Ein effizientes Berechtigungsmanagementsystem für einen Datenkatalog

Der Datenkatalog wertet alle verfügbaren Datenbestände auf, indem er sich auf zwei Arten von Informationen stützt: zum einen rein technische Informationen, die automatisch aus ihren Quellen synchronisiert werden, und zum anderen geschäftliche Informationen, die aus der Arbeit der Data Stewards stammen. Letztere werden manuell aktualisiert und bergen daher gewisse Risiken für das gesamte Unternehmen.

Ein Berechtigungsmanagementsystem ist daher unerlässlich, um die Zugriffsrechte der Katalogbenutzer zu definieren und zu steuern. In diesem Artikel erläutern wir die grundlegenden Merkmale und möglichen Ansätze für den Aufbau eines effizienten Berechtigungsmanagementsystems sowie die von der Actian Data Intelligence-Plattform implementierte Lösung Actian Data Intelligence-Plattform Datenkatalog.

Berechtigungsmanagement-System: Ein unverzichtbares Werkzeug für die gesamte Organisation

Für Datenkatalog Benutzer Vertrauen in die Informationen haben, die sie sehen, ist es wichtig, dass die Dokumentation der katalogisierten Objekte relevant, von hoher Qualität und vor allem zuverlässig ist. Ihre Benutzer müssen in der Lage sein, die ihnen zur Verfügung stehenden Datenbestände leicht zu finden, zu verstehen und zu nutzen.

Der Ursprung von Kataloginformationen und Automatisierung

Ein Datenkatalog integriert in der Regel zwei Arten von Informationen. Zum einen gibt es rein technische Informationen, die direkt aus der Datenquelle stammen. Diese Informationen werden vollständig automatisiert und kontinuierlich zwischen dem Datenkatalog und jeder Datenquelle synchronisiert, um ihre Richtigkeit und Aktualität zu gewährleisten. Auf der anderen Seite enthält der Katalog die gesamte geschäftliche oder organisatorische Dokumentation, die aus der Arbeit der Data Stewards stammt. Diese Informationen können nicht automatisiert werden; sie werden manuell von den Datenmanagement des Unternehmens aktualisiert.

Ein Berechtigungsmanagementsystem ist eine Voraussetzung für die Verwendung eines Datenkatalog

Um diese zweite Kategorie von Informationen zu verwalten, muss der Katalog Mechanismen zur Zugriffs- und Eingabekontrolle enthalten. Es ist nämlich nicht erwünscht, dass jeder Nutzer des Datenkatalog Ihres Unternehmens Informationen erstellen, bearbeiten, importieren, exportieren oder gar löschen kann, ohne zuvor eine Berechtigung erhalten zu haben. Ein Nutzer Berechtigungsmanagementsystem ist daher Voraussetzung; es übernimmt die Rolle eines Wächters für die Zugriffsrechte der Nutzer.

Die 3 grundlegenden Merkmale des Berechtigungsmanagementsystems eines Datenkatalog

Die Implementierung eines unternehmensweiten Berechtigungsmanagementsystems unterliegt einer Reihe von Erwartungen, die bei seiner Gestaltung berücksichtigt werden müssen. In diesem Artikel konzentrieren wir uns auf drei grundlegende Merkmale eines Berechtigungsmanagementsystems: den Grad der Granularität und Flexibilitätseine Lesbarkeit und Überprüfbarkeit sowie seine einfache Verwaltung.

Granularität und Flexibilität

Zuallererst muss ein System zur Verwaltung von Berechtigungen den richtigen Grad an Granularität und Flexibilität aufweisen. Einige Aktionen sollten für den gesamten Katalog verfügbar sein, um die Nutzung zu erleichtern. Andere Aktionen sollten nur auf bestimmte Teile des Katalogs beschränkt sein. Einige Benutzer werden globale Rechte für alle Objekte im Katalog haben, während andere nur den ihnen zugewiesenen Bereich bearbeiten können. Das Berechtigungsmanagementsystem muss daher diese Bandbreite an Möglichkeiten zulassen, von der globalen Berechtigung bis zur Feinheit eines Objekts im Katalog.

Unsere Kunden sind von unterschiedlicher Größe und haben einen sehr heterogenen Reifegrad in Bezug auf Data Governance. Einige sind Start-ups, andere sind große Unternehmen. Einige haben eine Datenkultur, die bereits gut in ihre Prozesse integriert ist, während andere erst am Anfang ihres Datenakkulturationsprozesses stehen. Das Berechtigungsmanagementsystem muss daher flexibel genug sein, um sich an alle Arten von Organisationen anzupassen.

Lesbarkeit und Prüfbarkeit

Zweitens muss ein Berechtigungsmanagementsystem übersichtlich und leicht nachvollziehbar. Bei einem Audit oder einer Überprüfung der Systemberechtigungen muss ein Administrator, der ein Objekt untersucht, schnell feststellen können, wer die Berechtigung hat, dieses zu ändern. Umgekehrt muss ein Administrator, wenn er sich die Details des Berechtigungssatzes Nutzeransieht, schnell den diesem Nutzer zugewiesenen Umfang Nutzer dessen zulässige Aktionen darin erkennen können.

Dadurch wird lediglich sichergestellt, dass die richtigen Personen Zugang zu den richtigen Bereichen haben und über die für ihre Rolle im Unternehmen erforderlichen Berechtigungen verfügen.

Haben Sie schon einmal ein Berechtigungssystem erlebt, das so komplex war, dass es unmöglich war zu verstehen, warum ein Nutzer Zugriff auf bestimmte Informationen Nutzer ? Oder im Gegenteil, warum er keinen Zugriff hatte?

Vereinfachung der Verwaltung

Schließlich muss ein Berechtigungsmanagementsystem in der Lage sein, dem stetig wachsenden Datenvolumen standzuhalten. Wir wissen heute, dass wir in einer Welt der Daten leben: Im Jahr 2020 wurden täglich 2,5 Exabyte an Daten generiert, und Schätzungen zufolge werden es im Jahr 2025 täglich 463 Exabyte sein. Neue Projekte, neue Produkte, neue Anwendungsfälle: Unternehmen müssen sich täglich mit der explosionsartigen Zunahme ihrer Datenbestände auseinandersetzen.

Um relevant zu bleiben, muss sich ein Datenkatalog mit den Daten des Unternehmens weiterentwickeln. Das System zur Verwaltung von Berechtigungen muss daher auf inhaltliche Änderungen oder sogar auf den Wechsel von Mitarbeitern innerhalb der Organisation reagieren können.

Verschiedene Ansätze zur Gestaltung eines Datenkatalog Permission Management System

Es gibt verschiedene Ansätze, ein Datenkatalog zu gestalten, die mehr oder weniger die oben genannten und erwarteten Hauptmerkmale kennenlernen . Wir haben uns entschieden, drei davon in diesem Artikel näher zu erläutern.

Crowdsourcing

Erstens der Crowdsourcing-Ansatz – bei dem man darauf vertraut, dass sich die Gemeinschaft selbst korrigiert. Eine Handvoll Administratoren kann die Inhalte moderieren, und alle Nutzer können zur Dokumentation beitragen. Ein Überprüfungssystem vervollständigt das System in der Regel, um sicherzustellen, dass keine Informationen versehentlich oder böswillig verloren gehen. In diesem Fall gibt es keine Kontrolle vor der Dokumentation, sondern eine kollektive Korrektur im Nachhinein. Dies ist typischerweise das System, für das sich Online-Enzyklopädien wie Wikipedia entscheiden. Diese Systeme sind auf die Anzahl der Mitwirkenden und deren Wissen angewiesen, um gut zu funktionieren, da Selbstkorrektur nur durch die Gemeinschaft wirksam sein kann.

Dieses System erfüllt perfekt die Anforderungen an die Lesbarkeit - alle Nutzer haben das gleiche Maß an Rechten, so dass es keine Fragen über die Zugriffskontrolle der einzelnen Nutzer gibt. Es ist auch einfach zu verwalten - jeder neue Nutzer hat die gleichen Rechte wie alle anderen, und jedes neue Objekt im Datenkatalog ist für alle zugänglich. Auf der anderen Seite gibt es keine Möglichkeit, die Granularität der Rechte verwalten . Jeder kann alles tun und sehen.

Dem Nutzer beigefügte Erlaubnis

Der zweite Ansatz zur Gestaltung des Berechtigungsmanagementsystems besteht darin, Lösungen zu verwenden, bei denen der Geltungsbereich an das Profil Nutzergekoppelt ist. Wenn ein Nutzer im Datenkatalog angelegt Nutzer , weisen die Administratoren ihm einen Geltungsbereich zu, der die Ressourcen definiert, die er einsehen und bearbeiten darf. In diesem Fall erfolgen alle Kontrollen im Vorfeld, sodass ein Nutzer versehentlich auf eine Ressource zugreifen Nutzer . Diese Art von System wird beispielsweise von einem Betriebssystem wie Windows verwendet.

Dieses System hat den Vorteil, dass es sehr sicher ist; es besteht keine Gefahr, dass eine neue Ressource für Personen sichtbar oder veränderbar ist, die nicht über die entsprechenden Berechtigungen verfügen. Dieser Ansatz erfüllt zudem die Anforderungen an die Übersichtlichkeit: Für jeden Nutzer sind alle zugänglichen Ressourcen leicht zu finden. Auch der erwartete Detaillierungsgrad ist gut, da es möglich ist, das Datensystem Ressource für Ressource zuzuweisen.

Andererseits ist die Verwaltung komplexer – jedes Mal, wenn eine neue Ressource zum Katalog hinzugefügt wird, muss sie den Zugriffsbereichen der betreffenden Benutzer hinzugefügt werden. Diese Einschränkung lässt sich durch die Erstellung dynamischer Zugriffsbereiche umgehen. Dazu können Sie Regeln definieren, die Ressourcen den Benutzern zuweisen, beispielsweise dass alle PDF-Dateien für soundso zugänglich sind. Es können jedoch leicht widersprüchliche Regeln entstehen, was die Übersichtlichkeit des Systems beeinträchtigt.

Mit der Ressource verbundene Berechtigung

Der letzte wichtige Ansatz bei der Gestaltung des Berechtigungsmanagementsystems Datenkatalogbesteht darin, Lösungen zu verwenden, bei denen die zulässigen Aktionen der zu bearbeitenden Ressource zugeordnet sind. Für jede Ressource werden die möglichen Berechtigungen Nutzer Nutzer definiert. Somit verfügt die Ressource über einen eigenen Berechtigungssatz. Anhand der Ressource lässt sich dann sofort erkennen, wer sie anzeigen oder bearbeiten darf. Dies ist beispielsweise die Art von System, die in einem UNIX-ähnlichen Betriebssystem zum Einsatz kommt.

Die Notwendigkeit der Lesbarkeit wird perfekt erfüllt - ein Administrator kann die Berechtigungen der verschiedenen Benutzer sofort sehen, wenn er die Ressource betrachtet. Das Gleiche gilt für den Bedarf an Granularität - dieser Ansatz ermöglicht die Vergabe von Berechtigungen auf der Makroebene durch ein Vererbungssystem oder auf der Mikroebene direkt an der Ressource. Was schließlich die Einfachheit der Verwaltung betrifft, so muss jeder neue Nutzer mit den verschiedenen Ressourcen verknüpft werden, was potenziell mühsam ist. Es gibt jedoch Gruppensysteme, die diese Komplexität abmildern können.

Das Datenkatalog : Einfach, übersichtlich und flexibel

Unter diesen Ansätzen wollen wir nun denjenigen näher betrachten, für den sich die Actian Data Intelligence-Plattform entschieden hat, Actian Data Intelligence-Plattform erläutern, wie er umgesetzt wird.

Der Ressourcen-Ansatz wurde bevorzugt

Fassen wir die verschiedenen Vor- und Nachteile jedes der oben genannten Ansätze zusammen. Sowohl in den Systemen zur Verwaltung von Berechtigungen Nutzer Ressourcen- als auch auf Nutzer wird der Bedarf an Granularität gut abgedeckt - diese Systeme ermöglichen die Zuweisung von Berechtigungen für jede einzelne Ressource. Im Gegensatz dazu ist die Grundphilosophie beim Crowdsourcing, dass jeder auf alles zugreifen kann. Die Lesbarkeit ist in Crowdsourcing-Systemen oder in Systemen, in denen die Berechtigungen an die Ressource gebunden sind, eindeutig besser. In Systemen, bei denen die Berechtigungen an den Nutzer gebunden sind, ist sie nach wie vor angemessen, allerdings oft auf Kosten der Einfachheit der Verwaltung. Schließlich ist die Einfachheit der Verwaltung sehr stark für den Crowdsourcing-Ansatz optimiert und hängt davon ab, was man am meisten ändern will - die Ressource oder die Nutzer.

Da der Bedarf an Granularität beim Crowdsourcing-Ansatz nicht gedeckt ist, haben wir ihn ausgeschlossen. Damit blieben uns zwei Optionen: ressourcenbasierte Erlaubnis oder Nutzer Erlaubnismodelle. Da die Lesbarkeit bei der ressourcenbasierten Erlaubnis etwas besser ist und sich der Inhalt des Katalogs schneller entwickelt als die Anzahl der Nutzer, schien die Nutzer Erlaubnisoption am wenigsten relevant.

Die Option, für die wir uns bei der Actian Data Intelligence-Plattform entschieden haben, Actian Data Intelligence-Plattform daher die dritte: Nutzer sind an die Ressource gebunden.

So funktioniert das Datenkatalog Permission Management System

ImDatenkatalog der Actian Data Intelligence-Plattform kann für jeden Nutzer festgelegt werden, Nutzer er das Recht hat, Objekte des gesamten Katalogs, eine oder mehrere Objektarten oder nur diejenigen innerhalb seines Zuständigkeitsbereichs zu bearbeiten. Dies ermöglicht sowohl eine sehr feine Granularität als auch übergreifendere Rollen. So könnte beispielsweiseDatenverwalterdie Berechtigung haben, auf ganze Teile des Katalogs, wie beispielsweise das Glossar, einzuwirken.

Jedem Objekt im Katalog wird dann eine Liste der Kuratoren zugeordnet, d. h. derjenigen, die für die Dokumentation des Objekts verantwortlich sind. Auf diese Weise kann man, indem man sich die Details des Objekts ansieht, sofort wissen, an wen man sich wenden muss, um die Dokumentation zu korrigieren oder zu vervollständigen oder um eine Frage dazu zu beantworten. Das System ist also übersichtlich und leicht zu verstehen. Der Handlungsspielraum der Benutzer wird durch ein granulares System bis hin zum Objekt im Katalog genau bestimmt.

Wenn ein neuer Nutzer zum Katalog hinzugefügt Nutzer , muss sein Aktionsumfang festgelegt werden. Derzeit erfolgt diese Konfiguration über die Massenbearbeitung von Objekten. Um die Verwaltung noch weiter zu vereinfachen, wird es bald möglich sein, bestimmte Benutzergruppen zu definieren, sodass bei einem neuen Mitarbeiter dieser nicht mehr namentlich zu jedem Objekt in seinem Zuständigkeitsbereich hinzugefügt werden muss. Stattdessen muss er lediglich der Gruppe hinzugefügt werden, und sein Zuständigkeitsbereich wird ihm automatisch zugewiesen.

Schließlich haben wir uns bewusst dafür entschieden, keinen Workflow zur Validierung der Dokumentation im Katalog zu implementieren. Wir sind der Ansicht, dass die Eigenverantwortung des Teams einer der Schlüssel zum Erfolg bei Datenkatalog eines Datenkatalog ist. Aus diesem Grund ist die einzige Kontrolle, die wir eingerichtet haben, diejenige, die die Rechte und den Umfang Nutzerfestlegt. Sobald diese beiden Elemente festgelegt sind, können die für die Dokumentation Verantwortlichen frei handeln. Das System wird durch ein Ereignisprotokoll zu Änderungen ergänzt, das eine lückenlose Nachverfolgbarkeit gewährleistet, sowie durch ein Diskussionssystem zu den Objekten. So kann jeder Änderungen vorschlagen oder Fehler in der Dokumentation melden.

Wenn Sie mehr über unser Berechtigungsmanagement-Modell erfahren möchten, oder mehr Informationen über unseren Datenkatalog erhalten wollen.

Über den Autor

Über Actian Germany GmbH

Actian ermöglicht es Unternehmen, Daten in großem Umfang sicher zu verwalten und zu steuern. Unternehmen vertrauen auf die Datenmanagement- und Datenintelligenz-Lösungen von Actian, um komplexe Datenumgebungen zu optimieren und die Bereitstellung von KI-fähigen Daten zu beschleunigen. Die auf Flexibilität ausgelegten Lösungen von Actian lassen sich nahtlos integrieren und arbeiten zuverlässig in lokalen, Cloud- und Hybridumgebungen. Erfahren Sie mehr über Actian, den Daten- und KI-Geschäftsbereich von HCL Software, unter actian.com.