Inhaltsverzeichnis
1. Integrations-Philosophie
1.1 Identity-Driven IT Operations
Das Self-Help Service Portal behandelt Identität als zentralen Steuerungsmechanismus für alle IT-Prozesse. Jeder Vorgang – ob Ticket, Security-Event oder Governance-Anfrage – ist an eine Identität gebunden und wird durch IAM/PAM-Policies gesteuert.
Identity-Driven IT Operations
┌──────────────────┐
│ IDENTITÄT │
│ (User/Service) │
└────────┬─────────┘
│
┌──────────────┼──────────────┐
│ │ │
▼ ▼ ▼
┌──────────────┐ ┌──────────┐ ┌──────────────┐
│ Ticketsystem │ │ IAM/PAM │ │ Governance │
│ │ │ Add-on │ │ & Compliance │
│ • Anfragen │ │ │ │ │
│ • Incidents │ │ • Access │ │ • Policies │
│ • Changes │ │ • Priv. │ │ • Audit │
│ • Problems │ │ • Review │ │ • Risk │
└──────┬───────┘ └─────┬────┘ └──────┬───────┘
│ │ │
└───────────────┼──────────────┘
▼
┌──────────────────────────┐
│ UNIFIED AUDIT TRAIL │
│ (Compliance-ready) │
└──────────────────────────┘
1.2 Vorteile der Integration
| Aspekt | Ohne Integration | Mit Integration |
|---|---|---|
| Berechtigungsanfrage | Manuelles Ticket → IT bearbeitet → manuell in AD | Self-Service → Auto-Approve → Auto-Provisionierung |
| Offboarding | HR meldet → Ticket → IT deaktiviert nach Stunden | HR-Event → Sofort-Deaktivierung → Auto-Ticket als Nachweis |
| PAM-Zugriff | Separates Tool → kein Ticket-Bezug | PAM-Request referenziert Ticket → lückenloser Audit-Trail |
| Security Incident | SIEM meldet → manuelles Ticket → manuell sperren | SIEM → Auto-Ticket P1 → Auto-Sperrung → Notification |
| Access Review | Excel-Listen → manuelle Prüfung | Auto-Review → Manager-Portal → Auto-Revoke → Auto-Ticket |
| Compliance | Verschiedene Logs zusammensuchen | Unified Audit Trail über alle Systeme |
2. Hybrid-Architektur: Azure + On-Premises
Hybrid-Architektur Übersicht
┌─── ON-PREMISES RECHENZENTRUM (HAFS) ───────────────────┐
│ │
│ ┌─── RKE2 KUBERNETES CLUSTER ──────────────────────┐ │
│ │ │ │
│ │ Self-Help │ IAM/PAM │ SIEM │ │
│ │ Portal + │ Add-on │ Add-on │ │
│ │ Ticketsystem│ │ │ │
│ │ │ REST API │ REST API │ REST API │ │
│ │ └──────┬───┘──────────┘ │ │
│ │ │ │ │
│ │ SHARED INFRASTRUCTURE │ │
│ │ PostgreSQL │ Redis │ ES │ RabbitMQ │ Vault │ │
│ └──────────────────────────────────────────────────┘ │
│ │
│ Active Directory DC1+DC2 │ DNS/DHCP │ Firewall │
└──────────────────────────────────────────────────────────┘
│
│ Azure AD Connect + Graph API (HTTPS, Outbound)
▼
┌─── AZURE / MICROSOFT 365 ─────────────────────────────┐
│ Entra ID (Azure AD): Hybrid ID, Cond. Access, MFA │
│ M365: Exchange, Teams, SharePoint, Intune │
│ Defender for Endpoint: EDR, Threat Intel │
│ Anthropic Claude API: AI/LLM │
└──────────────────────────────────────────────────────────┘
2.1 Datenfluss-Prinzip
| Daten-Typ | Primärer Speicherort | Azure-Anteil |
|---|---|---|
| Identitäten | On-Prem AD (Source of Truth) | Entra ID (Hybrid Sync) |
| Tickets | PostgreSQL (On-Prem) | Keine Cloud-Kopie |
| PAM Credentials | HashiCorp Vault (On-Prem) | Keine Cloud-Kopie |
| Audit-Logs | Elasticsearch (On-Prem) | Keine Cloud-Kopie |
| M365-Lizenzen | Entra ID / Graph API | Azure (nativ) |
| MFA-Status | Entra ID / Authenticator | Azure (nativ) |
| Session Recordings | MinIO (On-Prem) | Keine Cloud-Kopie |
3. IAM-Events → Automatische Tickets
| IAM-Event | Auto-Ticket | Priorität |
|---|---|---|
| Neuer Mitarbeiter (HR-Webhook) | Onboarding-Ticket mit Sub-Tasks | P3 |
| Mitarbeiter-Austritt | Offboarding-Ticket (sofortige Deaktivierung) | P2 |
| Abteilungswechsel | Mover-Ticket (Berechtigungsanpassung) | P3 |
| Access Review fällig | Review-Ticket an Manager | P3 |
| Access Review: Revoke | Revoke-Ticket (Auto-Entzug) | P2 |
| PAM-Session auffällig | Security-Ticket (Verdacht) | P2 |
| Break Glass aktiviert | Emergency-Access-Ticket (P1) | P1 |
| Orphaned Account erkannt | Cleanup-Ticket | P4 |
| MFA-Compliance-Verstoß | Compliance-Ticket | P3 |
portal.hafs.de/tickets/IAM-2026-00089
Ticket-Details
| Antragsteller | Thomas Richter |
| Abteilung | Fund Management |
| Kategorie | IAM › Access Request |
| Priorität | P3 – Normal |
| Status | Pending Approval |
| Ressource | Bloomberg Terminal – Vollzugriff |
| Erstellt | 10.02.2026, 09:14 Uhr |
| SLA-Frist | 12.02.2026, 09:14 Uhr |
Begründung
Benötige Bloomberg-Zugang für Echtzeit-Marktdatenanalyse und Portfolio-Überwachung im Rahmen des neuen HAFS Infrastructure Fund III.
Genehmigungsworkflow
✓
Eingereicht
Thomas Richter · 10.02.2026, 09:14
✓
Manager-Genehmigung
Dr. Markus Stein · 10.02.2026, 10:42
3
Resource Owner
Warte auf Genehmigung · Bloomberg-Verantwortlicher
4
Security Review
SoD-Prüfung & Risikobewertung
5
Provisioning
Automatische Bereitstellung via IAM
KI-Risikoanalyse
Mittel
Risikostufe
78%
Konfidenz
SoD-Prüfung (Separation of Duties)
Bestanden
Keine Konflikte erkannt
Bloomberg Terminal Access steht nicht im Konflikt mit bestehenden Rollen des Antragstellers (Fund Management, Read-Only Reporting).
Ähnliche Anfragen (letzte 90 Tage)
IAM-2026-00071
S. Müller · Fund Mgmt
Genehmigt
IAM-2026-00054
K. Weber · Portfolio Mgmt
Genehmigt
IAM-2025-01892
J. Hoffmann · Risk
Abgelehnt
Empfehlung
Genehmigung empfohlen. Antragsteller gehört zur Abteilung Fund Management – Bloomberg-Zugang ist rollenkonform. 2 von 3 vergleichbaren Anfragen wurden genehmigt.
Aktionen
Access-Request-Ticket mit KI-gestützter Risikoanalyse und mehrstufigem Genehmigungsworkflow
4. Tickets → IAM/PAM-Aktionen
| Ticket-Workflow | IAM/PAM-Aktion | Automatisierung |
|---|---|---|
| Berechtigungs-Request | AD-Gruppe hinzufügen + M365-Lizenz | Auto nach Approval |
| Passwort-Reset | AD Password Reset + MFA Re-Enrollment | Self-Service |
| Account-Sperre (Security) | AD disable + Entra ID block + Vault revoke | Auto bei SIEM P1 |
| PAM-Zugang anfordern | JIT-Access via Vault | Auto nach Approval |
| Onboarding | AD-Account + M365 + Gruppen + MFA Setup | Auto-Workflow |
| Offboarding | AD disable + M365 revoke + Vault revoke | Sofort bei HR-Event |
5. Joiner/Mover/Leaver Workflows
Joiner-Workflow (Onboarding)
HR-System (SAP HCM) → Webhook
│
▼
IAM/PAM Add-on: Neuer Mitarbeiter erkannt
│
├──→ Auto-Ticket: "Onboarding [Name]" (P3)
│ mit Sub-Tickets:
│
├──→ AD-Account erstellen (Auto)
├──→ M365-Lizenz zuweisen (Auto, Graph API)
├──→ Basis-Gruppen zuweisen (Auto, Role-basiert)
├──→ Hardware bestellen (→ IT-Operations)
├──→ Fachbereichs-Berechtigungen (→ Manager-Approval)
├──→ MFA einrichten (→ Self-Service Anleitung)
├──→ IT-Policy Acknowledgement (→ Auto-Mail)
└──→ IT-Einführung planen (→ IT-Support)
Alle Schritte mit Ticket-Referenz → Audit-Trail
Leaver-Workflow (Offboarding)
HR-System → Webhook: Austritt am [Datum]
│
▼
IAM/PAM Add-on: Offboarding-Prozess
│
├──→ Auto-Ticket: "Offboarding [Name]" (P2)
│
├──→ Am Austrittstag (00:01 Uhr):
│ • AD-Account deaktivieren (Auto)
│ • Entra ID Sign-In blockieren (Auto, Graph API)
│ • M365-Lizenz entziehen (Auto)
│ • PAM-Sessions terminieren (Auto, Vault)
│ • Alle Gruppen-Mitgliedschaften entfernen
│
├──→ Nach 30 Tagen:
│ • Mailbox in Shared Mailbox konvertieren
│ • OneDrive-Daten an Manager übertragen
│
└──→ Nach 90 Tagen:
• Account löschen (nach Review)
Jeder Schritt → Ticket-Kommentar + SIEM-Event
portal.hafs.de/tickets/JML-2026-00023
Fortschritt
4 von 7 Aufgaben abgeschlossen
57%
Mitarbeiterin: Anna Becker
Abteilung: Fund Administration
Startdatum: 17.02.2026
Manager: Dr. Sabine Hofer
HR-Referenz: SAP-HCM-2026-0412
Ausstehend
2
Bloomberg Terminal
Sicherheitsschulung
In Bearbeitung
2
SimCorp Zugang
VPN-Zugang
Erledigt
3
AD-Account erstellen
M365-Lizenz zuweisen
Hardware-Ausgabe
Automatisierte IAM-Aktionen
10.02. 09:15
HR-Webhook empfangen
SAP HCM: Neuer Mitarbeiter Anna Becker, Startdatum 17.02.2026
10.02. 09:15
JML-Ticket automatisch erstellt
Onboarding-Workflow mit 7 Sub-Tasks generiert
10.02. 09:16
AD-Account erstellt
a.becker@hafs.de · OU=FundAdmin · Basis-Gruppen zugewiesen
10.02. 09:17
M365-Lizenz zugewiesen
E5-Lizenz via Graph API · Exchange, Teams, SharePoint aktiv
10.02. 10:30
Manager-Approval angefordert
SimCorp + Bloomberg: Genehmigung von Dr. Sabine Hofer ausstehend
Joiner-Workflow mit Kanban-Übersicht der Onboarding-Aufgaben und automatisierten IAM-Aktionen
6. PAM-Ticket-Integration
PAM-Request → Ticket: Jeder PAM-Zugriff erzeugt ein referenziertes Ticket oder verknüpft mit einem bestehenden.
Session Recording: Aufzeichnungen werden im Ticket referenziert (MinIO-Link).
JIT Access: Zeitlich begrenzte Berechtigungen werden automatisch nach Ablauf entzogen. Ticket dokumentiert den Lifecycle.
Break Glass: Emergency Access erzeugt P1-Ticket + CISO-Notification + SIEM-Alert. Alle Aktionen werden aufgezeichnet.
Session Recording: Aufzeichnungen werden im Ticket referenziert (MinIO-Link).
JIT Access: Zeitlich begrenzte Berechtigungen werden automatisch nach Ablauf entzogen. Ticket dokumentiert den Lifecycle.
Break Glass: Emergency Access erzeugt P1-Ticket + CISO-Notification + SIEM-Alert. Alle Aktionen werden aufgezeichnet.
7. Access Reviews
Quartalsweise Access Review
CronJob: Quartalsweise Access Review triggered
│
▼
IAM/PAM Add-on: Generiert Review-Pakete
│
├──→ Pro Manager: Review-Ticket mit Berechtigungsliste
│ • Direkte Reports mit allen Gruppen/Rollen
│ • AI-Empfehlung: "Behalten" / "Entziehen" / "Prüfen"
│ • Begründung: Nutzungsstatistik, Rollenkonformität
│
├──→ Manager entscheidet im Portal (Approve/Revoke)
│
├──→ Revoke-Entscheidung:
│ • Auto-Revoke: AD-Gruppe entfernen
│ • Auto-Ticket: "Berechtigung entzogen"
│ • User-Notification
│
└──→ Compliance-Report:
• Teilnahmequote
• Revoke-Rate
• Offene Reviews (Eskalation)
portal.hafs.de/tickets/IAM-2026-00089/timeline
Ticket: IAM-2026-00089
Antragsteller: Thomas Richter
Ressource: Bloomberg Terminal Access
Status: Abgeschlossen
Dauer: 2 Tage, 4 Stunden
Quellen-Legende
Ticket Ticketsystem-Aktionen
IAM Identity & Access Management
PAM Privileged Access Management
10.02. 09:14
Ticket Ticket erstellt
Berechtigungsanfrage von Thomas Richter: Bloomberg Terminal Access für Fund Management. Priorität P3.
10.02. 09:15
IAM SoD-Prüfung durchgeführt
Automatische Separation-of-Duties-Prüfung: Keine Konflikte erkannt. Ergebnis: Bestanden.
10.02. 09:16
IAM KI-Risikoanalyse abgeschlossen
Risikostufe: Mittel · Konfidenz: 78% · Empfehlung: Genehmigung · 2/3 vergleichbare Anfragen genehmigt.
10.02. 10:42
Ticket Manager-Genehmigung erteilt
Dr. Markus Stein (Head of Fund Management) hat die Anfrage genehmigt. Kommentar: „Zugang für Infrastructure Fund III erforderlich.“
10.02. 14:18
Ticket Resource-Owner-Genehmigung erteilt
Bloomberg-Verantwortlicher J. Krause hat den Zugang freigegeben. Lizenzpool: 3/15 verfügbar.
10.02. 14:20
Ticket Security Review bestanden
Automatischer Security-Check abgeschlossen. Keine offenen Findings für den Antragsteller.
10.02. 14:22
IAM AD-Gruppe zugewiesen
t.richter wurde der Gruppe
APP-Bloomberg-FullAccess hinzugefügt. Auto-Provisioning via IAM-Connector.10.02. 14:23
IAM SharePoint-Berechtigung gesetzt
Zugriff auf SharePoint-Site
FundMgmt-Bloomberg-Docs erteilt. Berechtigungsstufe: Mitwirken.11.02. 08:30
PAM PAM-Vault: Checkout genehmigt
Bloomberg-Admin-Credentials für initiale Konfiguration ausgecheckt. Session-ID: PAM-SES-2026-0891. TTL: 2h.
11.02. 09:45
PAM PAM-Session beendet
Admin-Session ordnungsgemäß beendet. Credentials rotiert. Recording gespeichert:
MinIO://pam-recordings/2026/02/PAM-SES-2026-0891.mp411.02. 10:00
IAM Provisioning abgeschlossen
Bloomberg Terminal Access für t.richter vollständig eingerichtet. Alle Berechtigungen verifiziert.
11.02. 10:01
IAM Benachrichtigung gesendet
E-Mail an t.richter@hafs.de: Bloomberg-Zugang ist aktiv. Anleitung und Ansprechpartner beigefügt.
11.02. 10:02
Ticket Ticket geschlossen
Alle Genehmigungen erteilt, Provisioning abgeschlossen. Ticket automatisch geschlossen. Gesamtdauer: 1 Tag, 0h 48min.
Integrierte Timeline mit Ticket-, IAM- und PAM-Events in chronologischer Reihenfolge
8. Compliance & Audit-Trail
Unified Audit Trail: Jeder IAM/PAM-Vorgang wird mit Ticket-Referenz gespeichert.
Correlation IDs:
Speicherung: PostgreSQL (Append-Only) + Elasticsearch + MinIO (5-10 Jahre)
Compliance: BaFin/BAIT (Zugangssteuerung), DSGVO (Berechtigtes Interesse), ISO 27001 (A.9), DORA (ICT Risk)
Correlation IDs:
ticket_id ↔ iam_action_id ↔ siem_event_idSpeicherung: PostgreSQL (Append-Only) + Elasticsearch + MinIO (5-10 Jahre)
Compliance: BaFin/BAIT (Zugangssteuerung), DSGVO (Berechtigtes Interesse), ISO 27001 (A.9), DORA (ICT Risk)
| Compliance-Anforderung | Umsetzung |
|---|---|
| BAIT: Zugangssteuerung | Alle Berechtigungsänderungen über Tickets mit Approval-Workflow |
| ISO 27001 A.9 | RBAC, Least Privilege, regelmäßige Access Reviews |
| DSGVO Art. 32 | Zugriffskontrolle, Pseudonymisierung, Audit-Logging |
| DORA Art. 9 | ICT Risk Management, Identity Governance |
| Segregation of Duties | SoD-Prüfung bei jeder Berechtigungsanfrage |
| Nachvollziehbarkeit | Lückenloser Trail: Wer hat was, wann, warum genehmigt/entzogen |