IdM: In kleinen Schritten zum Erfolg
Aus den fachlichen Business Cases werden technische Use Cases abgeleitet, die wiederum in die Anforderungsanalyse eingehen. Der Nutzen, den ein solcher Anwendungsfall bringt, lässt sich in sechs Kategorien bewerten, die den allgemein genannten geschäftlichen Treibern für IdM entsprechen. Diese Kategorien wirken sich auf verschiedene Parteien aus: Die Einführung von SSO wird den Anwender unmittelbar erfreuen, Compliance-Maßnahmen sind gesetzlich erforderlich, während sich die Notwendigkeit von Security-Maßnahmen oft erst dann zeigt, wenn etwas schiefgegangen ist.
Was IdM-Projekte bringen
Benutzerfreundlichkeit: SSO steigert die Akzeptanz für die angeschlossenen Systeme und somit die Produktivität.
Kostenreduzierung: Durch SSO können die Helpdesk-Kosten für neue Passwort-Vergaben gesenkt werden. Durch den Einsatz von Provisioning ist ein neuer Mitarbeiter innerhalb kürzester Zeit voll arbeitsfähig.
Sicherheit: Provisioning stellt sicher, dass Ex-Mitarbeiter keinen Zugriff mehr auf Anwendungen und Ressourcen des Unternehmens haben (ROSI: Return on Security Investment).
Synergie: Applikationen müssen nicht immer wieder ihr eigenes User- und Access-Management implementieren.
Flexible Geschäftsprozesse: SOA ist bereits in aller Munde, aber Web-Service-Sicherheit setzt IdM voraus.
Compliance: Der Druck durch gesetzliche Regulierungen auf die IT steigt.
Die Kriterien sollten nach den eigenen Zielen gewichtet werden. Dann gilt es, die Use Cases nach den Kriterien zu bewerten und mit den Maßnahmen zu beginnen, die unmittelbaren Nutzen für den Business Case bringen. Dabei muss nicht im ersten Projekt gleich die letzte angestaubte Host-Anwendung in das Provisioning-System eingebunden werden. Die Projekte sollten mit Meilensteinen definiert und IdM als fortlaufendes Programm betrachtet werden.
Ziele müssen im Rahmen bleiben
IdM ist ein Thema mit großer Tragweite. Daher findet sich bei vielen Firmen in der IdM-Landschaft weites Brachland also jede Menge Felder, die es zu beackern gilt. Daher sollte man das eigene Terrain genau abstecken. Beim Aufbau eines Zuliefererportals können nicht im gleichen Zug alle Probleme aus dem Mitarbeiterumfeld gelöst werden.
Der Kontext des jeweiligen Projekts wird neben den Use Cases durch die nichtfunktionalen Anforderungen und die IT-Governance, sprich: die Ausrichtung der IT an den Geschäftszielen, bestimmt. Dies gilt es im Auge zu behalten. Der "Scope Creep", die schleichende Ausweitung des Projektkontextes ohne Kontrolle der Veränderungen, ist eines der größten Risiken von IdM-Projekten.