Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Nutzer- und Kontenprovisionierung | Ping Identity
Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Nutzer- und Kontenprovisionierung


Provisionierung ist ein Prozess zum Erstellen, Aktualisieren und Löschen von Benutzern und Konten in der gesamten IT-Infrastruktur.


In jedem Unternehmen greifen die Mitarbeiter Tag für Tag auf vielerlei Anwendungen und Ressourcen zu. Wenn bei Ihnen also eine große Zahl an Mitarbeitern in verschiedenen Abteilungen ihrer Arbeit nachgeht, stellt das Verwalten von Benutzerkonten und Berechtigungen in mehreren Systemen eine nicht zu unterschätzende Aufgabe dar.


So stellen Sie mittels automatisierter Provisionierung von Nutzern und Konten sicher, dass Ihre Mitarbeiter auf die benötigten Anwendungen, Dateien und andere Ressourcen zugreifen können, während Sie gleichzeitig die Reibungspunkte für Systemadministratoren verringern.

 

Was ist automatisierte Provisionierung bzw. De-Provisionierung?


Die Provisionierung steuert die Autorisierungen und Zugriffsrechte auf einzelne Unternehmensressourcen. Die De-Provisionierung verhindert, dass Personen nach dem Verlassen eines Unternehmens weiterhin auf dessen Ressourcen zugreifen können, und unterstützt die Erhaltung einer sicheren und vertrauenswürdigen Arbeitsumgebung.


Bei der automatisierten Provisionierung werden Benutzerkonten für mehrere Anwendungen und Systeme gleichzeitig erstellt oder aktualisiert. Die automatisierte De-Provisionierung deaktiviert, löscht oder modifiziert Konten auf mehreren Servern, wie unter anderem in der Active Directory, und gibt in Unternehmen auf diese Weise Speicherplatz, Lizenzen und physikalische Hardware-Ressourcen für neue Mitarbeiter frei.


Es ist besondere dann nützlich, wenn Informationen in der zentralen Identitätsdatenquelle („Source of Truth“), z. B. in einer HR-Mitarbeiterdatenbank, hinzugefügt oder geändert werden und diese Änderung dann auch für mehrere weitere Anwendungen relevant ist. So gesehen gehören auch die Einstellung, Beförderung oder Versetzung von Mitarbeitern zu den Ereignissen im Benutzerlebenszyklus, bei denen die automatisierte Provisionierung von Benutzerkonten zum Tragen kommt. Die automatisierte Provisionierung sorgt dafür, dass die Zugriffsrechte eines Benutzers in allen Systemen bei minimalem Eingreifen auf dem neuesten Stand bleiben.


Die automatische De-Provisionierung bezieht sich auf das Löschen eines Kontos und den damit einhergehenden Entzug des Zugriffs auf mehrere Anwendungen und Netzwerke, das Aufheben bestimmter Berechtigungen oder die vorübergehende Deaktivierung eines Kontos. Sie kommt zum Tragen, wenn ein Mitarbeiter das Unternehmen verlässt, die Rolle im Unternehmen wechselt oder im Falle einer Testlizenz.

 

Was sind die Vorteile des automatisierten Provisionierung von Nutzern und Konten?


Die Nutzerprovisionierung wird mit dem Wachstum des Unternehmens zunehmend wichtiger, da sie die folgenden Vorteile bietet:
 

  • Effizientere Sicherheitsverwaltung zur Verringerung des Aufwands für Administratoren

    • Durch die automatisierte Provisionierung können Änderungen auf Servern innerhalb von Sekunden automatisch und ohne menschliches Zutun mit den Anwendungen synchronisiert werden, wodurch die Arbeitsabläufe zwischen der Personal- und IT-Abteilung optimiert werden.
       

  • Verbesserte Benutzererfahrungen

    • Nutzer erhalten nahtlosen Zugang zu allen Ressourcen ihres Bedarfs, ohne die Administrationen zu bemühen oder auf eine Genehmigung warten zu müssen.
       

  • Effiziente Ressourcenauslastung

    • Bei einer Just-in-Time-Provisionierung (JIT) wird ein Benutzerkonto erst dann erstellt, wenn der Kunde zugreift.

    • Die automatisierte De-Provisionierung wiederum garantiert, dass die richtigen Konten in mehreren Systemen und Anwendungen umgehend entfernt, deaktiviert oder geändert werden, sobald sich der Status eines Benutzers ändert, wie es zum Beispiel bei einem Funktionswechsel der Fall ist.
       

  • Verbesserte Sicherheit innerhalb eines Unternehmens

    • Mit Provisionierung können Unternehmen sicherstellen, dass die Nutzer nur auf Ressourcen zugreifen können, für die sie auch eine Berechtigung besitzen. Damit schützen Sie Ihre Systeme und Anwendungen vor unberechtigter Verwendung und stellen sicher, dass Konten ggf. sofort deaktiviert werden.

    • Das automatisierte Lebenszyklusmanagement verhindert Zweckentfremdung durch die Neubewertung der Berechtigungen von Nutzern, sobald sich deren Status ändert. Es wird auch dafür gesorgt, dass ein altes Benutzerprofil nicht einfach auf einen neuen Benutzer übertragen wird, was ebenso zur Vergabe von zu umfangreichen Berechtigungen führen kann.
       

Wie funktioniert die automatisierte Provisionierung und De-Provisionierung?


Administratoren können Lifecycle-Management-Aktivitäten automatisieren, indem sie sich das (System for Cross-Domain Identity Management) (SCIM) zunutze machen bzw. die in manchen Anwendungen integrierten Just-in-Time (JIT)-Funktionen.


Das SCIM-Protokoll wird zur Automatisierung der Transaktionen von Benutzeridentitätsdaten zwischen IT-Systemen verwendet. Mit seiner Hilfe übermittelt die zentrale Identitätsdatenquelle eine Benutzeränderung an nachgelagerte Anwendungen und Systeme, wodurch Aktionen zum Erstellen, Lesen, Aktualisieren und Löschen von Konten (CRUD) in diesen Netzwerken ausgelöst werden.


Die aktuelle Version SCIM 2.0 nutzt Standards wie REST und JSON um einen geregelten Ansatz für die Benutzerverwaltung zu bieten. Das Protokoll erleichtert die konsistente und automatisierte Kommunikation zwischen der zentralen Identitätsdatenquelle und den Anwendungen und Systemen für Endbenutzer. Weitere Informationen finden Sie unternehmen SCIM: Wie es funktioniert.


In einer typischen Konfiguration kommuniziert ein SCIM-Client mit der zentralen Identitätsquelle („Source of Truth“) und sendet Aktualisierungen an nachgelagerte Systeme und Anwendungen.


Um die Provisionierung auf eine große Anzahl von Mitarbeitern gleichzeitig anwenden zu können, werden die Benutzer anhand von Faktoren wie Mitarbeiterrolle oder Standort in allgemeinere Gruppen eingeteilt. Innerhalb dieser Gruppen werden statt individueller Berechtigungen für einzelne Mitarbeiter die gleichen Berechtigungen für alle Mitglieder angewendet, was als delegierte Provisionierung bezeichnet wird.
 

 

Was ist der Unterschied zwischen Provisionierung und Authentifizierung?


Die Authentifizierung befasst sich mit dem Identitätsnachweis von Benutzern, und bei der Provisionierung geht es um die Zugriffsrechte und Autorisierungen dieser Benutzer.


In einem Krankenhaus zum Beispiel muss sich jeder Mitarbeiter bei den von ihm genutzten Systemen und Anwendungen authentifizieren. Bevor dieser Mitarbeiter auf ein bestimmtes System oder eine Anwendung zugreifen kann, benötigt er ein Konto für dieses System oder diese Anwendung, und hier kommt die Provisionierung ins Spiel. So hätte beispielsweise eine Person mit der Rolle „Pflegepersonal“ in der Personaldatenbank die Berechtigung für den Zugriff auf ein Patientenverwaltungssystem, nicht aber auf eine Anwendung zur Gehaltsabrechnung.

 

Was ist Nutzerprovisionierung mit JIT?


Die Provisionierung mit SAML-Assertions (>>>Link zum Thema SAML<<<) wird allgemein als JIT (Just-in-Time)-Provisionierung bezeichnet. Systeme, die JIT-Provisionierung unterstützen, können bei der Erstellung von Konten Attribute verwenden, die in SAML-Assertions bereitgestellt werden.


Mit JIT-Provisionierung werden die Benutzerkonten in dem Moment erstellt, in dem ein Nutzer das erste Mal mit den erforderlichen Berechtigungen auf eine Anwendung zugreift.


Bei der Einrichtung von JIT-Provisionierung konfigurieren die Administratoren das Single Sign-on (SSO) zwischen dem Identitätsprovider (z. B. das Benutzerverzeichnis) und dem Serviceprovider (SP) (bzw. der Zielanwendung) und fügen alle relevanten Attribute hinzu, die vom Serviceprovider benötigt werden. Diese SAML-Attribute enthalten Informationen über den Nutzer, wie z. B. seine E-Mail-Adresse, Rolle oder Abteilung.


Die JIT-Provisionierung ermöglicht nur die Erstellung von Nutzern. Wie sich das Ändern und Löschen von Konten automatisieren lässt, wird im nächsten Abschnitt „SCIM-Provisionierung“ beschrieben.

 

Welches sind die verschiedenen Varianten der Nutzerprovisionierung?


Rollenbasiertes Lifecycle Management


Rollenbasiertes Lifecycle Management ist eine der gängigsten Formen des Lifecycle Managements und übersetzt die Gruppenmitgliedschaften eines Benutzers aus einer zentralen Identitätsdatenquelle („Source of Truth“) in Rollen und Berechtigungen für mehrere Anwendungen.


Wenn Ihr Unternehmen zum Beispiel Benutzer in einer Datenbank mit Gruppen wie Corporate, Marketing und DevOps speichert, dann können die Mitglieder des Marketingteams auf die für sie bestimmten Anwendungen zugreifen, während ihnen die für die Teams „Corporate“ und „DevOps“ bestimmten Anwendungen verborgen bleiben.

 

Inbound Provisionierung für SP


Von Inbound (eingehender) Provisionierung wird gesprochen, wenn das Quellverzeichnis (oder die zentrale Identitätsdatenquelle) außerhalb des SCIM-Clients liegt, z. B. wenn sich Benutzerkonten in Partnersystemen befinden. Das Quellverzeichnis sendet SCIM-Befehle an den SCIM-Client, der wiederum CRUD-Operationen an nachgelagerte Systeme und Anwendungen weiterleitet.


In der folgenden Darstellung fungiert der IdP als SCIM-Client, der Anfragen zur Benutzerverwaltung entgegennimmt und anschließend das Zielverzeichnis anhand von CRUD-Operationen entsprechend aktualisiert.



 

Outbound Provisionierung für IdPs


Bei der Outbound (ausgehenden) Provisionierung ist die Identitätsquelle direkt mit dem SCIM-Server verbunden. In der folgenden Darstellung stellt ein SCIM-Client eine Verbindung zum Benutzerverzeichnis her und überprüft es auf Änderungen. Beim Hinzufügen, Ändern oder Löschen von Benutzern werden diese Änderungen über die proprietären Provisionierungs-APIs an die Zielverzeichnisse oder -anwendungen weitergeleitet.
 

 

Wie läuft eine Nutzerprovisionierung ab?


Die Provisionierung kann viele verschiedene Prozesse umfassen, je nach Systemarchitektur des Unternehmens und der verwendeten Provisionierungs-Lösung. Im Folgenden wird ein typisches Modell für die Outbound-Provisionierung dargestellt.

Der Benutzerspeicher synchronisiert Identitäten aus dem Root-Benutzerverzeichnis mit externen Benutzerspeichern wie beispielsweise bei Salesforce Communities und SCIM-basierten Benutzerspeichern.


Der Provisionierungs-Service sorgt für die kontinuierliche Synchronisierung der Ziel-Identitätsspeicher mit dem PingOne-Benutzerspeicher. Bei jedem Hinzufügen, Ändern oder Löschen von Benutzern oder Benutzerinformationen im PingOne-Benutzerspeicher wird auch der Ziel-Benutzerspeicher aktualisiert.


 

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.