Unbestritten sind die Vorzüge eines Identity-Management-Systems vor allem in Unternehmen mit vielen Mitarbeitern. Müssten die dortigen IT-ler jede Veränderung der Zugangsberechtigungen mühsam per Hand eintragen, kostete das viel Zeit und Geld. Kein Wunder also, dass heute kaum noch ein führendes Unternehmen ohne eine integrierte Benutzerverwaltung auskommt (siehe auch: "NIFIS rät zu Identity-Managment-Systemen" sowie die Analyse des Marktforschungsunternehmens IDC unter dem Titel "Identity Management: Securing Your E-Business Future").
Sind die Identity-Management-Systeme einmal implementiert, laufen sie meist problemlos. Doch ihre Einführung ist oft schwierig. Der Grund liegt auf der Hand: Viele Unternehmen betrachten die Implementierung nicht als fortlaufenden Prozess, sondern als einmaliges Projekt. Damit vertun sie viele Chancen. Denn nur die schrittweise Einführung der Benutzerverwaltung sorgt dafür, dass sich die ersten Funktionsbestandteile schon in einem sehr frühen Projektstadium nutzbringend einsetzen lassen.
Für den erfolgreichen Aufbau einer Identity-Management-Lösung empfiehlt sich deshalb ein stufenweises Vorgehen. Die folgenden zehn Arbeitsschritte bauen systematisch aufeinander auf. So ist gewährleistet, dass am Ende des Projekts alle wichtigen Funktionen zur Verfügung stehen.
Jede Person, die durch das Identity-Management-System verwaltet wird, ist im Identitätsspeicher als Identitätsobjekt hinterlegt. Zur eindeutigen Kennzeichnung empfiehlt es sich, für jedes Objekt automatisch einen unternehmensweit eindeutigen "globalen Identifier" (GID) zu erzeugen. Die Identitäten lassen sich auch manuell im Identitätsspeicher pflegen. Je nach ihrem Typ werden sie bereits in verschiedenen Datenbanken des Unternehmens verwaltet: die Mitarbeiter im Personal-, die Kundendaten im CRM-System etc. Eine Identitätsintegration identifiziert all diese Systeme und bindet sie an das Identity-Management-System an. Über regelmäßige Synchronisationen werden dann immer die aktuellen Daten aus dem Quellsystem in den zentralen Identitätsspeicher übertragen.
Für jede an das Identity-Management-System angeschlossene Benutzerverwaltung werden alle Benutzerkennungen in den Identitätsspeicher übertragen und den Personenidentitäten zugeordnet. Auf diese Weise erhalten die Mitarbeiter der IT-Abteilung einen zentralen Überblick über die Identitäten und die ihnen zugeordneten Benutzerkennungen. Im Rahmen der Zielsystemintegration werden neben den Benutzerkennungen auch Systemberechtigungen und Mitgliedschaften übertragen.
Das "Role Mining" analysiert die bestehenden Berechtigungsstrukturen, bevor die Rechte in Clustern gruppiert und zu Rollen zusammengefasst werden können. Der zentrale Identitätsspeicher ist in der Lage, systemübergreifend Informationen für das Role-Mining-Werkzeug bereitzustellen. Er bietet somit eine gute Datengrundlage für die Identifikation von Rechtebündeln. Mit Hilfe dieses Bottom-up-Ansatzes lassen sich die Berechtigungsstrukturen transparent darstellen und der Zuweisungsprozess bereits erheblich vereinfachen.
Signalisiert das Personalsystem beispielsweise den Austritt eines Mitarbeiters, so wird das zugehörige Identitätsobjekt im zentralen Identitätsspeicher automatisch deaktiviert. Änder sich der Status des Identitätsobjekts ändert, so werden auch alle ihm zugeordneten Benutzerkennungen automatisch deaktiviert und bei Bedarf gelöscht. Damit ist die Gefahr von Sicherheitsverletzungen wegen veralteter und nicht zuordenbarer Benutzerkennungen gebannt. Alle Berechtigungszuweisungen erhalten einen Gültigkeitszeitraum, nach dessen Ablauf die Berechtigung automatisch entzogen wird.
Um die Berechtigungsvergabe zu automatisieren, sind vorhandene Informationen zu den im Identitätsspeicher hinterlegten Personen nutzbar: beispielsweise die Zugehörigkeit zu Organisationseinheiten, Standortinformationen oder Mitarbeit in Projekten. Diese Informationen stehen aufgrund der im Schritt 1 eingeführten Synchronisationen bereits zur Verfügung und lassen sich als Kriterien für die Zuweisung von Berechtigungen nutzen.
Werden die Berechtigungen automatisch zugewiesen, so steigt die Effizienz, und die Fehleranfälligkeit sinkt. Unter bestimmten Umständen ist jedoch eine zusätzliche Absicherung der automatischen Zuweisung notwendig, beispielsweise, wenn ein Vorgesetzter der Zuweisung von Privilegien für einen Mitarbeiter zustimmen muss. Aus diesem Grund ermöglichen Identity-Management-Systeme auch die Definition von "Genehmigungs-Workflows": Erst wenn die für eine Genehmigung relevanten Personen den Vorgang freigegeben haben, wird eine Berechtigungszuweisung und in das Zielsystem übertragen.
Der Prozess für die Zuweisungen von Privilegien lässt sich weiter verbessern, indem die Mitarbeiter selbst entsprechend den Anforderungen ihres Arbeitsprofils über Self-Service-Funktionen neue Berechtigungen beantragen können. Auch hier sind die Berechtigungszuweisungen über Genehmigungs-Workflows abzusichern.
Der gesicherte Zugriff auf Unternehmensinformationen hat auch eine juristische Bedeutung: Wer die Vorschriften globaler Gesetze nicht erfüllt, muss teils gravierende rechtliche und in der Folge auch wirtschaftliche Konsequenzen tragen. Deshalb sollten die Firmen genau festhalten, wer wann was mit welcher Information gemacht hat. Das Identity-Management-System enthält wesentliche Teile der vom Gesetz geforderten Informationen, da es jede Veränderung der Be-rechtigungszuweisung aufzeichnet. Durch die Archivierung dieser Informationen wird die IT-Infrastruktur "ready for compliance".
Um die Vorteile eines Identity-Management-Systems nutzen zu können, ist es nicht notwendig, dessen kompletten Funktionsumfang auf einmal zu implementieren. Schon wer die ersten hier vorgestellten Schritte umsetzt, erzielt wesentliche Vorteile in Bezug auf Sicherheit und effizienten Betrieb der IT-Infrastruktur. Dadurch verringern sich Kosten, Komplexität und Risiko der Einführung beträchtlich. Der weitere schrittweise Ausbau des Systems folgt dann den aktuellen Bedürfnissen, wobei die Erfahrungen aus den ersten Schritten in die folgenden einfließen können. (Weitere Information zum Thema Security finden Sie im "Security-Expertenrat")
Neben der in Schritt 3 beschriebenen Bottom-up-Methode lässt sich in einem Identity-Management-System auch Top-down ein organisatorisches Rollenmodell hinterlegen. Es wird aus der Modellierung der Geschäftsprozesse und falls vorhanden aus den Informationen von Arbeitsplatzbeschreibungen abgeleitet. Dazu müssen jedoch die Rollen den Berechtigungen der Zielsysteme zugeordnet sein. Dank der Integration der Zielsysteme (aus dem Schritt 2) sind deren Berechtigungen im zentralen Identitätsspeicher verfügbar und lassen sich für diese Zuordnung nutzen.
Der Prozess der Rollenmodellierung muss mit den notwendigen Funktionen und Kompetenzen innerhalb des Unternehmens ausgestattet werden. Es ist festzulegen, wer die Rollen verändern, wer Zuordnungen zu Benutzern und Berechtigungen anpassen und wer dies freigeben darf. Weil sich das im Identity-Management-System hinterlegte Rollenmodell ständig ändert, muss auch seine Historie gespeichert werden. Anders ausgedrückt: Es ist eine Versionsführung des Rollenmodells erforderlich. (qua)
Stellen Sie Ihre IT auf den Prüfstand! Die folgenden Ckecklisten helfen Ihnen, die Leistungsfähigkeit Ihrer IT zu ermitteln, Schwachstellen zu identifizieren und Potenziale für die Optimierung zu erkennen. 
