Auswertungsmöglichkeiten
      Anbindung von AAD
      Diverse Standardreports
      WebService-Schnittstelle (SCIM)
      Segregation of Duties
      1. 
      2. 

      Unterstützung aller erforderlichen Funktionstrennungen (Segregation of Duties) mittels SoD-Matrix und der Möglichkeit befristeter Ausnahmen

      Eine SoD-Klasse (SoD-Attribut) besteht aus

      • Name, z. B. „Markt“ oder „Marktfolge“
      • Beschreibung (optional)

      Eine SoD-Regel besteht aus

      • Zwei unterschiedlichen SoD-Klassen
      • Risikoklasse
      • Strenge („Strikt“, „Übersteuern“ oder „Test“)

      Die Anzahl der SoD-Klassen und -Regeln ist „beliebig“.
      Alle SoD-Regeln zusammen bilden dieSoD-Matrix.

      Zuweisung von SoD-Klassen zu Rollen

      • Einer Rolle können eine oder mehrere SoD-Klassen zugewiesen werden
      • SoD-Klassen, die in Konflikt stehen (eine SoD-Regel bilden), können nicht beide der gleichen Rolle zugewiesen werden

      Übersteuerung von SoD-Regeln

      SoD-Regeln können übersteuert werden (Strenge "Übersteuern" oder "Test"). Die dadurch entstehenden SoD-Verletzungen werden konsequent kontrolliert.

      SoD-Verletzung

      • Ein Benutzer hat zwei Rollen R1 und R2 zugeordnet (direkt oder indirekt) mit unterschiedlichen SoD-Klassen (R1: Markt, R2: Marktfolge), wobei die SoD-Klassen zur gleichen SoD-Regel gehören
      • SoD-Verletzungen werden nur auf Benutzer-Ebene zugelassen (nicht auf Ebene von fachlichen Rollen oder Systemrollen)
      • Übersteuern sowohl manuell als auch im Rahmen von Genehmigungen möglich
      • Für das Übersteuern von SoD-Regeln werden spezielle Berechtigungen benötigt
      • SoD-Verletzungen können bzw. müssen zeitlich befristet werden
      • Ggf. werden zeitnah Ad-hoc-Rezertifizierungen der betroffenen Benutzer ausgelöst

      Risikoklassen

      Unterstützung aller erforderlichen Risikoklassen mit Einfluss auf die Rezertifizierungsintervalle

      Zielsetzung von Risikoklassen:

      • Sichtbarmachen von Benutzern mit kritischen Berechtigungen
      • Unterschiedliche Rezertifizierungsintervalle, abhängig von der Risikoklasse

      Eigenschaften einer Risikoklasse:

      • Numerischer Wert (0 bis 9)
      • 0 => kein Risiko (Default-Wert)
      • 1 => kleinstes Risiko
      • 9 => höchstes Risiko
      • Name, z. B. „kein Risiko“, „niedrig“, „mittel“, „hoch“
      • Standard-Rezertifizierungsintervall (kann in Rezertifizierungsregeln geändert werden)

      Vergabe von Risikoklassen:

      • Risikoklasse als Attribut von Rollen, Rollengruppen, Stellen, Benutzern und SoD-Regeln
      • Editierbar nur für Rollen und SoD-Regeln
      • Die Risikoklassen von Rollengruppen, Stellen und Benutzern werden durch eine neue Überwachung („Batch-Risk“) ermittelt: 1. anhand der direkt und indirekt zugeordneten Rollen; 2. bei Benutzern zusätzlich anhand der verletzten SoD-Regeln; 3. => das jeweils höchste Risiko wird übernommen
        Standard- & Ad-hoc-Rezertifizierungen

        Turnusmäßige Standard-Rezertifizierungen und Ad-hoc-Rezertifizierungen, z. B. aufgrund von SoD-Verletzungen

        Standard-Rezertifizierungen abhängig von den Risikoklassen

        • Wie bisher: geplant, turnusmäßig, z. B. in Intervallen von 6 Monaten
        • Wie bisher: Objekte mit gleicher Zuständigkeit (z. B. Objekte der gleichen Organisationseinheit oder Objekte mit der gleichen Inhaberkennung) werden zu einem Rezertifizierungsprozess zusammengefasst
        • Neu: Objekte mit höherer Risikoklasse können in kürzeren Intervallen rezertifiziert werden

        Ad-hoc-Rezertifizierungen

        • Ungeplant, zusätzlich zu den turnusmäßigen Standard-Rezertifizierungen
        • Bei neuen nicht genehmigten oder zu lang dauernden SoD-Verletzungen bzgl. SoD-Regeln mit Strenge "Übersteuern"
        • Beim Wechsel der OE oder der Inhaberkennung (konfigurierbar)
        • Bei Erhöhung der Risikoklasse (konfigurierbar)
        • Auch dann, wenn das Objekt bzw. die Objekte bereits in einer aktuellen Standard-Rezertifizierung enthalten sind
        • Mit eigenen (kürzeren) Eskalationsstufen
        • Mit eigenen Mailtexten
        Flexible Anbindung von Systemen

        Flexible Anbindung von Systemen mit parametrisierbaren Rollen

        Über die ORG-Connectoren Ticket und Script können Systeme mit parametrisierbaren Rollen angebunden werden. Die Parameter der Rollen werden in ORG hinterlegt und bewirken, dass die Rolle im angebundenen System den Benutzern, die diese Rolle erhalten sollen, nicht einmal, sondern pro Parameter zugeordnet wird. Wird eine parametrisierte Rolle einem Benutzer in ORG entzogen, wird sie vom ORG-Connector dem Benutzer im angebundenen System für jeden Parameter entzogen.

