Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Insbesondere komplexe IT-Landschaften, die eine flexible Handhabung erfordern, profitieren von der dynamischen Lösung des Herstellers Beta Systems. Mittlerweile ist bereits die dritte Version von GARANCY auf dem Markt.
Wir geben Ihnen in unserem Blogbeitrag einen Überblick zu der aktuellen Version und welchen Nutzen Sie aus den neuen Features schöpfen können.
Die dritte Version von GARANCY bringt insgesamt drei neue Konnektoren mit, welche die Implementierung deutlich komfortabler machen:
Zudem wurde Azure Connect erweitert – der Konnektor unterstützt nunmehr den Hybrid-Modus.
GARANCY IAM Suite bietet nun Attribute Distribution, welches die Propagation von Attributen und die unter Umständen notwendige Konsolidierung zwischen Usern und Accounts erweitert. Das betrifft auch variable Daten wie E-Mail-Adressen, die beispielsweise bei Namensänderung automatisch angepasst werden. Zudem gibt es eine Konfiguration für Trigger, wann eine Propagation durchzuführen ist. Es können Regeln für unterschiedliche Usergruppen festgelegt werden – so bestehen auch Filtermöglichkeiten für User oder Accounts.
Der Basic E-Mail Service beschreibt einen automatischen E-Mail Dienst, der bei konfigurierbaren Ereignissen eine frei konfigurierbare E-Mail an vorher definierte Empfänger sendet. Die automatisch verschickten Nachrichten werden in einem Archiv hinterlegt und dienen so zusätzlich als Nachweis des Versands.
Zudem verfügt die GARANCY 3 über eine Enterprise Application Layer. Bei Systemen wie LDAP oder Active Directory, welche eine Vielzahl an Anwendungen verwalten, standen bislang Fragen im Raum wie: Wie identifiziert man zugehörige Berechtigungsgruppen, Konten oder Rollen? Wer ist der Eigentümer der Anwendung? Wie wird der Anwendungseigentümer in die Governance-Prozesse eingebunden? Das neu eingeführte „Application Object“ ist gewissermaßen die Antwort auf diese Fragen. So wird aus einer Anwendung ein neues Business Objekt, welches auf Rollen, Gruppen und Accounts referenziert werden kann.
Auch in der Compliance weist die aktuelle GARANCY-Version eine Änderung auf, nämlich ein überarbeitetes Segregation of Duties (SoD)-Konzept. Das bisherige Vorgehen sah vor, einen Regelsatz zu erstellen, der definiert, welche Berechtigungen nicht miteinander kombiniert werden dürfen. Jede nicht definierte Kombination von Berechtigungen wurde grundsätzlich als gültig angesehen und Gruppen im Zielsystem nicht explizit erfasst, sondern nur über die Rollenmitgliedschaft mitbetrachtet. In Zuge der Tests erfolgte eine Prüfung der kompletten Rollenstruktur – ein sehr rechen- und zeitintensiver Vorgang.
Das neue Konzept sieht nun vor, die Prüfung nicht mehr explizit auf die Berechtigungen anzuwenden, sondern diese mit Hilfe von SoD-Klassen auszulagern. Die Objekte – User, Gruppe, Rolle oder Exklusivrolle – erhalten alle eine SoD-Klasse. Zu Beginn wird jedem Objekt zunächst die Klasse „neutral“ zugeordnet, die mit allen SoD-Klassen kombinierbar ist. Auch gleiche SoD-Klassen harmonisieren miteinander. So gilt ab sofort das Opt-In Prinzip: Erlaubte Kombinationen müssen vorab definiert werden – dies macht die Definition von häufig deutlich komplexeren Verletzungsregeln obsolet. Mandantengetrennte SoD-Matrizen werden je Access-Code definiert und SoD Verletzungen in einer Matrix abgebildet. Die Prüfung der SoD-Klassen erfolgt bei jeder Änderung der Objekte oder der SoD-Klassen selbst.
Um SoD-Verträglichkeiten nur über Top-Level Objekte durchzuführen, sprich nur zwischen Mutter und Kind, besitzt die Berechtigungsverwaltung eine (optionale) Konsistenzprüfung für die entsprechende SoD-Klasse. Im Konsistenzmodus prüft Garancy IAM, ob alle SoD-Klassen einer Berechtigungsstruktur identisch oder neutral sind.
Das aktuelle SoD-Konzept ist mit dem bisherigen SoD-Konzept (Garancy IDM 2.2) im ‚Legacy Modus‘ kompatibel. Die Prüfung überzeugt nun durch eine bessere Performance. Für SoD Verletzungen gibt es folgende zwei Konfigurationen:
Für Audits liegen Standardreports vor, die jederzeit die aktuellen SoD-Verletzungen zum Audit wiedergeben; dies umfasst die folgenden Fälle:
Die dritte Version der GARANCY IAM Suite überzeugt mit einem einfacheren Installations- und Updateagenten. Dieser bietet einen zentraleren Installationsdialog, eine Konfigurationskonsolidierung, einen automatisierten Updateprozess sowie ein automatisches Installationsbackup. Um den Kunden die Möglichkeit eines von Oracle unabhängigen WebClient zu geben, wurde zudem ein neuer Online Client entwickelt.
Weitere allgemeine Verbesserungen umfassen:
In der GARANCY IAM Suite unterstützt das User Center einen Access Request für Zweit-Identitäten. Darüber hinaus gibt es einen Self-Service für das „Profil Update”. Das Recertification Center wurde um neue Regelfilter für Rollen- und Gruppen-Typen sowie „Rollenfunktionen“ ergänzt; zudem führte Beta Systems eine Genehmigungseinschränkung auf definierte Risikotypen ein. Im Role Center gibt es in GARANCY 3 Rollenprofile und Rollenänderungsprozesse. Schließlich unterstützt das Process Center (PRC) mit dem Upgrade nun MariaDB 10.3 und MySQL 8.0, wofür Versionen von MySQL unter 5.7 fallen gelassen wurden.
Für den Webserver wurde nunmehr ein Wechsel von PHP 7.2 auf 7.3 vollzogen und ein Linux Support (Ubuntu und Debian) eingeführt. Der Microsoft SQL-Server bietet Optimierungen des JobDbOptimizer, wobei Indizes und Statistiken im Fokus stehen – so werden vom Modul angelegte, aber nicht mehr benutzte Indizes automatisch gelöscht. Zur Verbesserung der Performance erfolgte eine Implementation von REDIS als Application Cache und eine Einführung von PJAX, um Seiten bereits im Hintergrund laden zu können. Administratoren haben ab sofort die Option, auf eine Passworthistorie zuzugreifen. Im Prozessdesign ist mit GARANCY 3 die Erstellung eigener PHP- und JavaScript-Templates möglich.
GARANCY IAM Suite Version 3 bietet ein verbessertes Prozessdesign, welches Nutzern eine effizientere Prozesserstellung ermöglicht. Hierfür wurden unter anderem folgende Änderungen vorgenommen:
Im Zuge des Upgrades auf Version 3 steht außerdem eine native App für iOS und Android zum Download, welche in allen JobRouter-Versionen kostenlos genutzt werden kann. Dokumente lassen sich dann direkt aus dem DocumentHub in Prozessen verwenden, Dokumente und Barcodes sich einscannen und unterschreiben. Zuletzt wurden die Tools Robotic Process Automation, kurz RPA, von AUTOMATION ANYWHERE und „Integrierte elektronische Signatur“ (JobRouter Sign) von Namirial implementiert.