Vorsicht bei der Implementierung

Allerdings werden in der Praxis eher selten auf einen Schlag umfassende Lösungen realisiert, die sämtliche IDM-Disziplinen abdecken. Meist beginnen Anwender mit der Implementierung einzelner Aspekte. Das hängt mit der bereits erwähnten Komplexität von IDM zusammen, weswegen die Einführung eines umfassenden Systems sehr langwierig und kostspielig sein kann. Besonders wenn proprietäre Anwendungen mit jeweils eigenen Datenbanken und Zugriffsbeschränkungen vorhanden sind, droht die Einführung "schwierig und teuer" zu werden, warnt Toby Weir-Jones, Director für Product-Manager bei dem Sicherheitsunternehmen Counterpane Internet Security. Aus diesem Grund empfiehlt es sich, schrittweise vorzugehen und IDM-Funktionen nach und nach einzuführen.

So geschehen etwa bei Capital XL: Nach einer Phase der Expansion war das Unternehmen an einem Punkt angelangt, an dem an 100 Standorten in über 30 Ländern 3500 Mitarbeiter von 17 IT-Organisationen betreut wurden. Es gab keinen einheitlichen Standard für die Vergabe von Benutzernamen, über 40 E-Mail-Domänen, sechs Notes-Domänen, viele Exchange-Organisationen und 250 Domino-Applikationen. Dazu kamen Dutzende selbst entwickelter Anwendungen, die eine Authentifizierung verlangten.

Um das Chaos wieder in den Griff zu bekommen, entschied sich das Unternehmen zunächst dazu, einheitliche und eindeutige Kennungen für alle Benutzer zu entwickeln und ein gemeinsames Directory zu schaffen. Als nächstes folgte ein Meta-Directory, das mit Hilfe von Management-Agenten an die unterschiedlichen Anwendungen angebunden wurde. Damit einhergehend führte das Unternehmen einfache Workflows ein, um Accounts freizuschalten beziehungsweise zu löschen.

Erst danach gingen die Experten daran, mit Hilfe von RSAs "Cleartrust" Simplified-Sign-on (SSO) für Web- und Windows-Applikationen einzuführen. Dazu identifizierten sie diejenigen Anwendungen, die bereits Microsofts Integrated Windows Authentication (IWA) unterstützte. Außerdem wurde eine Web-SSO-Lösung implementiert, um die Notwendigkeit des Logins beim Zugriff auf interne Web-Anwendungen zu beseitigen. "Wir konnten auf diese Weise 134 Anwendungen quasi im Handumdrehen SSO-fähig machen", freut sich Manager Danback. Jetzt ist das Unternehmen dabei, eine Federation-Strategie zu entwickeln, um über die eigenen IT-Grenzen hinweg Partner und Kunden in den Verbund integrieren zu können.

Trendthema Federation

Damit widmet sich XL Capital einem der derzeit wichtigsten Trends im Bereich IDM. Vereinfacht gesprochen geht es dabei um die Möglichkeit, unterschiedliche IDM-Systeme miteinander zu integrieren, so dass Anwender nach einer einmaligen Anmeldung an einem der beteiligten Systeme anschließend auch gegenüber anderen identifiziert sind und entsprechend der für sie geltenden Berechtigungen automatisch Zugriff auf IT-Ressourcen erhalten. Diese Funktion ist besonders für Unternehmen interessant, die Partner, Zulieferer oder Kunden an ihre IT anbinden wollen. Dazu bilden sie mit diesen so genannten Circles of Trust.

Die praktische Umsetzung kann mit Hilfe verschiedener Techniken erfolgen: Zur Wahl stehen etwa die von der Liberty Alliance entwickelte Security Assertion Markup Language (SAML) oder die von Microsoft und IBM vorangetriebenen "WS-*"-Protokolle (darunter fallen unter anderem WS-Federation und WS-Trust). Lange Zeit herrschte Unklarheit, welche Technik sich letztlich durchsetzt beziehungsweise ob ein reibungsloses Zusammenspiel verschiedener Verfahren möglich ist. Diese Sorgen rücken jetzt in den Hintergrund: So belegte im Sommer dieses Jahres eine auf Initiative von Burton veranstaltete "Interoperability Demo", an der 14 Anbieter teilnahmen, dass Federation auch über Herstellergrenzen und verschiedene Standards hinweg funktioniert.

Drei unterschiedliche Szenarien sind denkbar, die entweder einen Multiprotokoll-Hub, einen Protokollübersetzer oder eine auf der WS-Trust-Spezifikation von IBM und Microsoft basierende Integrationstechnik namens Security Token Server (STS) erfordern. Der Hub sitzt auf einer Seite der Kommunikation und versteht alle Protokolle. Im Gegensatz dazu befindet sich der Protokollübersetzer zwischen zwei Partnern und wandelt die Protokolle jeweils für den anderen um. Der STS schließlich ist ein abgespecktes Gateway, das sich innerhalb der Netze der beiden Partner befindet und für den Protokollaustausch und die Umsetzung in verschiedene Formate zuständig ist.

Dan Blum, einer der Organisatoren der Interoperability Demo, sieht das positive Ergebnis als Zeichen dafür, dass Anwender jetzt anfangen könnten, Techniken wie WS-* oder Security Assertion Markup Language (SAML) einzuführen. Sein Kollege Gerry Gebel empfiehlt Unternehmen, die an die Implementierung eines IDM-Systems denken, sich frühzeitig mit Federation auseinander zu setzen, da ein späteres Nachrüsten teuer sei.

Investitionsschub für die IT-Branche?

Microsoft will das Thema mit dem bevorstehenden Release 2 von "Windows Server 2003" aufgreifen. Nach Angaben von Kim Cameron, Identity Architect bei dem Hersteller, wird die Server-Software eine Funktion namens Active Direction Federation Services (ADFS) enthalten. Damit soll es möglich sein, Federation zu nutzen, ohne sämtliche im Unternehmen laufenden Server umzurüsten. Das Metasystem arbeite auch mit Liberty zusammen, so Cameron.

Obwohl die Burton Group Federation als "sehr vielversprechend" einstuft, gibt es weltweit bislang erst wenige hundert derartige Verbünde. Der Bedarf an Integration zwischen Unternehmen nimmt laut Burton jedoch weiter zu und treibt damit auch das Thema der Föderation voran. Ob es sich jedoch tatsächlich "zu einem Investitionsschub für die gesamte IT-Branche" entwickelt, wie Kuppinger Cole + Partner glauben, bleibt abzuwarten.