Sustainable Compliance in Identity and Access Management

Item type:	Thesis of the University of Regensburg (PhD)
Open Access Type:	Primary Publication
Date:	16 October 2025
Referee:	Prof. Dr. Günther Pernul
Date of exam:	22 May 2025
Institutions:	Business, Economics and Information Systems > Institut für Wirtschaftsinformatik > Lehrstuhl für Wirtschaftsinformatik I - Informationssysteme (Prof. Dr. Günther Pernul) Informatics and Data Science > Department Information Systems > Lehrstuhl für Wirtschaftsinformatik I - Informationssysteme (Prof. Dr. Günther Pernul)
Keywords:	Identity Management, Identity and Access Management, IAM, Access Reviews, Separation of Duties, Attribute Quality
Dewey Decimal Classification:	000 Computer science, information & general works > 004 Computer science 300 Social sciences > 330 Economics
Status:	Published
Refereed:	Yes, this version has been refereed
Created at the University of Regensburg:	Yes
Item ID:	77363

Abstract (English)

Compliance regulations regarding information system security are playing an increasingly important role for organizations. Identity and Access Management (IAM), i.e. the structured management of employees and their access rights, is a powerful means for meeting compliance requirements. However, IAM-related entities and data are subject to constant change. For instance, new employees frequently ...

Abstract (English)

Compliance regulations regarding information system security are playing an increasingly important role for organizations. Identity and Access Management (IAM), i.e. the structured management of employees and their access rights, is a powerful means for meeting compliance requirements.
However, IAM-related entities and data are subject to constant change. For instance, new employees frequently join or leave organizations and applications are introduced or discontinued. Similarly, the regulatory requirements are continuously altered.
Thus, compliance measures in IAM must be implemented in a sustainable and maintainable manner.

First steps in this direction are taken by proposing approaches to ensure the data quality of IAM attributes and access control policies. High quality IAM data is a key requirement for meeting compliance guidelines and for implementing compliance measures.

Subsequently, two central compliance measures are studied: Access Reviews (AR) and Separation of Duty (SoD).

In ARs Reviewers have to manually decide which access rights should be assigned to which users.
An approach is proposed that assesses the quality of these decisions and thus helps to find structural issues in the execution of AR campaigns.

For SoD, i.e. a compliance and security measure that ensures no individual has enough access rights to perform a critical process alone, a structured standalone literature review is conducted.
Furthermore, a management approach for SoD rules is proposed, which especially focuses on human understandability and maintainability.

Translation of the abstract (German)

Compliance-Vorgaben spielen bei der Sicherheit von Informationssystemen eine zunehmend wichtige Rolle. Die Identitäts- und Zugriffsverwaltung (IAM), also das strukturierte Verwalten von Mitarbeitern und ihren Berechtigungen, ist ein wichtiges Mittel, um Compliance-Vorgaben einzuhalten. Jedoch unterliegen die IAM-relevanten Entitäten und Informationen in Unternehmen einem ständigen Wandel. ...

Translation of the abstract (German)

Compliance-Vorgaben spielen bei der Sicherheit von Informationssystemen eine zunehmend wichtige Rolle. Die Identitäts- und Zugriffsverwaltung (IAM), also das strukturierte Verwalten von Mitarbeitern und ihren Berechtigungen, ist ein wichtiges Mittel, um Compliance-Vorgaben einzuhalten.
Jedoch unterliegen die IAM-relevanten Entitäten und Informationen in Unternehmen einem ständigen Wandel. Beispielsweise kommen und verlassen durchgehend Mitarbeiter die Unternehmen, und neue Anwendungen werden eingeführt oder ihr Betrieb nicht fortgesetzt.
Gleichzeitig werden auch die regulatorischen Maßnahmen durchgehend weiterentwickelt. Daher müssen Compliance-Maßnahmen im IAM auf eine nachhaltige und gut wartbare Weise implementiert werden.

Erste Schritte in diese Richtung werden in dieser Arbeit unternommen, indem Ansätze zur Sicherung der Datenqualität von IAM-bezogenen Attributen und Policies vorgestellt werden.
Hohe IAM-Datenqualität ist eine Schlüsselanforderung, um Compliance-Anforderungen einzuhalten und um Compliance-Maßnahmen zu implementieren.

Anschließend werden in dieser Arbeit zwei zentrale Compliance-Maßnahmen im IAM untersucht: Access Reviews und Funktionstrennung.

In Access Reviews müssen Auditoren manuell entscheiden, ob ein Benutzer eine Berechtigung haben darf oder nicht. In der Arbeit wird ein Ansatz vorgestellt, um die Qualität dieser Entscheidungen zu bewerten. Auf diese Weise können z. B. strukturelle Probleme bei der Durchführung von Access-Review-Kampagnen aufgedeckt werden.

Bei der Funktionstrennung handelt es sich um eine Compliance- und Sicherheitsmaßnahme, die sicherstellt, dass kein Benutzer alle Berechtigungen hat, um einen kritischen Prozess alleine durchzuführen. Zu diesem Thema wird in dieser Arbeit eine strukturierte Literaturstudie durchgeführt. Des Weiteren wird ein Ansatz zum Verwalten von Funktionstrennungsregeln vorgeschlagen, der sich besonders auf die menschliche Verständlichkeit und Wartbarkeit von SoD-Regeln konzentriert.

Details

Preview

Export bibliographical data

Abstract (English)

Abstract (English)

Translation of the abstract (German)

Translation of the abstract (German)

Download Statistics

Downloads

More literature (via CORE)

University Library