Delegiertes Management

Sollten Sie Fragen oder Anliegen zum delegiertes Management haben, wenden Sie sich an das eIAM-Plattform-Team:
eIAM-Operations@bit.admin.ch.

eIAM bietet eine Delegation der Benutzerverwaltung nach intern oder extern an. In anderen IAM-Systemen wird diese Funktionalität als delegierte Rechtezuweisung, delegierte Benutzerverwaltung oder delegierte Administration bezeichnet.

Ziel des delegierten Managements

Das delegierte Management hat zum Ziel das Management der Berechtigungsvergabe zu dezentralisieren und dabei das Management dort hin zu leiten, wo auch das Know-how über Veränderungen vorhanden ist. Das delegierte Management unterteilt sich in 3 Hauptaspekte, welche gemanagt und einzeln berechtigt werden können.
  • Units
    • Strukturierendes Element auf dessen Basis die zu berechtigenden User gruppiert werden können
    • Element, über welches das delegierte Management aufgeteilt werden kann
  • User
    • Entspricht dem zu berechtigenden Subjekt im Access Mandanten
    • Kann über delegiertes Management vorbereitet werden (Wissen über Subjekt und dessen Bedarf ist bereits bekannt)
    • Erhält Onboarding-Einladung
    • Kann verschiedene Unit spezifische Profile haben
  • Berechtigungen
    • Werden in Form von IDM-Rollen (z.B. DeleAdmin) und Geschäftsrollen vergeben
    • Können Attribute aufweisen
    • Werden unterschieden zwischen
      • Nutzungsberechtigungen (Nutzen von Rollen eine Fachapplikation)
      • Managementberechtigungen (Managen/Vergeben von Rollen)
Bemerkung
Delegiertes Management heisst nicht zwingend, dass das Management vollkommen dezentral erfolgen muss. Dies macht insofern nur Sinn, wenn auf Kundenseite eine entsprechende Struktur nutzbar ist (z.B. Firmen oder Kantone als Kunden)

Vorteile des delegierten Managements

  • Bewirtschaftung von Units, Usern und Berechtigungen kann effizienter und effektiver gestaltet werden
    • Management liegt dort wo das Wissen über Veränderungen vorhanden ist
    • Keine unnötigen Abstimmungen und Abklärungen
    • Die dezentrale Verwaltung reduziert den Aufwand für den einzelnen Manager, da Aufgaben auf grösseren Verantwortungskreis delegiert wird
    • Grössere Autonomie und Flexibilität der dezentralen Verwaltungseinheiten (z.B. Firmen, Kantone)
  • Vor-Provisionierung mittels Massen-Onboarding (Bulk-Onboarding) der Benutzer mit möglicher IDM-Rollen Berechtigungsvergabe
    • Schnelleres Onboarding des Nutzers möglich
    • Keine Wartezeiten für Endnutzer
    • IDM DelegAdmin Rollen Vergabe beim Bulk-Onboarding
  • Dezentralisierung bis zum Endkunden (Drittkreis, wie Firmen und Kantone)
    • Veränderungen (Neueintritte, Austritte und Mutationen) werden schneller abgebildet, da Verantwortung delegiert (Kein Meldeverfahren mehr)
    • Eliminierung von formularbasierter Kommunikation bez. Mutationen
  • Spezifisches, sauber eingeschränktes Management von Unit, Usern und der Berechtigungen
    • Das Berechtigungsmanagement und die Unit- und User-Verwaltung, kann Dank der DelegAdmin IDM-Rollen (DelegatedManager_User, DelegatedManager_Subunit, DelegatedManager_Permission, DelegatedManager_DelegMgmt_Permission) einzeln und spezifisch vergeben werden
    • Die Möglichkeit besteht auch die mobile Telefonnummer der Benutzer im Access Mandant als Pflichtfeld zu definieren (Strict-Onboarding)

Nachteile des delegierten Managements

  • Initialer Mehraufwand für Implementierung von Kontrollmechanismen
  • Verantwortung bleibt beim Amt. -> Empfehlung: Vertragliche Regelung zwischen Amt und Drittkreis (Schadloshaltung)

Wichtig
Der organisatorische Aspekt ist beim delegierten Management der wichtigere Aspekt. Die technische Funktionalität ist fast selbst sprechend, aber die dafür notwendigen organisatorischen Strukturen aufzubauen braucht eine sorgfältige Planung und Vorbereitung bezüglich der initialen Bereitstellung der UNIT- und Rollen-Strukturen. Diese Strukturen muss im Rahmen des Rollouts analysiert und basierend auf dem definierten Konzept entweder initial definiert und/oder ggf. entsprechend bereinigt werden.

