Das Bild zeigt einen Holzwürfel mit dem Begriff Identity Management und Würfel mit Symbolen.

Azure AD – Auf dem Weg zur ausgewachsenen IAM Lösung?

Mit der zunehmenden Digitalisierung und dem einhergehenden verstärkten Bedürfnis nach Automatisierung im Bereich Zugriff & Security investieren Unternehmen vermehrt in Identity und Access Management (IAM) Systeme. Microsoft hat per Ende 2019 ihre “Identity Governance Suite” um eine mächtige Berechtigungsverwaltung (Entitlement Management) erweitert.

Die Berechtigungsverwaltung von Azure Active Directory (Azure AD) ist ein Identity Governance Feature, mit dem Organisationen Identitäten und Zugriffszyklus skaliert verwalten können, indem sie Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und Ablaufzeiten automatisieren.

In diesem Beitrag möchte ich Ihnen aufzeigen, was das neue Feature “Entitlement Management” kann und wie dieses in Kombination mit den weiteren Tools aus der Identity Governance Suite eingesetzt werden kann, um die IAM Anforderungen eines modernen Unternehmens abzudecken.

Identity Lifecycle & Access Management Basics

Identity Lifecycle & Access Management umfasst die Steuerung aller Aktivitäten rund um das Erteilen, Entfernen sowie Mutieren von Berechtigungen und Identitäten. Dabei gilt es die zwei voneinander abhängigen Lebenszyklen Identität und Zugriff abzubilden.

Dieses Bild erklärt die zwei voneinander abhängigen Lebenszyklen Identität und Zugriff.

Eine IAM Suite sollte folgende Kern-Features anbieten:

  • Identity Lifecycle Management: Zugriffe erteilen anhand von Rollen, Regeln, Richtlinien und definierten Prozessen.
  • Access Management: Eintritt, Austritt und Rollenwechsel von Mitarbeitern. Sicherstellen, dass das «Least Priviledge» Prinzip konsistent angewendet wird.
  • Rollen und Richtlinien Management: Zugriffe anhand von zugewiesenen Rollen und Richtlinien verwalten.
  • Workflows: Das System sollte Administratoren, HR-Verantwortliche, Vorgesetzte, Applikationsmanager und Security Officers bei der täglichen Arbeit unterstützen und Prozesse möglichst automatisieren.
  • Audit und Reporting: Wer hat/hatte wo genau Zugriffsrechte? Wer hat sich wann auf dem System X eingeloggt? Was hat die betroffene Person auf dem System gemacht? Wer war zum Zeitpunkt Y auf dem System X berechtigt?

Das Azure AD Entitlement Management in Aktion

Mit der Berechtigungsverwaltung (Entitlement Management) von Azure AD können Sie den Zugriff auf Gruppen (inkl. Microsoft Teams), Anwendungen und SharePoint Online-Websites für Mitarbeiter und Benutzer ausserhalb der Organisation, die auf diese Ressourcen zugreifen müssen, effizienter verwalten. Sie unterstützt den Lebenszyklus in folgenden Phasen:

  • Berechtigungen für bereits vorhandene Benutzer beantragen / zuweisen sowie Gastidentitäten erstellen
  • Genehmigungsprozess und Benutzer, die den Zugriff genehmigen oder verweigern können
  • Dauer der Zuweisung des Benutzerzugriffs nach der Genehmigung, bevor die Zuweisung abläuft

Das Entitlement Management besteht aus folgenden Artefakten:

  • Zugriffspaket (Access Package): In einem Zugriffspaket werden die Rollen der Ressourcen definiert, welche verteilt werden sollen (eine O365 Gruppe umfasst zwei Rollen: Mitglied und Besitzer, eine Azure App kann über benutzerdefinierte Rollen verfügen).
  • Richtlinien (Policies): Eine Richtlinie definiert, wer das Zugriffspaket anfordern kann (Intern, Guest, Any, nur durch Admin), ob ein Genehmigungsworkflow benötigt wird und wie dieser aussehen sollte. Einer Richtlinie kann auch eine Gültigkeitsfrist zugewiesen werden nach deren Ablauf das entsprechende Zugriffspaket erlischt. Zusätzlich können Reviews definiert werden, welche der Benutzer selbst oder eine zugewiesene Person durchführen muss. Jedes Zugriffspaket benötigt mindestens eine Richtlinie.
  • Catalog: In Catalogs können Zugriffspakete logisch zusammengefasst werden. Die Administration eines Catalog und die daran enthaltenen Zugriffspakete können an Besitzer und Package Managers delegiert werden.
  • User Assignment Reports: Einfacher Reports über alle einem Benutzer jemals erteilten Zugriffspakete.
  • MyAccess Portal: Zentrales Portal wo Benutzer selbständig Zugriffspakete beantragen und Approver die beantragten Berechtigungen genehmigen oder verweigern können.

Das Bild zeigt die Artefakte vom Entitlement Management.

Mit dem neuen Self-Service Portal «MyAccess» von Azure AD «Identity Governance» können Benutzer freigegebene Zugriffspakete beantragen, bestehende einsehen und abgelaufene erneut beantragen/reaktivieren. Der Clou an der ganzen Geschichte: Dank Azure B2B können sie Ihre Zugriffspakete (mit Berechtigungen auf Ihre Applikationen / Services) in der MyAccess Plattform ihren Partnerfirmen bereitstellen.

Das Bild zeigt die Schritte wie Sie mit Azure B2B Zugriffspakete in der MyAccess Plattform ihren Partnerfirmen bereitstellen können.

Company1 möchte Benutzern vom Facility Management Anbieter (Company2) Zugriff auf das gemeinsame Microsoft Team geben damit diese gemeinsam “Whats app like” chatten können.

  1. Company 1 definiert ein Zugriffspaket (Access Package). Dazu wird eine Policy erstellt welche das Zugriffspaket für die User von Company2 zur Verfügung stellt.
  2. Das Zugriffspaket ist nach Aktivierung der Policy im MyAccess Portal von Company 2 verfügbar.
  3. User X aus Company2 beantragt Access Package.
  4. Antrag muss vom Approver genehmigt werden.
  5. Falls User X bereits als Gast in Company1 registriert ist, erhält er die gewünschten Berechtigungen. Andernfalls wird für den User X in Company1 eine Gastidentität erstellt und mit den gewünschten Berechtigungen ausgestattet.

Company1 hat die Zugriffspakete mit einem Lebenszyklus versehen und spart sich dadurch mühsame Reviews und Kontrollen. Sie wissen jederzeit, welcher User aus Company2 wo Zugriff haben, wer diese berechtigt erteilt/bestätigt hat und können den Lebenszyklus einsehen und bei Bedarf sogar anpassen.

Lizenzierung

Damit Sie die Vorteile des Entitlement Managements nutzen können, benötigt jeder Mitgliedsbenutzer, der über Zugriffspakete seine Berechtigungen erhält, eine Azure AD Premium 2 Lizenz. Gastbenutzer sind mit der bekannten 1 zu 5 Ratio abgedeckt => Pro lizenzierten Mitgliedsbenutzer können Sie 5 Gastbenutzer mit den gleichen Features ausstatten.

Access Reviews

Entitlement Management deckt bereits einen Grossteil der Anforderungen aus dem Identiy Lifecycle ab, bietet aber beim Review der Berechtigungen nur beschränkte Funktionalität. Access Reviews, ein weiteres Feature aus der “Identity Governance” Suite, ergänzt das “Entitlement Management” perfekt, denn es stellt den “Access” (Berechtigung) Lifecycle in den Vordergrund.

Diese Grafik zeigt den “Access” (Berechtigung) Lifecycle der “Identity Governance” Suite".

Als erstes müssen Sie dazu einen neuen Review erstellen. Dazu definieren sie Namen, Startdatum sowie die Frequenz der Überprüfung (einmal, wöchentlich, monatlich etc.) sowie wann der Review enden soll. (Bestimmtes Datum, Anzahl Reviews oder niemals).
Als nächstes müssen sie Definieren ob sie einen Review für eine Gruppe (Security Group, Office Group) oder einer Azure AD Applikation erstellen möchten und die entsprechende Gruppe / Applikation auswählen. Anschliessend können Sie noch einen Reviewer definieren der entweder dynamisch (Group Owner, der Benutzer selbst) oder fix hinterlegt werden kann. Zuletzt können sie noch Optionen konfigurieren, welche definieren was mit den Berechtigungen passieren soll welche abgelehnt wurde sowie ob Reminders während des Reviews verschickt werden sollen.

Wird ein Review fällig, erhält der entsprechende Reviewer per Mail eine Aufforderung den Review durchzuführen.

Dieser Screenshot zeigt eine Email mit der Aufforderung den Review durchzuführen.

Startet er den Review so landet er auf dem Review Portal wo er eine Übersicht über alle ihm zugewiesenen Reviews hat. Ein Review ist im Grunde genommen eine Auflistung von Benutzern, die validiert werden müssen.

Dieser Screenshot zeigt die Zugriffsüberprüfungen im Review Portal.

Der Reviewer muss nun für jeden Benutzer entscheiden, ob dieser den Zugriff noch benötigt (genehmigen) oder ob ihm der Zugriff entzogen (ablehnen) werden soll. Das System gibt dem Reviewer dabei aufgrund der Aktivität des betreffenden Benutzers eine Empfehlung ab. War der Benutzer z.B. seit mehreren Monaten nicht mehr aktiv so empfiehlt das System den Zugriff zu entfernen.

Fazit Entitlement Management

Kollaboration findet nicht nur innerhalb eines Unternehmens statt, sondern bindet Partner & Kunden gleichermassen ein. Tools wie Microsoft Teams oder SharePoint ermöglichen es, externe Stakeholder mit nur wenigen Klicks Zugang zu einer gemeinsamen Kollaborationsplattform zu erteilen. Damit wird die IT vor neue Herausforderungen gestellt: Ein System, dass sie vorher unter totaler Kontrolle hatten wird nun geöffnet…

Mit “Entitlement Management” und “Access Reviews” erhalten Sie ein mächtiges Werkzeug, um die administrative Last der Berechtigungszuweisung, Überprüfung und Entzug zu automatisieren und zudem in die richtigen Hände (dort wo effektiv gearbeitet wird) zu delegieren. Mit dem MyAccess Portal können Sie dies sogar ihren externen Partnern als Self-Service anbieten. Durch Richtlinien stellen Sie zudem sicher, dass eine Zugriffsberechtigung entlang eines definierten, dokumentieren und nachvollziehbaren Prozesses erfolgt. Dank den entsprechenden Reports haben Sie den Überblick über bestehende Berechtigungen sowie die Historie der Benutzer. Schaffen Sie mit Entitlement Management & Access Reviews “permission evidence” und entlasten Sie ihre IT von unnötigem Overhead.

Stay tuned!

Wollen auch Sie mit den Entwicklungen von Azure AD, Azure im Allgemeinen oder Office 365 auf dem Laufenden bleiben? Haben Sie konkrete Fragestellungen oder Projekte? Kontaktieren Sie uns. Unsere Experten helfen Ihnen gerne weiter.