English

Architektur

Die Komponenten Collector Engine, Notification Engine, User Frontend und Admin Frontend bilden die grundlegende Architektur von daccord. 

Die Collector Engine hat die Aufgabe, Daten aus den verschiedenen Zielsystemen zu beschaffen und diese in der daccord Datenbank abzulegen.

In der Notification Engine kann der daccord Administrator die verschiedenen Wege zur Benachrichtigung festlegen und konfigurieren.

Die webbasierten und benutzerfreundlichen Frontends stehen dem Anwender (User Frontend) und dem Administrator (Admin Frontend) zur Konfiguration zur Verfügung.

Die Architektur von daccord
Die Collector Engine

Mithilfe der Collector Engine als Hauptkomponente von daccord, wird der Kontakt zu den verschiedenen Systemen hergestellt um die Informationen über Persons, User, Rights und Relations zu identifizieren und in das zentrale daccord-System zu übertragen. Um eine Verbindung mit dem Zielsystem herzustellen, werden die so genannten Connectoren verwendet.

Zur Zeit stehen folgende Connectoren zur Verfügung:

  • Microsoft Active Directory Connector
  • Novell eDirectory Connector
  • CSV Connector
  • JDBC Connector
  • Oracle JDBC Connector
  • FLT (Fixed Lenght, Mainframe) Connector
  • XML Connector
  • Novell OES Filesystem Connector
  • Microsoft NTFS Connector
  • Novell Vibe Connector
  • Salesforce Connector
  • Typo3 Connector
  • S2S Connector
  • SAP Connector

Die Informationen liefern einen Differenzabgleich zwischen dem zurückgelieferten (Ist-Zustand im angebundenen System) und den bisherigen Daten (historische Daten, Daten des letzten Abgleichs im daccord-System). Das Ergebnis des jeweiligen letzten Laufes wird in der daccord-Datenbank im Datenmodell gespeichert und für die nächste Überprüfung wieder zum Differenzabgleich zur Verfügung gestellt. So kann immer auf die historischen Stände der Berechtigungen zurückgegriffen werden.

Der Zeitraum, wann daccord die Verbindung zu einem Zielsystem aufnimmt und Daten daraus importiert, kann flexibel eingestellt werden (z.B. täglich, wöchentlich oder monatlich). Ein manueller Start ist ebenso jederzeit möglich. 

Die Collector Engine kann zudem auf Ereignisse während der Datensammlung aktiv reagieren und eine beliebige Anzahl von festgelegten Aktionen automatisch durchführen. Eine Vorgabe/Aktion könnte z.B. lauten, alle Daten, die älter als 14 Tage sind, täglich zu löschen. Ein weiteres Beispiel einer Aktion wäre, den Systemadministrator bei einem fehlgeschlagenen Import von Daten zu benachrichtigen.

Von der Collector Engine initiierte Aktionen sind zum Beispiel:

  • Mail Action (u.a. automatisierte Benachrichtigung per Email)
  • JDBC Action (u.a. automatisierter Aufruf einer Datenbankbereinigung)
  • Report Action (u.a. automatisierte Reporterstellung)

Innerhalb des Collect-Prozesses, also der Informationssammlungsphase können Zuweisungen zwischen den verschiedenen Beteiligten entstehen, sofern diese konfiguriert werden.

PersonManager: Ein Collector kann in der Art konfiguriert werden, so dass er Zuordnungen zwischen Personen importieren kann. Eine PersonManager-Zuordnung erlaubt dem Manager im User Frontend die Rechte der ihm zugeordneten Personen einzusehen.

RightsManager: Ein Collector kann in der Art konfiguriert werden, so dass er Zuordnungen zwischen Personen und Rechten importieren kann. Der so genannte RightsManager erlaubt die Zuordnung im User Frontend die Rechteinhaber des ihm zugeordneten Rechtes einzusehen.

Die Notification Engine

Während die Collector Engine die Daten aus den verschiedenen angeschlossenen Systemen in die daccord Datenbank überträgt, führt die Notification Engine eine automatisierte Überwachung der vergebenen Rechte an Personen (Persons) und deren Useraccounts durch. Falls z.B. eine Rechteverletzung vorliegt, benachrichtigt das System die jeweiligen Vorgesetzten oder Verantwortlichen (RightsManager) automatisch darüber. 

Zeitgesteuerte oder manuell gestartete Benachrichtigungen versendet daccord (beispielsweise per Email) an die vorher definierten Personen (Persons) im System und hängt -je nach Unternehmenswunsch- zusätzliche Informationen, Dokumente (z.B. Anweisungen) oder dynamisch generierte Reports an. Ebenfalls möglich ist das Anstoßen eines Workflows. Die Regel (z.B. eine Benachrichtigung bei einem bestimmten Ereignis auszulösen) kann beliebig hinterlegt werden. Als praktisches Beispiel sei hier der Einsatz von externen Mitarbeitern genannt. Nach Projektende informiert daccord automatisch den zuständigen RightsManager darüber, dass die Zugriffsrechte dieser Mitarbeiter nun wieder zurückgesetzt werden müssen. Sicherheitslücken können somit gar nicht erst entstehen.

Derzeit unterstützt die Notification Engine folgende Arten von Benachrichtigungen:

  • Mail Benachrichtigung (Email mit dynamischem Inhalt und einer beliebigen Anzahl von Anhängen)
  • MailReport Benachrichtigung (Email mit dynamischem Inhalt und einer beliebigen Anzahl von angehängten, dynamisch generierten Reports)
  • Lotus Notes Workflow Notification (z.B. Rezertifizierung wird durch einen Workflow angestoßen, der in einem bestimmten Mailformat versendet wird).
Das User Frontend

Das webbasierte und browserunabhängige User Frontend von daccord dient der Darstellung von Informationen über Persons, User, Rights und Relations. Der User meldet sich über daccord an, wird authentisiert und kann direkt auf das benutzerfreundliche User Frontend zugreifen.

