Modellering av forretningsroller. Spiller det noen rolle?

3 08 2009

Sommerferien er over for de fleste i disse dager, og nye og spennende prosjekter settes igang hos veldig menge.  IAM er ikke lenger siste nytt og mange ivrige sjeler har anskaffet IAM verktøy for at de nå virkelig skal kontrollere tilgangene til brukeridentitetene sine. Rollebasert tilgangskontroll (heretter samlet i begrepet RBAC) har etablert seg som det saliggjørende for å håndtere tilgangsrettigheter til bl.a. fagapplikasjoner og interne systemer.

RBAC spiller en vesentlig rolle når det etableres en modell for å håndheve sikkerheten i organisasjoner. RBAC er også en kritisk komponent i en IAM løsing. Kort fortalt: Tilgang til ressurser tildeles ved å tildele brukere roller og rollene tildeles rettigheter. RBACI teorien «a walk in the park». Etterhvert som flere virksomheter nå har satt igang RBAC orienterte IAM prosjekter blir det tydeligere at det å definere høy-nivå virksomhetsroller med grunnleggende rettigheter ikke imøtekommer de forventningene om forretningsfordelene som virksomhetssiden i organisasjonene har. Og hva forventer de så egentlig? Jo, de ønsker kontroll og trygghet. De ønsker at ledere skal være i stand til å ta sitt ansvar med å tildele rettigheter til sine ansatte på en forståelig, enkel og fleksibel måte ved å bruke egne begrep og termer. Systemtekniske detaljer må skjules, og de ønsker å være sikre på at tildeling av tilganger skjer etter et såkalt tjenstlig behov. Dette er faktisk ikke «a walk in the park». Tildelinger av rettigheter og systemtilganger har til nå stort sett blitt sett på å være et teknisk ansvar siden rettigheter er forbundet med applikasjoner og administreres som egne siloer uten spesielt mye input fra forretningssiden. Resultatet er utfylling av kryptiske skjemaer og mye fram og tilbake mellom forretningen og brukerstøtte for å få riktige tilganger for en medarbeider. Ledere ønsker ikke, og kan heller ikke, å ta det ansvaret som er de er pålagt i forbindelse med å vite hva deres ansatte har tilgang til. Organisasjoner implementerer ofte IAM systemer basert på rollebaserte modeller uten å ta hensyn til roller. I tillegg er det mange tilfeller hvor rollemodellene i IAM verktøyene ikke vil fungere side de fleste kun opererer med en rolletype, og den er som oftest linket til organisasjonen. Ved organisasjonsendringer vil man umiddelbart få problemer. Prosessen med å definere roller må i bunn og grunn basere seg på hvordan en organisasjon fungerer og må inkludere ressurser fra linjeorganisasjonen, ledere, personal i tillegg til tekniske systemansvarlige for å få til dette. En rolle er ikke en virksomhetsrolle fordi det ikke er en systemrolle og IT sier at det er det. Rolledefinisjonsarbeid og ledelse krever en utstrakt forpliktelse blant organisasjonsenhetene siden et rolleinitiativ spenner over hele virksomheten.

Viktigheten av virksomhetsroller bør ikke komme som en ettertanke, men som en integrert del av et IAM initiativ. Virksomheten må nøye vurdere fordelene med rollebasert tilgangstyring ved å vurdere hvordan roller kontinuerlig skal defineres og administreres. Rollemodelleringsprosessen er en hjørnestein i prosessen med å definere roller som tilfredsstiller forretningens krav. Så snart rollene er definert og rollelisten er publisert i organisasjonen, må den vedlikeholdes i samarbeid av både IT og forretningen fordi det vil bidra til å holde informasjonen oppdatert og tilgjengelig for et hvert IAM initiativ i framtiden.

I kommende blogginnlegg vil jeg skrive mer om rollebasert tilgangskontroll i forbindelse med IAM implementeringer, prosessarbeid og SOA, og jeg vil ta for meg hvorfor de rollemodellene som er tatt i bruk i IAM løsningene ikke tar tilstrekkelig hensyn til virksomhetskrav, og hvordan det er hensiktsmessig å modellere roller for å oppnå få virksomhetsroller, og en fleksibel og brukervennlig rolletildelingsprosess, og til slutt forvaltningsprosessen for rollearbeidet. Så følge med i tiden framover så kan det hende jeg skriver noe lurt om dette her på bloggen.

Share on Facebook

Reklamer

Handlinger

Informasjon

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s




%d bloggere like this: