Standardlösung oder maßgeschneidert? Beides!
Jede Unternehmens-IT-Infrastruktur ist individuell gewachsen und einzigartig. Damit IAM-Projekte schlank bleiben, ist KOGIT bei den eingesetzten Softwareprodukten bestrebt die Standardfunktionen einzusetzen und diese nach Bedarf durch Customizing und/oder eigene Add-Ons und Plugins zu erweitern und auf die individuellen Systemanforderungen bei unseren Kunden anzupassen.
Mit unseren SailPoint zertifizierten Plugins SoD Matrix und IIQ History Plugin, bieten wir unseren Kunden zusätzliche Funktion, die sich nahtlos in SailPoint IdentityIQ integrieren lassen. Darüber hinaus bieten wir unseren Kunden zwei neue Plugins (Role Anayltics Plugin und SAP OM Importer Plugin) und zwei Adons (SailPointTester und SailPoint2Doc), die sich in IIQ integrieren lassen.
Funktionstrennungs-Matrix für SailPoint IdentityIQ
Das SoD Matrix Plugin ergänzt SailPoint IdentityIQ um eine grafische Oberfläche zum Pflegen und Visualisieren der Segregation of Duties (SoD).
Die übersichtliche Darstellung in der SoD-Matrix eignet sich ideal, um die personelle Trennung von Funktionen auf IT-Ebene abzubilden. Konflikte, Grenzfälle und erlaubte Kombinationen sind nach dem Ampelprinzip markiert und so für Audits optimal aufbereitet. Die Datenpflege erfolgt zeitsparend per Mausklick.
Segregation of Duties einfach überblicken und zeitsparend bearbeiten
IdentityIQ von SailPoint integriert Compliance-Management und Provisioning in einer effizienten Identity- und Access-Management-Lösung und ist daher weltweit in Banken und Großunternehmen im Einsatz.
Zu den Standardfunktionen von IdentityIQ gehören auch erweiterte Rollen-Kategorien und Policy-Richtlinien, wie sie für die Handhabung der Segregation of Duties (SOD) benötigt werden. Dabei handelt es sich um die organisatorische Trennung der Funktionen, mit der Interessenskonflikte vermieden werden sollen. Bisher war es in IdentityIQ allerdings nicht möglich, diese Rollen-Kategorien übersichtlich zu visualisieren und verwalten. Das KOGIT SOD-Matrix-Plugin schließt diese Lücke.
Das SOD-Matrix-Plugin für IdentityIQ bietet eine grafische Oberfläche mit den bereits verfügbaren erweiterten Rollen-SOD und Policy-Richtlinien, mit der die unternehmensweiten SOD-Regeln ganz einfach überblickt und zeitsparend per Mausklick gepflegt werden können.
Die Funktionstrennung wird dabei übersichtlich in einer Matrix dargestellt, die auf den Funktions-Kategorien und den Policy-Richtlinien in IdentityIQ basiert. Mit dieser übersichtlichen Darstellung können die unternehmensweiten SOD-Regeln entsprechend der Vorgaben des MaRisk der BaFin konfiguriert werden. Konflikte, Grenzfälle und erlaubte Kombinationen werden nach dem Ampelprinzip markiert und sind somit für Audits optimal aufbereitet.
Mehr Informationen:
KOGIT IIQ History Plugin
SailPoint IdentityIQ sagt Ihnen, wo sensible Daten liegen und wer darauf zugreifen darf. Mit dem IIQ History Plugin können Sie sehen, wo ihre Daten lagen und wer darauf Zugriff hatte. Das KOGIT Plugin ergänzt IdentityIQ um eine effiziente Archivierungsmöglichkeit von Identitäten, Rollen und Zugriffsrechten. Die übersichtliche Darstellung der historischen Daten ermöglichen eine schnelle Suche basierend auf Parametern, Ausprägungen und dem Berechtigungsstand zu einem bestimmten Zeitpunkt.
KOGIT History Plugin für IdentityIQ von SailPoint
Wer hatte zu welchem Zeitpunkt Zugriff auf welche Daten?
Wer in Ihrem Unternehmen hatte zum Zeitpunkt „X“ Zugriff auf welche Daten? Dank IdentityIQ (IIQ) von SailPoint können Unternehmen diese Fragen beantworten und die Daten so besser vor unbefugten Zugriffen oder Diebstahl schützen.
Früher oder später wird allerdings in allen Identity- und Access-Management-Projekten auch nach den historischen Berechtigungen von Mitarbeitern gefragt – sei es von internen oder externen Prüfern oder bei forensischen Analysen. Zudem beträgt die gesetzliche Aufbewahrungspflicht für solche Daten in vielen Branchen typischerweise zehn Jahre. KOGIT hat deshalb ein Plugin entwickelt, welches die IIQ-Installationen jetzt um eine effiziente Archivierungsmöglichkeit für Identitäten, Funktionen und Zugriffsrechte erweitert. So wird auch Vergangenes transparent.
Wie sah die Rollen- und Rechtestruktur zu verschiedenen Zeitpunkten aus? Wer sollte zu bestimmten Zeiten in Rechtegruppen sein und wer war es faktisch tatsächlich? Mit dem IIQ History Plugin von KOGIT können solche und ähnliche Fragen künftig schnell und präzise beantwortet werden – ohne dass die IIQ-Umgebung dabei übermäßig belastet wird. Das Plugin stellt dafür eine intuitive Benutzeroberfläche in IIQ zur Verfügung, mit der Reports erstellt und historische Suchen in Archiven ausgeführt werden können. So ist es etwa möglich, die archivierten Daten auf Basis von Merkmalen, Werten sowie Datum und Zeitpunkt der Zugriffsrechte zu durchsuchen und sie zusätzlich nach Identitäten, Funktionen, Policies oder Arbeitsgruppen zu filtern. Es können sogar Informationen bereitgestellt werden, die über das hinausgehen, was üblicherweise für Audits oder andere Ermittlungen benötigt wird.
Das KOGIT IIQ History Plugin basiert auf einem Datenmodell, welches speziell für historische IIQ-Objekte entwickelt wurde. Es stellt insgesamt vier benutzerdefinierte Tabellen mit Daten über Zugangsaktivitäten zu Verfügung. Mit der „custom history object“-Tabelle können Unternehmen allgemein die Veränderung ihrer Daten nachverfolgen. In der „custom history string“-Tabelle werden skalare Objekteigenschaften gespeichert. Das erlaubt es, Fragen wie „Wer gehörte der Abteilung X im März letzten Jahres an?“ zu beantworten. Die „custom history reference“-Tabelle ist vergleichbar, speichert aber zusätzlich eine Referenz-ID, mit der jede Umbenennung von Objekten nachvollziehbar wird. Die vierte Tabelle „custom history complex“ unterstützt demgegenüber komplexe Suchen mit einer großen Anzahl von Variablen. So kann etwa die Einschränkung eines Funktionsprofils nur dann voll nachvollzogen werden, wenn Eigenschaftsname, Wert, Verwendung, Anwender und Informationen über die Beachtung der Groß- und Kleinschreibung verfügbar sind.
Um solche Informationen liefern zu können, nutzt das IIQ History Plugin einen hochgradig konfigurierbaren, smarten ETL-Prozess (Extract, Transform, Load), der Snapshots von IIQ-Objekten erstellt und diese in den Historientabellen archiviert. Neue Snapshots werden nur dann zur Datenbasis hinzugefügt, wenn die Daten sich geändert haben. Der ETL-Prozess selbst kann an spezifische Bedürfnisse angepasst werden. Das Plugin beinhaltet zudem ein Template zur Aufgabendefinition für geplante historische Datenextraktionen aus SailPoint IIQ und unterstützt außerdem eine API-Methode für einzelne Ad-hoc-Objektextraktionen.
Das KOGIT IIQ History Plugin ist schnell installiert und einfach anwendbar. In einem kurzen Video demonstrieren wir Ihnen hier die Funktion des Plugins.
Mehr Informationen:
Das KOGIT Role Analytics Plugin vereinfacht die Navigation zwischen verschiedenen tasks in IIQ.
Das Plugin bietet den Usern eine benutzerfreundliche Möglichkeit, Identitäten, Rollen und Berechtigungen mit deren Beziehungen anzuzeigen. In tägliche Aufgaben kann problemlos hinein- und herausgezoomt werden und die Such- und Anzeigefunktion des Plugins wird durch ein Rollen-Dashboard ergänzt, das wichtige KPI’s von Rollen- und Berechtigungsstatus und -nutzung hervorhebt.
Das KOGIT Role Analytics Plugin für SailPoint IdentityIQ wurde auf Wunsch unserer Kunden nach einer einfacheren Navigation in IIQ entwickelt. Mit dem neusten KOGIT Plugin steht den Nutzern jetzt ein einfaches Werkzeug zur Verfügung, mit dem sie in Details hinein- und herauszoomen können um tägliche Aufgaben zu erledigen, ohne für jede Aufgabe eine neue Suche durchführen zu müssen.
Zusätzlich zu den Such- und Anzeigeservices, erweitert das Plugin IIQ um ein Rollen Dashboard, das wichtige KPI’s hervorhebt.
Darüber hinaus bietet es unter anderem folgende Vorteile:
- Export-Optionen
- Ein Ansichtswerkzeug für Rollen, Identitäten und Entitlements
- Darstellung der Nutzung und Zuweisung einzelner Objekte, wie zum Beispiel Rollenzusammensetzungen
- Dashboard mit Kennzahlen zur Verwendung von Entitlements und Rollen
Mehr Informationen:
Das KOGIT SAP OM Plugin ermöglicht das Laden von Daten aus SAP OM, um eine Reihe von IAM-Szenarien besser zu unterstützen. Dazu zählen unter anderem:
- Offene Managerposition,
- Automatische Rollenerstellung,
- Automatische Rollenzuordnungen mit einer Übergangsfrist,
- Verbesserung der Mover-Prozesse und
- Simulation von Organisationsänderungen.
