Tagtäglich melden sich Anwender in Unternehmen an einer Vielzahl von Systemen an, um Netzdienste oder Anwendungen zu nutzen, E-Mails abzurufen oder auf Datenbanken zuzugreifen. Die dazu notwendigen Informationen, die so genannten digitalen Identitäten der Benutzer, sind meist pro Gerät beziehungsweise Service in speziellen Verzeichnissen hinterlegt, die auf eigenen Konzepten von Nutzerkonten, proprietärer Technik und einer spezifischen Verwaltung der betreffenden Daten basieren. Übergreifendes Management und Integration werden durch das Fehlen entsprechender Sicherheits- und Identitätsstandards erschwert.
Untersuchungen der Meta Group zufolge existieren in vielen Unternehmen mehr als 75 Anwendungen, Datenbanken und Systeme, die von Benutzern eine Authentifizierung verlangen. Einzelne Repositories haben zudem den Nachteil, immer nur ein kleines Fragment der tatsächlichen elektronischen Identität eines Mitarbeiters darzustellen. Deepak Taneja, Chief Technology Officer von Netegrity, einem jungen Anbieter von IDM-Produkten, schätzt, dass Anwender je nach Größe des Unternehmens zwischen zehn und 25 verschiedene Accounts besitzen.
Administratoren müssen nicht nur neue Benutzer in jedem System anlegen, sondern auch die dazugehörigen Zugriffsberechtigungen freischalten und auf dem aktuellen Stand halten. Scott Schnell, Senior Vice President für Sales, Marketing und Professional Services beim Sicherheitsspezialisten RSA Security, erläutert: "In den meisten Firmen - ob sie nun organisch oder durch Merger und Akquisitionen gewachsen sind - existieren viele verschiedene Systeme, in denen Mitarbeiter und Kunden registriert sind, die jedoch keine Verbindung miteinander haben." Hinzu komme, dass diese Technikinseln von verschiedenen Personen gepflegt würden. Das erschwere ein effektives Identitäts-Management zusätzlich.
Gefahr für die Sicherheit
Auch die Unternehmenssicherheit leidet darunter: Wird nämlich vergessen, ein nicht mehr benötigtes Benutzerkonto zu löschen, können Hacker es benutzen, um die Kontrolle über bestimmte Rechner zu übernehmen oder Daten zu entwenden. Jeder Administrator sollte ein starkes Interesse daran haben, derartigem Missbrauch einen Riegel vorzuschieben.
Die Burton Group vertritt die Meinung, dass IDM inzwischen zu einer strategischen Unternehmensangelegenheit avanciert ist. Auf ihrer diesjährigen "Catalyst Conference" Anfang Juli in San Franscisco stand das Thema im Mittelpunkt des Interesses. Aus Sicht der Analysten führt für Anwender kein Weg daran vorbei, eine Architektur für das Verwalten von Identitäten und Zugriffsrechten zu entwickeln.
Eine ganze Reihe von Herstellern hat den möglichen Bedarf erkannt und bestehende Lösungen verbessert oder neue Produkte entwickelt, um diese komplizierte Situation zu meistern. Neben etablierten Playern wie IBM, Computer Associates, Novell, RSA Security, Sun oder BMC tummeln sich Newcomer wie Netegrity, Waveset, Opennetwork Technologies, Thor oder Oblix in diesem Bereich. Die Ankündigung des "Microsoft Identity Integration Server 2003" zeigt, dass auch die Gates-Company das Thema für zukunftsträchtig hält.
Verzeichnisse konsolidieren
In der Regel verfolgen die Anbieter den Ansatz, die Daten der Anwender aus vorhandenen Systemen in einem zentralen Verzeichnis wie Novells "Edirectory", dem "Sun One Directory Server" oder IBMs "Directory Server" zu konsolidieren. Das bedeutet in manchen Fällen, dass sämtliche User-Informationen noch einmal gesondert in einen großen Topf - ein Directory oder Meta-Directory - geworfen werden. CA, Netegrity und Novell verfolgen einen anderen Ansatz: Sie erzeugen im zentralen Verzeichnis lediglich einen Verweis darauf, wo die entsprechenden Angaben zu finden sind.
Die Anbindung an gängige Lösungen wie R/3-Systeme, Oracle-Anwendungen oder Mail-Software erfolgt dabei mit Hilfe vorgefertigter Konnektoren für den Datenaustausch. Hersteller wie Courion oder Novell bieten zudem Toolkits an, die helfen sollen, weniger gebräuchliche oder selbst geschriebene Programme zu integrieren. Über eine spezielle Konsole oder die zentralen Directories erhalten die Administratoren anschließend eine konsolidierte Ansicht sämtlicher vorhandener Benutzerkonten sowie der damit verknüpften Berechtigungen.
Ein zentrales Verzeichniss zu installieren reicht für ein IDM jedoch nicht aus. Zusätzlich bedarf es weiterer Komponenten, um schließlich eine automatisierte Benutzerverwaltung zu realisieren. Wie Jörg Hattenhauer, Leiter Kompetenz-Center IT Infrastruktur bei der Materna GmbH in Dortmund, erklärt, gehören dazu vor allem Synchronisationsmittel. In der Regel sind das Softwareagenten, die später dafür sorgen, dass an einer Stelle vorgenommene Änderungen sofort weitergemeldet und in den anderen Verzeichnissen übernommen werden.
Automatische Administration
Darüber hinaus stellt Single-Sign-on (SSo) inzwischen einen festen Bestandteil von IDM-Lösungen dar. "Oftmals ist SSo der Ausgangspunkt für die Einführung eines IDM-Systems", erzählt Wolfgang Rölz, Technical Architect Secure Identity Management bei Novell. Die zentrale Identität erlaubt den Mitarbeitern, nach nur einmaliger Anmeldung und Authentifizierung auf unterschiedliche Anwendungen, Systeme oder Informationen zuzugreifen. Die jeweils notwendige Überprüfung des Passworts und der Berechtigungen erfolgt unsichtbar im Hintergrund.
Wichtig sind zudem Workflow-Komponenten, die es erlauben, die hinter Vorgängen wie der Vergabe, dem Ändern oder Löschen von Accounts (dem "User Provisioning") sowie der Freischaltung von Zugriffsrechten stehenden Prozesse abzubilden. Erst dadurch wird es möglich, das Verwalten der Benutzerkonten weitgehend zu automatisieren. Armin Stephan, Consulting Manager Security bei Computer Associates, erklärt: "Mit Hilfe von IDM können Unternehmen beispielsweise veranlassen, dass für einen neuen Mitarbeiter nach dem Eintrag seiner Daten im HR-System von dort aus automatisch alle weiteren Berechtigungen und Accounts entsprechend seiner Rolle erzeugt werden."
Zusätzlich lässt sich Anwendern die Möglichkeit einräumen, bestimmte Aktionen wie zum Beispiel das Zurücksetzen von Passwörtern selbst auszulösen. Das entlastet den Helpdesk und spart Geld: Schätzungen zufolge rufen Anwender im Durchschnitt viermal pro Jahr wegen eines Passwort-Problems beim Helpdesk an. Geht man von Kosten in Höhe von etwa zehn bis 35 Dollar pro Call aus, kommen je nach Unternehmensgröße schnell stattliche Summen zustande, die sich mit IDM einsparen ließen.
Die Analysten von Gartner haben ebenfalls berechnet, was eine IDM-Lösung finanziell bringt. Sie kommen zu dem Schluss, dass sich in einem Unternehmen mit 10000 Mitarbeitern durch das automatisierte Provisioning innerhalb von drei Jahren Kosten in Höhe von rund 3,5 Millionen Dollar vermeiden lassen. Die Analysten führen das unter anderem auf Reduzierungen im Bereich Sicherheitsverwaltung um 14000 Arbeitsstunden im Jahr und im Bereich Helpdesk um 6000 Stunden pro Jahr zurück.
Einsparungen winken
Angesichts des enormen Kostendrucks, unter dem Unternehmen heute stehen, bewertet CA-Mann Stephan die möglichen Einsparungen neben der Erhöhung der Produktivität der Mitarbeiter als Hauptgrund für die Implementierung eines IDM-Systems.
Die Meta Group weist in ihrer Studie "The Value of Identity Management" auf weitere gute Gründe für eine Konsolidierung durch IDM hin. Allein auf interne Nutzer bezogen, ließe sich aus Sicht der Experten die Konsistenz der Daten um 44 Prozent, die Genauigkeit um 36 Prozent und die allgemeine Sicherheit um 33 Prozent erhöhen.
IDM spielt jedoch auch vor dem Hintergrund der Web-Services-Thematik eine wichtige Rolle. Dann müssen nicht mehr nur Identitäten von Personen verwaltet werden, sondern auch von Systemen und Anwendungen. "IDM spielt eine entscheidende Rolle für den Erfolg von Web-Services", urteilt CA-Manager Stephan. Eine These, der auch Netegrity-CTO Taneja zustimmt: "Mit Web-Services verschlimmert sich das Identitätsproblem." Ohne ein auch die Unternehmensgrenzen überschreitendes IDM, das sicherstelle, dass nur berechtigte Systeme und Applikationen miteinander kommunizieren, seien Web-Services nicht möglich.
