Nicht erst seit gestern redet die Fachwelt über die Vorteile von Identity-Management- (IDM-)Systemen in Unternehmen. Ihr Zweck ist die Vielzahl der Kennungen und personenbezogenen Informationen, die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen. Das kann etwa mit Hilfe von zentralen Meta-Directorys oder Virtual Directorys geschehen, die unterschiedliche Ressourcen beziehungsweise Anwenderdatenbanken miteinander verbinden oder aber untereinander abgleichen.

Das hört sich einfacher an, als es in der Praxis ist, was nicht zuletzt auch an den unterschiedlichen Teildisziplinen liegt, die ein umfassendes IDM ausmachen: Dazu gehören unter anderem Zugangskontrolle, Provisioning, Synchronisierung, Berechtigungs- und Passwort-Management, Föderation (englisch Federation), Auditing sowie Compliance. Daneben wächst die Komplexität eines IDM-Projekts mit der Zahl der davon betroffenen Anwender, vor allem aber der anzubindenden Anwendungen und Systeme.

Gründe für IDM

Dafür winken im Fall einer erfolgreichen Implementierung aber einige Vorteile: Unternehmen profitieren vor allem durch mehr Sicherheit und einfachere Benutzerverwaltung. Idealerweise muss ein Mitarbeiter beim Eintritt in die Firma dann nur noch einmal, beispielsweise innerhalb des HR-Systems, angelegt werden: Das Freischalten eines Mail-Accounts, der Benutzerkonten für Anwendungen sowie die Vergabe der Berechtigungen auf den für ihn relevanten Systemen sollten dann automatisch geschehen.

Lösungen für das Identity-Management (Auswahl)

Anbieter/Produkte	Komponenten	Management-Konsole	unterstützte Datenbank-Server	unterstützte Directory-Server	unterstützte E-Mail/Groupware-Server
IBM Tivoli Identity Manager 4.6	Tivoli Identity Manager, Tivoli Directory Integrator	Linux,Netware, Windows, Unix	DB2,Oracle, SQL Server	Active Directory,Sun One, Tivoli Directory Server	Domino, Exchange, alle SMTP
Microsoft Identity Integration Server 2003	MIIS, Active Directory, SQL Server,Windows Sharepoint Services	Windows	DB2,Oracle, SQL Server, andere	Active Directory,IBM, LDAP, Novell, Sun/iPlanet, Windows NT Domänen	Exchange, Groupwise, Notes, andere
Novell Identity Manager 2	Identity Manager, Designer, eDirectory, Apache Web Server, Tomcat Application Server	Windows	SQL Server	Active Directory, eDirectory, LDAP, Win SAM	Exchange, Groupwise, Notes, andere
Sun Java System Identity Manager 5.5	Sun Identity Manager, Sun Directory, Sun Webserver, Tomcat Application Server	Web-basierend	DB2,MySQL, Oracle, SQL Server, Sybase	AD, eDirectory, Java System Directory, LDAP, NDS, Oracle Internet Directory	Exchange, Groupwise, Notes

Ähnlich verhält es sich, wenn der Mitarbeiter in eine andere Abteilung wechselt oder das Unternehmen verlässt. In einem solchen Fall bedarf es nur noch einer einmaligen Änderung, damit bisherige Berechtigungen ihre Gültigkeit verlieren. Verwaiste Benutzerkonten, die ein Angreifer für seine Zwecke missbrauchen könnte, gehören damit der Vergangenheit an. Der Mitarbeiter selbst freut sich, weil er sich dank Single- oder Simplified-Sign-on weniger Kennungen merken muss und schneller Berechtigungen erhält, wenn sich seine Funktion ändert.

Das alles spart Geld: Unter anderem deswegen, weil weniger Anfragen beim Helpdesk eingehen, um vergessene Passwörter zurücksetzen zu lassen. Gerade das kann nämlich schnell teuer werden: Wie Fred Danback, Vice President Global Technological Architecture beim Fianzdienstleister XL Capital berichtet, entstanden seinem Unternehmen bei insgesamt 3500 Mitarbeitern pro Jahr Kosten in Höhe von 420 000 Dollar aufgrund derartiger Probleme. Dank IDM lassen sich solche Anfragen und die damit verbundenen Ausgaben drastisch reduzieren. Zusätzlich kann eine solche Lösung aber beispielsweise auch dazu benutzt werden, um den Anwendern die Möglichkeit einzuräumen, ihre Passwörter bei Bedarf selbst zurückzusetzen.

