Ein effizientes Berechtigungsmanagementsystem für einen Datenkatalog
Actian Germany GmbH
2. Dezember 2021
Der Datenkatalog einer Organisation Datenkatalog wertet alle verfügbaren Datenbestände auf, indem er sich auf zwei Arten von Informationen stützt - zum einen auf rein technische Informationen, die automatisch aus ihren Quellen synchronisiert werden, und zum anderen auf geschäftliche Informationen, die aus der Arbeit von Data Stewards stammen. Letztere werden manuell aktualisiert und bergen somit Risiken für die gesamte Organisation.
Ein Berechtigungsmanagementsystem ist daher unerlässlich, um die Zugriffsrechte der Katalognutzer zu definieren und zu kontrollieren. In diesem Artikel stellen wir die grundlegenden Merkmale und die möglichen Ansätze für den Aufbau eines effizienten Berechtigungsmanagementsystems sowie die von Zeenea Datenkatalog implementierte Lösung vor.
Berechtigungsmanagement-System: Ein unverzichtbares Werkzeug für die gesamte Organisation
Damit die Nutzer des Datenkatalog den Informationen, die sie sehen, vertrauen können, ist es wichtig, dass die Dokumentation der katalogisierten Objekte relevant, von hoher Qualität und vor allem zuverlässig ist. Ihre Nutzer müssen die ihnen zur Verfügung stehenden Datenbestände leicht finden, verstehen und nutzen können.
Der Ursprung von Kataloginformationen und Automatisierung
Ein Datenkatalog integriert in der Regel zwei Arten von Informationen. Zum einen gibt es rein technische Informationen, die direkt aus der Datenquelle stammen. Bei Zeenea werden diese Informationen vollständig automatisiert und kontinuierlich zwischen dem Datenkatalog und jeder Datenquelle synchronisiert, um ihre Richtigkeit und Aktualität zu gewährleisten. Auf der anderen Seite enthält der Katalog die gesamte geschäftliche oder organisatorische Dokumentation, die aus der Arbeit der Data Stewards stammt. Diese Informationen können nicht automatisiert werden; sie werden manuell von den Datenmanagement des Unternehmens aktualisiert.
Ein Berechtigungsmanagementsystem ist eine Voraussetzung für die Verwendung eines Datenkatalog
Um diese zweite Kategorie von Informationen zu verwalten , muss der Katalog Mechanismen zur Zugriffs- und Eingabekontrolle enthalten. Es ist nämlich nicht erwünscht, dass jeder Nutzer des Datenkatalog Ihres Unternehmens Informationen erstellen, bearbeiten, importieren, exportieren oder gar löschen kann, ohne zuvor eine Berechtigung erhalten zu haben. Ein Nutzer Berechtigungsmanagementsystem ist daher Voraussetzung; es übernimmt die Rolle eines Wächters für die Zugriffsrechte der Nutzer.
Die 3 grundlegenden Merkmale des Berechtigungsmanagementsystems eines Datenkatalog
Die Implementierung eines unternehmensweiten Berechtigungsmanagementsystems unterliegt einer Reihe von Erwartungen, die bei seiner Gestaltung berücksichtigt werden müssen. In diesem Artikel konzentrieren wir uns auf drei grundlegende Merkmale eines Berechtigungsmanagementsystems: den Grad der Granularität und Flexibilitätseine Lesbarkeit und Überprüfbarkeit sowie seine einfache Verwaltung.
Granularität und Flexibilität
Zuallererst muss ein System zur Verwaltung von Berechtigungen den richtigen Grad an Granularität und Flexibilität aufweisen. Einige Aktionen sollten für den gesamten Katalog verfügbar sein, um die Nutzung zu erleichtern. Andere Aktionen sollten nur auf bestimmte Teile des Katalogs beschränkt sein. Einige Benutzer werden globale Rechte für alle Objekte im Katalog haben, während andere nur den ihnen zugewiesenen Bereich bearbeiten können. Das Berechtigungsmanagementsystem muss daher diese Bandbreite an Möglichkeiten zulassen, von der globalen Berechtigung bis zur Feinheit eines Objekts im Katalog.
Bei Zeenea beispielsweise sind unsere Kunden unterschiedlich groß und haben einen sehr heterogenen Reifegrad in Sachen data governance. Einige sind Start-ups, andere sind große Unternehmen. Einige haben eine Datenkultur, die bereits gut in ihre Prozesse integriert ist, während andere erst am Anfang ihres Datenakkulturationsprozesses stehen. Das Berechtigungsmanagementsystem muss daher flexibel genug sein, um sich an alle Arten von Organisationen anzupassen.
Lesbarkeit und Prüfbarkeit
Zweitens muss ein Genehmigungsmanagementsystem lesbar und einfach zu befolgen sein. Bei einem Audit oder einer Überprüfung der Systemberechtigung muss ein Administrator, der ein Objekt untersucht, schnell feststellen können, wer die Fähigkeit hat, es zu ändern. Umgekehrt muss ein Administrator, wenn er sich die Details des Berechtigungssatzes eines Nutzeransieht, schnell feststellen können, welcher Bereich diesem Nutzer zugewiesen ist und welche Aktionen er ausführen darf.
Dadurch wird einfach sichergestellt, dass die richtigen Personen Zugang zu den richtigen Bereichen haben und über die für ihre Rolle im Unternehmen erforderlichen Berechtigungen verfügen.
Waren Sie schon einmal mit einem Berechtigungssystem konfrontiert, das so komplex war, dass es unmöglich war zu verstehen, warum ein Nutzer auf eine Information zugreifen durfte? Oder im Gegenteil, er war nicht in der Lage, dies zu tun?
Vereinfachung der Verwaltung
Und schließlich muss ein System zur Verwaltung von Berechtigungen dem wachsenden Katalogvolumen standhalten. Wir wissen heute, dass wir in einer Welt der Daten leben: Im Jahr 2020 wurden täglich 2,5 Exabyte an Daten erzeugt, und Schätzungen zufolge werden im Jahr 2025 täglich 463 Exabyte an Daten erzeugt werden. Neue Projekte, neue Produkte, neue Anwendungen: Unternehmen müssen sich täglich mit der Explosion ihrer Datenbestände auseinandersetzen.
Um relevant zu bleiben, muss sich ein Datenkatalog mit den Daten des Unternehmens weiterentwickeln. Das System zur Verwaltung von Berechtigungen muss daher auf inhaltliche Änderungen oder sogar auf den Wechsel von Mitarbeitern innerhalb der Organisation reagieren können.
Verschiedene Ansätze zur Gestaltung eines Datenkatalog Permission Management System
Es gibt verschiedene Ansätze, ein Datenkatalog zu gestalten, die mehr oder weniger die oben genannten und erwarteten Hauptmerkmale kennenlernen . Wir haben uns entschieden, drei davon in diesem Artikel näher zu erläutern.
Crowdsourcing
Erstens der Crowdsourcing-Ansatz, bei dem man dem Kollektiv zutraut, sich selbst zu korrigieren. Eine Handvoll Administratoren kann den Inhalt moderieren und alle Nutzer können zur Dokumentation beitragen. In der Regel wird das System durch ein Auditsystem ergänzt, um sicherzustellen, dass keine Informationen aus Versehen oder böswillig verloren gehen. In diesem Fall gibt es keine Kontrolle vor dem Dokumentieren, sondern eine kollektive Korrektur danach. Dieses System wird in der Regel von Online-Enzyklopädien wie Wikipedia gewählt. Diese Systeme sind auf die Anzahl der Mitwirkenden und ihr eigenes Wissen angewiesen, um gut zu funktionieren, da die Selbstkorrektur nur durch das Kollektiv wirksam werden kann.
Dieses System erfüllt perfekt die Anforderungen an die Lesbarkeit - alle Nutzer haben das gleiche Maß an Rechten, so dass es keine Fragen über die Zugriffskontrolle der einzelnen Nutzer gibt. Es ist auch einfach zu verwalten - jeder neue Nutzer hat die gleichen Rechte wie alle anderen, und jedes neue Objekt im Datenkatalog ist für alle zugänglich. Auf der anderen Seite gibt es keine Möglichkeit, die Granularität der Rechte verwalten . Jeder kann alles tun und sehen.
Dem Nutzer beigefügte Erlaubnis
Der zweite Ansatz zur Gestaltung des Berechtigungsmanagementsystems ist die Verwendung von Lösungen, bei denen der Geltungsbereich mit dem Profil des Nutzerverknüpft ist. Wenn ein Nutzer im Datenkatalog angelegt wird, weisen die Administratoren ihm einen Bereich zu, der die Ressourcen definiert, die er sehen und verändern kann. In diesem Fall werden alle Kontrollen im Vorfeld durchgeführt und ein Nutzer kann nicht versehentlich auf eine Ressource zugreifen. Dies ist die Art von System, die von einem Betriebssystem wie Windows verwendet wird.
Dieses System hat den Vorteil, dass es sehr sicher ist, denn es besteht kein Risiko, dass eine neue Ressource von Personen, die dazu nicht berechtigt sind, gesehen oder verändert werden kann. Dieser Ansatz entspricht auch dem Erfordernis der Lesbarkeit: Für jeden Nutzer sind alle zugänglichen Ressourcen leicht zu finden. Der erwartete Granularitätsgrad ist ebenfalls gut, da es möglich ist, das Datensystem Ressource für Ressource zuzuordnen.
Andererseits ist die Verwaltung komplexer - jedes Mal, wenn eine neue Ressource zum Katalog hinzugefügt wird, muss sie zu den Umfängen der genannten Benutzer hinzugefügt werden. Es ist möglich, diese Einschränkung zu überwinden, indem Sie dynamische Bereiche erstellen. Zu diesem Zweck können Sie Regeln definieren, die die Ressourcen den Benutzern zuordnen, z. B. dass alle PDF-Dateien für den Betreffenden zugänglich sein sollen. Dabei können jedoch leicht widersprüchliche Regeln auftreten, die die Lesbarkeit des Systems erschweren.
Mit der Ressource verbundene Berechtigung
Der letzte große Ansatz für die Gestaltung des Berechtigungsmanagements eines Datenkatalogist die Verwendung von Lösungen, bei denen die autorisierten Aktionen an die zu ändernde Ressource gebunden sind. Für jede Ressource werden die möglichen Berechtigungen Nutzer für Nutzer definiert. Somit ist es die Ressource, die ihren eigenen Berechtigungssatz hat. Mit einem Blick auf die Ressource ist es dann möglich, sofort zu wissen, wer sie sehen oder bearbeiten darf. Dies ist zum Beispiel die Art von System eines UNIX-ähnlichen Betriebssystems.
Die Notwendigkeit der Lesbarkeit wird perfekt erfüllt - ein Administrator kann die Berechtigungen der verschiedenen Benutzer sofort sehen, wenn er die Ressource betrachtet. Das Gleiche gilt für den Bedarf an Granularität - dieser Ansatz ermöglicht die Vergabe von Berechtigungen auf der Makroebene durch ein Vererbungssystem oder auf der Mikroebene direkt an der Ressource. Was schließlich die Einfachheit der Verwaltung betrifft, so muss jeder neue Nutzer mit den verschiedenen Ressourcen verknüpft werden, was potenziell mühsam ist. Es gibt jedoch Gruppensysteme, die diese Komplexität abmildern können.
Das Zeenea Datenkatalog Permission Management Modell: Einfach, lesbar und flexibel
Unter diesen Ansätzen wollen wir den von Zeenea gewählten und die Art seiner Anwendung näher erläutern.
Der Ressourcen-Ansatz wurde bevorzugt
Fassen wir die verschiedenen Vor- und Nachteile jedes der oben genannten Ansätze zusammen. Sowohl in den Systemen zur Verwaltung von Berechtigungen Nutzer Ressourcen- als auch auf Nutzer wird der Bedarf an Granularität gut abgedeckt - diese Systeme ermöglichen die Zuweisung von Berechtigungen für jede einzelne Ressource. Im Gegensatz dazu ist die Grundphilosophie beim Crowdsourcing, dass jeder auf alles zugreifen kann. Die Lesbarkeit ist in Crowdsourcing-Systemen oder in Systemen, in denen die Berechtigungen an die Ressource gebunden sind, eindeutig besser. In Systemen, bei denen die Berechtigungen an den Nutzer gebunden sind, ist sie nach wie vor angemessen, allerdings oft auf Kosten der Einfachheit der Verwaltung. Schließlich ist die Einfachheit der Verwaltung sehr stark für den Crowdsourcing-Ansatz optimiert und hängt davon ab, was man am meisten ändern will - die Ressource oder die Nutzer.
Da der Bedarf an Granularität beim Crowdsourcing-Ansatz nicht gedeckt ist, haben wir ihn ausgeschlossen. Damit blieben uns zwei Optionen: ressourcenbasierte Erlaubnis oder Nutzer Erlaubnismodelle. Da die Lesbarkeit bei der ressourcenbasierten Erlaubnis etwas besser ist und sich der Inhalt des Katalogs schneller entwickelt als die Anzahl der Nutzer, schien die Nutzer Erlaubnisoption am wenigsten relevant.
Die Option, die wir bei Zeenea gewählt haben, war daher die dritte: Nutzer werden mit der Ressource verbunden.
So funktioniert das Zeenea Datenkatalog Permission Management System
In Zeenea Datenkatalog ist es möglich, für jeden Nutzer zu definieren, ob er das Recht hat, die Objekte des gesamten Katalogs, eine oder mehrere Arten von Objekten oder nur die seines Perimeters zu bearbeiten. Dies erlaubt die feinste Granularität, aber auch globalere Rollen. Zum Beispiel könnten "Super-Stewards" die Erlaubnis haben, auf ganze Teile des Katalogs einzuwirken, wie z.B. auf das Glossar.
Jedem Objekt im Katalog wird dann eine Liste der Kuratoren zugeordnet, d. h. derjenigen, die für die Dokumentation des Objekts verantwortlich sind. Auf diese Weise kann man, indem man sich die Details des Objekts ansieht, sofort wissen, an wen man sich wenden muss, um die Dokumentation zu korrigieren oder zu vervollständigen oder um eine Frage dazu zu beantworten. Das System ist also übersichtlich und leicht zu verstehen. Der Handlungsspielraum der Benutzer wird durch ein granulares System bis hin zum Objekt im Katalog genau bestimmt.
Wenn ein neuer Nutzer in den Katalog aufgenommen wird, muss sein Aktionsradius definiert werden. Im Moment erfolgt diese Konfiguration über die Massenbearbeitung von Objekten. Um die Verwaltung noch weiter zu vereinfachen, wird es bald möglich sein, spezifische Benutzergruppen zu definieren, so dass ein neuer Mitarbeiter nicht mehr namentlich zu jedem Objekt in seinem Wirkungsbereich hinzugefügt werden muss. Stattdessen müssen sie einfach der Gruppe hinzugefügt werden, und ihr Bereich wird ihnen automatisch zugewiesen.
Schließlich haben wir uns freiwillig dafür entschieden , keinen Workflow zur Validierung der Dokumentation in den Katalog zu implementieren. Wir glauben, dass die Verantwortung des Teams einer der Schlüssel zum Erfolg einer Datenkatalog ist. Deshalb ist die einzige Kontrolle, die wir einführen, diejenige, die die Rechte und den Umfang des Nutzerbestimmt. Sobald diese beiden Elemente festgelegt sind, können die für die Dokumentation verantwortlichen Personen frei handeln. Das System wird durch ein Ereignisprotokoll über Änderungen ergänzt, um eine vollständige Nachvollziehbarkeit zu ermöglichen, sowie durch ein Diskussionssystem über die Objekte. Es ermöglicht jedem, Änderungen vorzuschlagen oder Fehler in der Dokumentation zu melden.
Wenn Sie mehr über unser Berechtigungsmanagement-Modell erfahren möchten, oder mehr Informationen über unseren Datenkatalog erhalten wollen.
Abonnieren Sie den Actian Blog
Abonnieren Sie den Blog von Actian, um direkt Dateneinblicke zu erhalten.
- Bleiben Sie auf dem Laufenden - Holen Sie sich die neuesten Informationen zu Data Analytics direkt in Ihren Posteingang.
- Verpassen Sie keinen Beitrag: Sie erhalten automatische E-Mail-Updates, die Sie informieren, wenn neue Beiträge veröffentlicht werden.
- Ganz wie sie wollen: Ändern Sie Ihre Lieferpräferenzen nach Ihren Bedürfnissen.