Automatisierung ist für die Effizienz moderner Unternehmen überaus wichtig. Damit Automatisierung jedoch wirklich skalierbar ist, muss sie sich von einem spezialisierten Tool, das von einigen wenigen Fachleuten verwaltet wird, zu einer kollaborativen Funktion entwickeln, die von IT, Sicherheit und dem gesamten Unternehmen gemeinsam genutzt wird. Die Herausforderung für Führungskräfte besteht also nicht nur darin, mehr Automatisierungen zu entwickeln, sondern dies auch mit einem skalierbaren Governance-Modell zu tun.
Wir möchten unsere Kund:innen dabei unterstützen, ihre Automatisierungs-Journeys sicher voranzubringen. Deshalb freuen wir uns, die Early Access-Version (EA) der rollenbasierten Zugriffskontrolle (RBAC) auf Ordnerebene und die ordnerbezogenen Verbindungen für Okta Workflows anzukündigen.
Die Vision: Unterstützung der Automatisierungs-Journey von Unternehmen
Unser Ziel ist es, Okta Workflows in eine kollaborative Plattform zu verwandeln, die das gesamte Unternehmen unterstützt. Durch die Einführung granularer Zugriffskontrollen ermöglichen wir es IT-Teams, über ihre Rolle als primäre Entwickelnde hinauszugehen und stattdessen zu strategischen Unterstützenden zu werden, die jede Abteilung in die Lage versetzen, eine sichere Automatisierung durchzuführen.
Mit diesen neuen Kontrollfunktionen können Sie verschiedenen Teams die Autonomie einräumen, ihre eigenen Automatisierungsanforderungen zu verwalten, während Sie gleichzeitig die zentrale Kontrolle behalten. Business Units – von der Personalabteilung bis zur Finanzabteilung – können jetzt ihre eigenen Abteilungslösungen in einer kontrollierten Umgebung erstellen und verwalten. Dadurch werden IT-Engpässe effektiv beseitigt sowie wertvolle IT-Ressourcen für andere unternehmenskritische Aufgaben freigesetzt. Gleichzeitig werden Teams im gesamten Unternehmen in die Lage versetzt, ihre digitale Transformation zu beschleunigen.
Sichere Delegierung durch RBAC auf Ordnerebene
Sicherheit und Flexibilität sollten sich nicht gegenseitig ausschließen. Mit der RBAC auf Ordnerebene können Sie jetzt Benutzende und Ressourcen präzise verwalten. Anstatt umfassenden, unternehmensweiten Zugriff auf die Workflows-Plattform zu gewähren, können Administrator:innen Ressourcen in Ordnern organisieren, die nach Projekt, Abteilung oder geografischer Region strukturiert sind, und innerhalb dieser abgegrenzten Bereiche spezifische Rollen zuweisen. Dieser Ansatz eines „geschlossenen Systems“ stellt sicher, dass Benutzende genau die Berechtigungen haben, die sie für produktives Arbeiten benötigen, ohne das Risiko, dass sie Ressourcen außerhalb ihres Berechtigungsbereichs anzeigen oder verändern können.
Neue Rollen für jede Persona
Zusätzlich zu den drei zuvor veröffentlichten Rollen (Workflows Administrator, Workflows Auditor und Connection Manager), die einen Überblick über die gesamte Workflows-Organisation bieten, haben wir vier neue Rollen auf Ordnerebene eingeführt:
- Folder Manager: Fungiert als „Admin“ eines bestimmten Ordners mit voller Kontrolle über alle Ressourcen und der Möglichkeit, die Zuweisung von Benutzerrollen für diesen Ordner zu verwalten.
- Folder Editor: Bietet vollen Zugriff zum Erstellen und Verwalten von Abläufen, Tabellen und Verbindungen, was diese Rolle ideal für primäre Automatisierungsentwickelnde macht, die keine Benutzerzugriffe verwalten müssen.
- Folder Runner: Bietet schreibgeschützten Zugriff auf Ordnerressourcen und ermöglicht es Benutzenden, Abläufe manuell auszulösen und den Ausführungsverlauf zur Fehlerbehebung und für den operativen Support zu überprüfen.
- Folder Reader: Gewährt ausschließlich Lesezugriff, um die Logik von Abläufen und Tabellen anzuzeigen. Dies bietet eine sichere Umgebung für Schulungsteilnehmende oder Verantwortliche, damit diese risikofrei lernen können, ohne versehentlich Änderungen vorzunehmen.