Bis das Realität wird, wird wohl noch einige Zeit vergehen. Zwar gibt es bereits Bemühungen, dazu notwendige Techniken zu entwickeln und die Standardisierung für so genannte föderierte Identitäten voranzutreiben. Unternehmen können damit Profile und Zugriffsberechtigungen ihrer Mitarbeiter an Partner weiterreichen, ohne sämtliche Daten preiszugeben. Es entsteht ein Vertrauensgeflecht, in dem Informationen über digitale Identitäten ausgetauscht werden.
Mit der Liberty Alliance einerseits sowie den Partnern IBM/Microsoft andererseits stehen sich allerdings zwei Parteien gegenüber, deren Vorstellungen sich derzeit nur teilweise entsprechen. So setzen Big Blue und Microsoft auf das von ihnen entwickelte WS-Security mitsamt den daraus abgeleiteten Techniken WS-Federation, WS-Policy und WS-Trust als Basis für ein föderiertes System. Verfahren wie die Service Provisioning Markup Language (SPML) oder Security Assertions Markup Language (SAML), die wichtige Bestandteile des Ansatzes der Liberty Alliance sind, unterstützen die Hersteller bisher nicht.
Technische Hürden bleiben
Nach Ansicht von Jamie Lewis, President der Burton Group, müssen beide Ansätze auf lange Sicht zusammenfließen, wenn das Prinzip der föderierten Identitäten und letztlich auch die Idee übergreifender Web-Services sich durchsetzen sollen. CA-Mann Stephan ist jedenfalls der Meinung, dass Unternehmen jetzt schon damit anfangen sollten, zumindest intern die hierfür notwendigen Voraussetzungen zu schaffen und ihre vorhandenen Identitäts-systeme zu konsolidieren.
Unisono bemühen sich die Hersteller, IDM-Projekte als vergleichsweise einfach hinzustellen, und betonen vor allem die Wichtigkeit der organisatorischen Vorarbeiten. "Unternehmen müssen ihre Prozesse kennen und sie klar dokumentieren können", fordert Stephan. Novell-Mitarbeiter Rölz warnt ebenfalls: "Der Erfolg eines Projekts hängt von der Logik ab, vom Aufwand, der im Voraus betrieben wird." Auch mangelnde Qualität oder die Vollständigkeit der vorhandenen Daten könnten Probleme bereiten. Unternehmen sollten sich daher möglichst im Vorfeld Gedanken darüber machen, wie sich die Informationen verbessern lassen.
Der technische Aufwand für eine erfolgreiche Implementierung darf jedoch keineswegs unterschätzt werden. Materna-Vertreter Hattenhauer sieht die Anbindung der Clients an das IDM als "wichtiges Thema", außerdem sei die immer notwendige Integrationsleistung ein "haariger Punkt". Je besser die Schnittstellen der vorhandenen Systeme und Anwendungen implementiert und dokumentiert seien, desto einfacher gestalte sich die Integration.
Aus Sicht von CA-Manager Stephan liegen die größten Schwierigkeiten bei IDM-Projekten in der hohen Zahl der unterschiedlichen Techniken, die es dabei zu berücksichtigen gilt: "Es gibt die unterschiedlichsten internen Systeme wie Betriebssysteme, Datenbanken oder Applikationen, die eingebunden werden müssen. Hinzu kommen externe Systeme. Wenn ich statt bisher 10000 Benutzer plötzlich Millionen von Personen verwalten muss, spielt natürlich auch das Thema Skalierbarkeit eine wichtige Rolle."
Dennoch sieht Hattenhauer für IDM-Vorhaben prinzipiell "gute Erfolgsaussichten". Um schnell Resultate zu erzielen und Einsparungen zu erreichen, empfiehlt der Experte ein schrittweises Vorgehen, bei dem Anwendungen und Systeme sukzessive konsolidiert werden. Novell-Experte Rölz empfiehlt zudem, nur die Systeme zusammenzuführen, bei denen es tatsächlich einen Sinn gibt. (ave)
Vorteile von IDM
- Einsparungen,
- höhere Sicherheit,
- geringere Zahl zu verwaltender Accounts,
- zentralisiertes Erstellen und Löschen von Accounts,
- erhöhte Kontrolle über Netzbenutzer und deren Aktivitäten sowie
- Möglichkeit der Anknüpfung an ähnliche Strukturen in Partnernetzen.