| Mit Single-Sign-on zum Identity-Management | |
| Wenn ein Mitarbeiter geht | |
| Startschwierigkeiten | |
| Seite 4 |
Zusätzlich lässt sich mit gängigen IAM-Systemen eine führende Applikation bestimmen, die bei bestimmten Ereignissen einen individuell vordefinierten Workflow in Gang setzt. Dieser erzeugt, verändert oder löscht automatisch digitale Identitäten und verknüpft sie mit Schlüsselidentitäten oder Rollen und Applikationen. Bei Bedarf kann auch das gesamte Genehmigungsverfahren automatisiert werden. Erst wenn beispielsweise eine Genehmigung durch einen Vorgesetzten (online) erteilt wird, erzeugt das IAM-System ein neues Benutzerkonto für eine Anwendung.
Viele Unternehmen sehen bereits in den ersten Schritten auf dem Weg zum Identity-Management eine (vermeintliche) Hürde. Zuerst muss ein Unternehmen erfassen, welche Personen IT-Anwendungen benutzen, welcher Anwender welche Applikationen auch wirklich nutzt und schlussendlich müssen die Anwender für die Applikation korrekt und nachvollziehbar autorisiert werden. Rollen müssen definiert und diesen Rollen Sätze mit Berechtigungen für Ressourcen zugeordnet werden. Letztlich ist der gesamte Workflow für jede Position und jedes denkbare Ereignis (zum Bei- spiel Anlegen eines neuen Kontos) abzubilden. Bei den konkreten Planungen zeigt sich aber schnell, dass der Investitions- bedarf entgegen ersten Schätzungen mit Hilfe der richtigen Vorgehensweise erheblich geringer ausfällt.
Eine Schlüsselrolle im Rahmen eines IAM-Projekts nimmt dabei die Implementierung von Single-Sign-on (SSO) ein. Bereits kurzfristig zeigen sich mit dieser Komponente einer IAM-Lösung nachhaltige und messbare Erfolge. Bei verhältnismäßig geringen Investitionen kann schnell ein beachtlicher Return of Invest (RoI) erzielt sowie das allgemeine Sicherheitsniveau erheblich angehoben werden. Eine 2002 von Gartner veröffentlichte Studie führt 30 Prozent aller in einem Helpdesk eingehenden Anrufe auf vergessene Passwörter zurück. Allein der kurzfristige Wegfall von Belastungen wie Produktivitätsausfall bei Anwendern und Bindung von Help-Desk-Ressourcen aufgrund der vergessenen Passwörter lässt die Größenordnung möglicher Einsparungen bereits erahnen.
Das SSO-Prinzip: Der Anwender authentifiziert sich einmal an seinem PC mit seiner definierten Kennung (zum Beispiel Windows-Benutzername und Passwort). Jede weitere Anmeldung etwa im SAP-System oder in Lotus Notes übernimmt automatisch der SSO-Mechanismus - ebenso die regelmäßigen Passwort-Wechsel entsprechend der gültigen Richtlinie. Jedes erzeugte Passwort ist hinreichend komplex und entzieht sich der Kenntnis des Anwenders. Der Anwender braucht nur noch ein Passwort, und dieses kann dann auch durchaus komplexer aufgebaut sein.
Doch Kritiker bezeichnen SSO auch als potentiellen Single Point of Failure. Mit einem Passwort, gelangt es in die Hände nicht autorisierter Personen, steht ohne weitere Sicherheitsüberprüfung der Zugang zu allen Applikationen des Anwenders offen. Demzufolge bringe SSO keinen Gewinn an Sicherheit, so der Vorwurf. Das Argument ist richtig, wenn SSO ohne weitere Schutzmechanismen installiert wird. Der Einsatz von Mehrfachauthentifizierung maximiert jedoch den Zugriffschutz an diesem kritischen Punkt.