Dem User stehen folgende Perspektiven zur Verfügung:

  • Meine User IDs und Berechtigungen: Angezeigt wird eine Übersicht aus dem Zielsystem über die zu dem daccord-Anwender gehörenden Usern und dazu gehörenden Rechte.
  • Berechtigungen, die ich verwalte: In dieser Perspektive werden dem Anwender die Rechte in den Zielsystemen aufgezeigt, für die er selbst verantwortlich ist (RightsManager). Zu jedem Recht werden die Personen angezeigt, die dieses Recht besitzen.
  • Mitarbeiter, die ich verwalte: In dieser Perspektive wird der Person eine Hierarchie von Personen angezeigt, für die er bezüglich der Berechtigungsvergabe verantwortlich ist (PersonManager). Als PersonManager können Sie sich über die Berechtigungen der Ihnen zugewiesenen Personen informieren.
  • Meine Rollen und Berechtigungen: Diese Perspektive dient der Darstellung der vergebenen Rechte bezüglich der Aufgabenstellung die eine Person aufgrund seines Aufgabengebietes haben sollte und welche Rechte der Mitarbeiter tatsächlich hat. Die Rechte, die er aufgrund seiner Funktionen und Aufgaben haben sollte, werden vorher definiert und im System hinterlegt.
  • Meine Anträge: In dieser Perspektive können Anträge, die der Anwender genehmigt hat, Anträge, die er selbst gestellt hat oder Anträge, die ihm zugeordnete User betreffen einsehen. 

In jeder der Perspektiven gibt es die Möglichkeit Reports als PDF-File ad hoc generieren zu lassen. Außerdem gibt es umfassende Filter- und Selektionsmöglichkeiten; so können z.B. inaktive Personen (Persons) entweder angezeigt oder ausgeblendet werden.

Das Admin Frontend

Neben dem User Frontend für die Benutzer steht für administrative Tätigkeiten ein umfangreiches und benutzerfreundliches Admin Frontend zur Verfügung. Hierüber können alle Komponenten des Systems administriert werden. Je nach Anforderung, kann die Anzahl an Collectoren, die für die Datensammlung verantwortlich sind, in größeren Umgebungen steigen. Deshalb sind zur einfacheren Darstellung im Admin Frontend Möglichkeiten implementiert, die eine Gruppierung der Collectoren und Notifications in logische Einheiten ermöglichen.

Nach Anmeldung stehen dem Administrator neben einer Hilfeoption und einer Kurzdokumentation unterschiedliche Perspektiven zur Verfügung:

  • Engines: Das Admin Frontend bietet die Möglichkeit die Collector Engine und die Notification Engine in der Perspektive Engines zu konfigurieren. Dort lassen sich auch die so genannten Collector Groups und die Notification Groups, in denen die Collectoren und Notifications gebündelt werden, modifizieren, ergänzen, ändern und löschen. Gleichzeitig dient diese Ansicht der Überwachung von Collectoren und Notifications. Zum Beispiel wird angezeigt, ob ein bestimmter Collector aktiv ist oder ob er bei der letzten Ausführung fehlerfrei gelaufen ist.
  • Frontends: In der Perspektive Frontends können unterschiedliche Konfigurationsparameter für die Frontends hinterlegt werden. Generell werden von daccord mehrere Frontends unterstützt, deren Parameter unterschiedlich konfiguriert werden können. Zum Beispiel ist in den Parametern einzustellen, welches System zur Validierung des Anmeldenamens genutzt werden soll.
  • User und Rollen: In dieser Perspektive werden interne Benutzer angelegt, d.h. Benutzer mit administrativen Berechtigungen. Im Feld Rollen werden die Rollen der internen daccord-User verwaltet, sprich die Funktion des Users wird mit den jeweiligen Rechten einer Funktion versehen.
  • daccord-Daten: In daccord-Daten können detaillierte Suchen nach Persons, User und Rights durchgeführt werden. Die Suche dient der Überprüfung und Kontrolle des Datenbestandes. Diverse Filtermöglichkeiten in der Suchmaske ermöglichen die Suche vielfältiger und detaillierter Informationen. Für angezeigte Personen (Persons) können die Person-Reports und für angezeigte Rechte die Rights-Reports generiert werden. Auch eine manuelle Zuweisung von PersonManager, RightsManager und Vertretungen sind möglich. Diese Zuweisungen können im Gegensatz zu den automatischen Importen (z.B. Vorgesetztenstruktur) auch manuell wieder entfernt werden. Zudem lassen sich in der Perspektive daccord-Daten von jedem Administrator Rollen verwalten. Den Rollen können die eingelesenen Rechte aus den Systemen zugewiesen werden. Personen (Persons) können die Rollen dann direkt oder indirekt über weitere Rollen zugewiesen werden.

Zum Download des Whitepapers "100% IT-Compliance durch praxisnahe Access Governance"

Zum Download des Whitepapers "100% IT-Compliance durch praxisnahe Access Governance"

Kontakt

info@daccord.de

+49 (0) 69 85 00 02-0
Newsletter

Haben Sie Fragen und benötigen mehr Informationen zu daccord?

Dann rufen Sie uns an oder schreiben Sie eine Email!