Empfehlung
Wir empfehlen für Einführung des delegierten Managements ein kleines Projekt zu starten oder es als eigener Aspekt in einem laufenden Projekt zu behandeln.

Eignungs- und Bedarfsabklärung

Bevor mit Aktivitäten rund um das delegierte Management gestartet wird, macht es Sinn Eignung und Bedarf für das Amt zu klären. Nachfolgend sind einige Punkte aufgeführt, welche für oder gegen ein delegiertes Management sprechen. Anhand dieser Kriterien kann im Rahmen eines vorabklärenden Beratungsgespräches zwischen Leistungsbezüger (Amt) und Leistungserbringer (BIT) die Bedarfsabklärung durchgeführt werden.

Geeignet für delegiertes Management

  • Dezentrale Verwaltungsstruktur für User und Berechtigungen
    • User sind in unterschiedlichen Unit Strukturen (z.B. Firmen, Kantone, usw.) einteilbar
    • Das Wissen über die Veränderungen (Neueintritte, Austritte und Mutationen) ist in diesen dezentralen Verwaltungsstrukturen
    • Das Wissen über benötigte Berechtigungen (Rollen-Bedarf) ist in diesen dezentralen Verwaltungsstrukturen
  • Dezentrale Fachverantwortung für Applikationen
    • Die verschiedenen fachlichen Verantwortungen für Applikationen und deren Daten-räume ist in dezentral Verwaltungsstrukturen (z.B. in Fachdiensten)
    • Das Wissen über benötigte Berechtigungen (Rollen-Bedarf) ist in diesen dezentralen Verwaltungsstrukturen
  • Hoher Abklärungsbedarf für Berechtigungsvergabe
    • Restriktive Berechtigungsvergabe mit Abklärungsprozess
    • Spezifische Nutzerkenntnis notwendig für Berechtigungsvergabe
  • Aufgabentrennung zwischen Nutzererfassung und Berechtigungsvergabe
    • Nutzer werden z.B. durch HR oder Drittkreis (z.B. Firmen, Kantone) verwaltet
    • Berechtigungen werden durch Fachverantwortliche vergeben
Ungeeignet für delegiertes Management
  • Mengengerüst ist zu klein für dezentralisiertes Management
    • Die Menge entweder der zu verwaltenden Nutzer oder der zu vergebenden Rollen ist zu gering
    • Kombination ist ausschlaggebenden und muss situativ beurteilt werden. Es gibt hier keine absolute Wahrheit und Klarheit
  • Keine dezentralen Berechtigungsstrukturen
    • Es fehlen organisatorische (Units) und/oder fachliche (mehrere Applikationen und/oder Datenräume) Berechtigungsstrukturen
    • Kombination ist ausschlaggebenden und muss situativ beurteilt werden. Es gibt hier keine absolute Wahrheit und Klarheit

Wie lasse ich das delegierte Management aufschalten?

Um das delegierte User Management von eIAM nutzen zu können, wenden Sie sich an Ihren Account Manager im BIT.
  1. Der eIAM-Mandant (Accessmandant), an welchem die Applikation angeschlossen ist, welche delegiertes Management benötigt, muss einmalig angepasst werden. Die bereits dort angeschlossenen Applikationen arbeiten wie bisher weiter, auch wenn sie das delegierte Management nicht verwenden werden.
  2. Das BIT richtet für die Applikation, welche das delegierte Management verwenden soll, eine sogenannte Masterunit ein.
  3. Das BIT vereinbart mit dem Kunden eine Schulung, an welcher die Erstellung von Units, delegierten Managern etc. vermittelt wird und unterstützt bei der Konzipierung der Unit-Struktur und der konkreten Umsetzung (Erfassung).
Das BIT rechnet für diese 3 Arbeitspakete mit einem Kostendach von 10 Tagen, die nach tatsächlichem Aufwand abgerechnet werden.

Für Applikationen, die bereits mit eIAM arbeiten und das delegierte Management nachträglich verwenden wollen, ist dies per Remedy in Auftrag zu geben.

Für Neuintegrationen wird das delegierte Management im eIAM-Dossiers bestellt, die 10 Tage werden in der DLV abgebildet.

Einblicke in das delegierte Management (Video)
×
Das delegierte Management von eIAM wurde im Rahmen des Covid-Zertifikats eingesetzt. Dieses Video über das Covid-Zertifikat gibt Ihnen einen Einblick in das delegierte Management von eIAM.