Systeme für das Identity-Management (IdM) sind nicht mehr nur deshalb interessant, weil sie es erlauben, Benutzeridentitäten in heterogenen IT-Landschaften zu verwalten. Auch gesetzliche Anforderungen und Vorschriften ("Compliance") zwingen Firmen dazu, Benutzerrollen und -befugnisse genau festzulegen und Aktivitäten zu protokollieren.

Anbieter von Identity-Management-Software betonen deshalb gern die Bedeutung ihrer Produkte im Rahmen von Compliance. Die Werkzeuge sollen beispielsweise helfen, eine Aufgabentrennung zwischen Personen sicherzustellen ("Separation of Duties"). Es geht darum, Kombinationen von Benutzerrollen zu verhindern, die für das Unternehmen beziehungsweise die Einhaltung von Richtlinien ein Risiko darstellen. Ein simples Beispiel eines Rollenkonflikts: Eine Person, die Bestellungen beantragt, kann sie auch genehmigen.

Zu den Herstellern von Identity-Management-Lösungen zählen unter anderem IBM, Oracle, SAP und Novell. Die drei erstgenannten Firmen haben ihre Produkte vor kurzem erweitert.

IBM Tivoli Identity Manager 5.1

Der unlängst vorgestellte "Tivoli Identity Manager 5.1" von IBM verfügt Herstellerangaben zufolge über Funktionen, mit denen Firmen operationale Rollen verwalten können. Unternehmen sollen damit Abläufe einführen können, über die Anwender eine Rolle beantragen und Verantwortliche dies genehmigen können. Die Software protokolliert diese Vorgänge, Kontrollfunktionen sollen Rollenkonflikte beheben helfen.

Laut IBM können Unternehmen auf diese Weise Verwaltungsaufgaben in Bezug auf Benutzerverwaltung und Zugriffsrechte straffen. Ferner behalten sie die Übersicht, wer auf welche Informationen zugreifen darf und wer das genehmigt hat.

SAP Netweaver Identity Management 7.1

Während IBM schon seit einer Weile im IdM-Bereich aktiv ist, zählt SAP eher noch zu den Newcomern. Seit der Übernahme des norwegischen Spezialisten Maxware vor zwei Jahren kann auch SAP IdM-Funktionen anbieten. In den letzten Monaten hat sich einiges getan. Verfügte das ursprüngliche Maxware-System noch über eine PHP-Oberfläche, so arbeitet es jetzt als Bestandteil von Netweaver 7.1 mit dem SAP-eigenen "Webdynpro"-Framework. Zudem nutzt die Software nun den "Web Application Server" als Ablaufumgebung. Die Benutzeroberflächen wurden harmonisiert, so dass die Systemverwalter und die Nutzer das gleiche Interface verwenden – der jeweilige Funktionsumfang ist natürlich unterschiedlich.

Für Anwender von R/3, die mit dem "Central User Access" (CUA) arbeiten, haben SAP-Partner Migrationswerkzeuge gebaut. SAPs Produktstrategie sieht vor, mittel- bis langfristig CUA durch Netweaver IdM abzulösen.

SAP richtet sich mit dem System auch an Kunden, die Compliance-Anforderungen umsetzen wollen. Hierzu kombiniert der Konzern das IdM mit der Produktfamilie Business Objects GRC ("Governance, Risk and Compliance") zum "Compliant IdM". Damit soll sich gewährleisten lassen, dass im IdM keine Benutzerrollen eingerichtet werden, die gegen Compliance-Richtlinien verstoßen. Dabei prüft das GRC-System, ob der betreffende Anwender bereits Nutzerrollen besitzt, die im Zusammenspiel mit der zusätzlich beantragten Rolle zu Problemen führen könnten.

Oracle Identity Management 11g

Oracle hat mit der "Fusion Middleware 11g" auch neue IdM-Funktionen eingeführt. Die braucht der Hersteller schon deshalb, weil er in den letzten Jahren zahlreiche Softwarefirmen übernommen hat, die alle mit unterschiedlichen Benutzerverwaltungssystemen ausgestattet sind.

Der Datenbankhersteller verkündet einen Service-orientierten Ansatz des IdM. Die IdM-Komponente soll ein Single-Sign-on und eine Zugriffskontrolle für alle Bestandteile der Fusion Middleware bereitstellen. Dies schließt die Weblogic-Suite ein, die Oracle mit dem Kauf von Bea Systems erworben hat. Über die "Platform Security Services" sollen sich bestehende Anwendungen in die IdM-Umgebung von Oracle einbinden lassen. Die Fusion Middleware ist die Betriebsumgebung für Oracles eigene Geschäftsanwendungen, kann aber auch als Plattform für Drittlösungen dienen.

Darüber hinaus verspricht Oracle "Identity Federation". Damit soll es möglich sein, das Oracle-IdM-System beispielsweise mit "Windows Cardspace" von Microsoft und mit den Industriespezifikationen "WS-Federation" sowie "Liberty" zu verbinden. (fn)