Unternehmen, die das SAP Organisationsmanagement (OM) verwenden, benötigen die dort enthaltenen Informationen oft auch in SailPoint IdentityIQ. Mit dem neuen KOGIT Plugin ist dies nun möglich. Das KOGIT SAP OM Plugin stellt eine IdentityIQ Task zur Verfügung, die sich mit einem SAP HCM-System verbindet, die Organisationsstruktur lädt und diese Struktur in IdentityIQ speichert. Da IdentityIQ kein eigenes hierarchisches Objekt enthält, können Rollen zur Modellierung hierarchischer Strukturen verwendet werden. Daher bildet das KOGIT SAP OM Plugin die SAP-Objekte auf Rollenobjekte ab.
Das KOGIT SAP OM Importer Plugin stellt eine Aufgabe zur Verfügung, die das Laden der folgenden Organisationsdaten aus SAP OM ermöglicht:
- Organisationseinheiten,
- Positionen,
- Jobs,
- Personen und
- Chefpositionen.
Die Aufgabe kann konfiguriert werden, um aus diesen Objekten eine Hierarchie von Geschäftsrollen in IdentityIQ zu erstellen, die der Hierarchie in SAP OM entspricht. Es unterstützt die automatische Erstellung von Zuordnungsregeln, um diese Rollen den Identitäten zuzuordnen, die widerum Entitäten zugeordnet sind.
Optional können Rollenzuordnungen konfiguriert werden, die vor Beginn oder nach dem Ende der eigentlichen Zuordnung zu einer Organisationsstruktur in SAP OM erfolgen.
Mehr Informationen:
Das SIEM Plugin ist ein wesentlicher Baustein in der Architektur für ein sicheres Identity Access Management, das IAM-, PAM- und SIEM-Lösungen integriert.
Um Protokolldaten (AuditEvents) aus IdentityIQ an ein SIEM liefern zu können ist eine Schnittstelle erforderlich. Die Vorteile:
- Ein Plugin zum Export von Syslog Events im Common Event Format (CEF)
- Der Task benötigt nur die IP Adresse und den Port des SIEM/Syslog-Empfängers
- Der Task exportiert regelmäßig alle konfigurierte AuditEvents von IdentityIQ an die
definierte Adresse
Die Kundenanforderung nach Integration von IdentityIQ mit einem SIEM erfordert eine Schnittstelle, um Protokolldaten aus IdentityIQ an ein SIEM liefern zu können. Unter Protokolldaten werden hier die AuditEvents in IdentityIQ verstanden. Weitere technische oder fachliche Logdaten wie Syslog oder ProvisioningTransaction werden nicht berücksichtigt.
Technische Logdaten des Webservers können über das Betriebssystem-Monitoring des SIEM erfasst werden.
Das Plugin überträgt die AuditAction Events von IdentityIQ zum SIEM System via Syslog im Common Event Format. Hierzu wird eine sogenannte Scheduled Task
konfiguriert. Es handelt sich nicht um ein Realtime-Verfahren, es kann aber durch entsprechende Taktung als Nahzeit-Verfahren genutzt werden.
Zurzeit werden Deutsch und Englisch unterstützt.
Mehr Informationen:
Einfache Dokumentation mit SailPoint2Doc
Mit dem SailPoint2Doc AddOn von KOGIT können kundenspezifische Anpassungen an SailPoint-Installationen einfach und ohne Systemzugriff in übersichtlicher Form dargestellt werden. Projektverantwortliche, Berater und Entwickler erhalten auf Knopfdruck eine interaktive Dokumentation der kompletten Workflows. So können für neue Projektmitarbeiter Einarbeitungsaufwände reduziert werden. SailPoint2Doc zeigt anstatt des Codes der XML-Dateien eine interaktive Zusammenfassung der wichtigsten Parameter der Anpassungen und visualisiert alle Verbindungen zwischen den Objekten – somit ist das Ergebnis auch für Projektmitglieder gut lesbar und verständlich, die über keine technischen Detailkenntnisse über SailPoint verfügen. Währende manuell erstellte Dokumentationen schnell veralten, bietet SailPoint2Doc hingegen den Vorteil, dass die erstellte Dokumentation immer aktuell ist.
Automatisierte Tests für SailPoint IdentityIQ Workflows und Rules
Der effiziente Test von projektspezifischen Anpassungen für SailPoint IdentityIQ ist ein wesentlicher Baustein in der Qualitätssicherung jedes Implementierungsprojekts. Der SailPointTester gestattet als Java-basiertes AddOn automatische (Junit-)Tests von Rules, Workflows, Email-Templates uvm., die sich nahtlos in den Entwicklungsprozess integrieren. Mit dem SailPointTester können beispielsweise Rules oder einzelne Workflow-Schritte lokal in der Entwicklungsumgebung ohne Verbindung zu einer Datenbank ausgeführt und die Ergebnisse verifiziert werden. Für umfangreichere Tests unterstützt der SailPointTester neben dem Offline-Modus auch Tests gegen eine echte IdentityIQ-Datenbank. Ein Muss für jedes komplexe Implementierungsprojekt.
Mehr Informationen zu SP2Doc und SailPointTester:
