Wenn ein Identity Management System auch die Aufgabe der Rechteverwaltung übernimmt, spricht man von "Identity and Access-Management", kurz IAM. Wir werden im folgenden aber einfachheitshalber weiterhin von einem "Identity-Management-System" sprechen. Viele Vorteile eines Identity-Management-Systems kommen erst zum Tragen, wenn auch die Zugriffsrechte im gleichen System verwaltet werden. Das Access-Management ist Voraussetzung zur technischen Forcierung von Sicherheitsregeln – siehe Compliance . Außer ist vor allem die Schaffung einer unternehmensweiten Übersicht und Steuerung von Bedeutung.
Zugriffsrechte im gleichen System
Einfache Rollenvergabe
Unternehmensweite Übersicht
Zentrale Steuerung
Unterscheidung in Rollen und Rechte
Role Based Access Control (RBAC)e
Das Verfahren "Role Based Access Control" ist ein Entwurfsmuster zum Verwalten von Zugriffsrechten. Man vergibt konkrete Rechte ("Darf Datensatz XY lesen") nicht direkt an einzelne Benutzer, sondern an eine Rolle ("Sachbearbeiter für Z"). Die Benutzer bekommen dann, ausgehend von ihren Funktionen im Unternehmen, bestimmte Rollen zugeteilt. Die Zugriffsrechte ergeben sich aus den Rollen. In Identity-Management-System werden in der Regel nur Rollen vergeben. Das Mapping auf konkrete Rechte findet zumeist in den Anwendungen statt. Die Rollen der Benutzer können im Identity-Management-System global oder auf Anwendungsebene vergeben werden.
Anwendungsadmins können Rechte selbst verwalten
Die Vergabe der Rollen muss nicht unbedingt ein zentraler IDM-Admin durchführen. Je nach Organisationsstruktur kann es auch sinnvoll sein, dass Rollen von Anwendungsadmins vergeben werden.
Beispielansicht aus Keycloak (Open Source IAM von Red Hat)