Risikominderung dank Verbindungen mit zugeordneten Berechtigungsbereichen
In einer komplexen Automatisierungsumgebung hat die Verwaltung des Zugriffs auf Drittanbieter-APIs und Service-Accounts höchste Sicherheitspriorität. Mit der Einführung von ordnerbezogenen Verbindungen können Sie die Verwendung hochprivilegierter Anmeldedaten jetzt auf bestimmte, autorisierte Ordner und Benutzende beschränken.
Bedeutung für Ihre Sicherheitslage:
- Erzwingung des Least-Privilege-Prinzips: Dies ermöglicht es Ihnen, Verbindungen mit hohen Berechtigungen (z. B. ein sensibles HR-System) auf die spezifischen Teams und Ordner zu beschränken, die diese benötigen.
- Begrenzung des „Wirkungsradius“: Indem Sie eine Verbindung auf einen Ordner beschränken, können Sie sicherstellen, dass eine mögliche Rechteausweitung selbst bei einer Fehlkonfiguration eines Ablaufs oder einem Benutzerfehler rein auf diesen Ordner begrenzt bleibt.
- Proaktive Governance und Transparenz: Bevor einem Ordner eine Verbindung zugewiesen wird, erhalten Administrator:innen eine klare Übersicht darüber, wie viele Benutzende Zugriff auf diesen Ordner haben. Dadurch wird verhindert, dass sensible Anmeldedaten ungewollt „übermäßig weitergegeben“ werden.
Eindämmung von Automatisierungs-Wildwuchs
Eine Erweiterung des Zugriffs auf weitere Teams ist zwar wirksam, aber ohne die richtigen Kontrollen kann ein „Wildwuchs der Automatisierung“ zu Transparenzlücken führen, die es für das IT-Team schwierig machen, jede Verbindung und jeden Ablauf abzusichern. Die Verwaltung von Benutzenden und Verbindungen auf Ordnerebene bietet die notwendige logische Struktur für die Organisation und Absicherung Ihrer Umgebung.
Indem Unternehmen mehr Kontrolle darüber erhalten, welche Automatisierungen Benutzende erstellen können und welche Ressourcen sie nutzen dürfen, können sie einen hohen Governance-Standard aufrechterhalten. Das bedeutet, dass jeder erstellte Ablauf gezielt, dokumentiert und auf interne Richtlinien abgestimmt ist, selbst wenn die Zahl aktiver Automatisierungen im gesamten Unternehmen wächst.
Weiterentwicklung Ihrer Journey
RBAC auf Ordnerebene und ordnerbezogene Verbindungen sind jetzt in der Early Access-Version verfügbar. Bei dieser Version geht es darum, eine sichere Grundlage für exponentielles Wachstum zu schaffen. Ganz egal, ob Sie neue Benutzende als „Folder Reader“ schulen, um Ihren zukünftigen Talentpool aufzubauen, oder ein globales DevOps-Team mit „Folder Manager“-Rechten ausstatten, um regionale Aufgaben zu bearbeiten: Okta Workflows bietet Ihnen jetzt die Tools für eine sichere Skalierung.
Erste Schritte
- Rollen im Detail kennenlernen: In unserer technischen Dokumentation finden Sie eine vollständige Aufschlüsselung der Rollenbindungen und Berechtigungen.
- Ressourcen organisieren: Wir empfehlen Ihnen, zunächst Ihre aktuellen Abläufe zu überprüfen und sie in einer Ordnerstruktur zu organisieren, die Ihren unternehmens- oder abteilungsspezifischen Anforderungen entspricht.
- Verbindungen überprüfen: Nutzen Sie diese Version, um Ihre globalen Verbindungen zu überprüfen. Identifizieren Sie Service-Accounts mit hohen Berechtigungen, die auf bestimmte Ordner beschränkt werden sollten, um Ihr allgemeines Sicherheitsrisiko zu reduzieren.
- Neue Teammitglieder einarbeiten: Nutzen Sie die Rollen „Folder Reader“ und „Folder Runner“, um neue Teammitglieder sicher in Workflows einzuführen. Auf diese Weise können sie risikofrei lernen, indem sie vorhandene Logiken beobachten, ohne das sie versehentlich Änderungen an Ihren Produktionsabläufen vornehmen können.