          Erweiterte Filter und Auswertungsmöglichkeiten

          Erweiterte, komfortable Filter und Auswertungsmöglichkeiten direkt im GUI

          Die Rollenauswahl – z. B. im Rahmen von Beantragungen – kann jetzt anhand der Applikationen erfolgen, deren Namen eher bekannt sind als die Namen der Rollen.

          Ferner kann die Benutzerauswahl – ebenfalls z. B. im Rahmen von Beantragungen – jetzt durchgängig anhand der Organisationseinheiten erfolgen.

          Die Ergebnisse aller im GUI vorgenommen Auswertungen – individuell sowohl bezüglich der Filtereinstellungen als auch bezüglich der angezeigten Spalten – können mit einem Klick als CSV-Datei exportiert werden.

            Anbindung von AAD

            Konnektor zur direkten Anbindung von Azure Active Directory (AAD)

            • Direkte Anbindung von Azure Active Directory (AAD)
            • Neuer eigenständiger Konnektor, unabhängig vom bestehenden AD-Konnektor
            • Auf Basis des Microsoft Graph API
            • Abgleich der Benutzer anhand der von AAD vergebenen Unique ID
            Diverse Standardreports

            Diverse Standardreports

            Folgende Standardreports können z. B. im Rahmen eines Audits mit Hilfe des ORG-Reporting als CSV-Dateien erstellt werden:

            • Beantragte SoD-Verletzungen: Dieser Report liefert eine Auswertung darüber, welche SoD-Verletzungen aktuell beantragt, aber noch nicht genehmigt sind. Es werden sowohl die entsprechenden Benutzerprozesse als auch Prozesse bzgl. des Rollenmodells geliefert.
            • Genehmigte SoD-Verletzungen: Dieser Report liefert eine Liste der trotz entstehender SoD-Verletzungen genehmigten Beantragungen in einem gewissen Zeitraum – z. B. innerhalb des letzten Jahres.
            • Geänderte Objekte: Mit diesem Report werden alle ORG-Objekte gelistet, welche innerhalb eines bestimmten Zeitraums von den über Parameter angegebenen Benutzern geändert wurden.
            • Berechtigungsänderungen: Dieser Report liefert die aktuellen Rollen der Benutzer und Änderungen daran in einem gewissen Zeitraum – z.B. innerhalb des letzten Jahres.
            • Nutzungsübersicht aktiver Rollen: Mit diesem Report erhalten Sie eine Nutzungsübersicht aktiver Rollen, d. h. wie oft eine Rolle Benutzern direkt zugeordnet ist, wie oft indirekt über fachliche Rollen, wie oft indirekt über Systemrollen und wie oft über den Pfad Systemrolle/fachliche Rolle.
            • High Privileged Users: Dieser Report erstellt eine Liste der Benutzer mit einer Risikoklasse, die größer oder gleich der im entsprechenden Parameter angegebenen Risikoklasse ist.
            • ORG-Administratoren: Dieser Report erstellt eine Liste der ORG-Administratoren. Administratoren im Sinne dieses Reports sind Benutzer in ORG, die in ORG direkt administrieren dürfen (statt über Beantragungen) und/oder das System konfigurieren können (z. B. Workflows einrichten).
            • Kritische Berechtigungen: Mit diesem Report erstellen Sie eine Liste der Rollen, Rollengruppen und Stellen mit einer Risikoklasse, die gleich oder größer der im entsprechenden Parameter angegebenen Wert ist.
            • Technische Benutzer: Dieser Report erstellt eine Übersicht der technischen User.
            • Berechtigungen eines konkreten Benutzers: Mit diesem Report erstellen Sie eine Liste aller fachlichen, System- und technischen Rollen eines konkreten Benutzers. Für jede zugeordnete Berechtigung ist erkennbar, ob sie dem Benutzer direkt oder indirekt (mithilfe des Pfades zu der Berechtigung) zugeordnet ist.
            • Nicht zugewiesene Stellen: Dieser Report liefert eine Liste der Stellen (Business Roles), die keinem Benutzer zugeordnet sind.
            • Benutzer mit einer gewissen Rolle: Mit diesem Report erhält man eine Liste der Benutzer, die einer über Parameter angegebenen technischen Rolle direkt oder indirekt zugeordnet sind.
            • Benutzer mit vielen Stellen: Ergebnis dieses Reports ist die Liste aller Benutzer, die mehr als eine über Parameter angegebene Anzahl Stellen innehaben. Dies kann u. a. als Entscheidungsgrundlage für die Entziehung nicht korrekt zugewiesener oder nicht mehr benötigter Stellen dienen („Azubi-Problem“).

            WebService-Schnittstelle (SCIM)

            Moderne WebService-Schnittstelle (SCIM)

            • SCIM (System for Cross-Domain Identity Management)
            • Zum Erzeugen, Ändern, Löschen und Lesen von Objekten in ORG
            • Zur Anbindung vorgelagerter Systeme (z.B. SAP, Workday) an ORG

            Produkt-Demo anfordern oder Kontakt aufnehmen

            * Pflichtfelder

            Sie haben Fragen oder möchten sich direkt beraten lassen? Gerne helfen wir Ihnen weiter!


            Ihr Ansprechpartner für das Thema ORG 4:

            Ralf Bräutigam
            Geschäftsführer
            Telefon: +49 2203 37100 00
            E-Mail: r.braeutigam@fsp-gmbh.com