Angesichts solcher Vorteile ist es kein Wunder, dass immer mehr Unternehmen sich für IDM interessieren. "Firmen entdecken die Identität" prognostizierte die Stuttgarter Marktanalysefirma Kuppinger Cole + Partner Anfang des Jahres in ihrer Studie "Identity-Management-Trends 2005": Das Thema werde sich zum "Kernelement jeder IT-Strategie" entwickeln.

Dass IDM gerade jetzt noch stärker in das Blickfeld von Unternehmen rückt, liegt nach Meinung von Jamie Lewis, CEO und Analyst bei der Burton Group, in erster Linie an der Compliance-Problematik: "Die Notwendigkeit, gesetzliche Auflagen zu erfüllen, treibt die meisten Unternehmen zur Einführung einer IDM-Lösung", berichtet der Experte. Häufig gehöre es zu den Anforderungen, zu belegen, welche Mitarbeiter wann (und womöglich wie lange) Zugriff auf welche Informationen und Ressourcen hatten. Fragen wie diese ließen sich mit einem zentralen IDM-System beantworten.

Suite oder Nischenprodukt?

Neben einer ganzen Reihe von Anbietern, die sich auf Teilaspekte des Identity-Managements konzentrieren, offerieren einige Hersteller inzwischen aber auch IDM-Komplettlösungen. Hier sind etwa Computer Associates, BMC, Novell, IBM, Sun, Siemens, Oracle, Microsoft, Courion oder Sun zu nennen. Sie versprechen Anwendern Vereinfachungen und Kosteneinsparungen durch übergreifende Administration, bessere Integration und optimierte Workflows. Mike Neuenschwander, Research Director bei der Burton Group, warnt jedoch, dass die Realität häufig anders aussehe: Man dürfe nicht davon ausgehen, dass Produkte wirklich komplett integriert sind, nur weil sie von ein und demselben Hersteller stammen. IDM-Suiten seien jedoch "einfacher und günstiger zu implementieren".

Das belegt auch ein Test der IDG-Labors, bei dem mehrere IDM-Lösungen auf Herz und Nieren getestet wurden. Zwar gab es durchaus Kritikpunkte, insgesamt schnitten IBMs "Tivoli Identity Manager 4.6", Microsofts "Identity Integration Server 2003", Suns "Java System Identity Manager 5.5" und Novells "Identity Manager 2" jedoch recht gut ab (siehe Tabelle).

Vorsicht bei der Implementierung

Allerdings werden in der Praxis eher selten auf einen Schlag umfassende Lösungen realisiert, die sämtliche IDM-Disziplinen abdecken. Meist beginnen Anwender mit der Implementierung einzelner Aspekte. Das hängt mit der bereits erwähnten Komplexität von IDM zusammen, weswegen die Einführung eines umfassenden Systems sehr langwierig und kostspielig sein kann. Besonders wenn proprietäre Anwendungen mit jeweils eigenen Datenbanken und Zugriffsbeschränkungen vorhanden sind, droht die Einführung "schwierig und teuer" zu werden, warnt Toby Weir-Jones, Director für Product-Manager bei dem Sicherheitsunternehmen Counterpane Internet Security. Aus diesem Grund empfiehlt es sich, schrittweise vorzugehen und IDM-Funktionen nach und nach einzuführen.

So geschehen etwa bei Capital XL: Nach einer Phase der Expansion war das Unternehmen an einem Punkt angelangt, an dem an 100 Standorten in über 30 Ländern 3500 Mitarbeiter von 17 IT-Organisationen betreut wurden. Es gab keinen einheitlichen Standard für die Vergabe von Benutzernamen, über 40 E-Mail-Domänen, sechs Notes-Domänen, viele Exchange-Organisationen und 250 Domino-Applikationen. Dazu kamen Dutzende selbst entwickelter Anwendungen, die eine Authentifizierung verlangten.

Um das Chaos wieder in den Griff zu bekommen, entschied sich das Unternehmen zunächst dazu, einheitliche und eindeutige Kennungen für alle Benutzer zu entwickeln und ein gemeinsames Directory zu schaffen. Als nächstes folgte ein Meta-Directory, das mit Hilfe von Management-Agenten an die unterschiedlichen Anwendungen angebunden wurde. Damit einhergehend führte das Unternehmen einfache Workflows ein, um Accounts freizuschalten beziehungsweise zu löschen.

Erst danach gingen die Experten daran, mit Hilfe von RSAs "Cleartrust" Simplified-Sign-on (SSO) für Web- und Windows-Applikationen einzuführen. Dazu identifizierten sie diejenigen Anwendungen, die bereits Microsofts Integrated Windows Authentication (IWA) unterstützte. Außerdem wurde eine Web-SSO-Lösung implementiert, um die Notwendigkeit des Logins beim Zugriff auf interne Web-Anwendungen zu beseitigen. "Wir konnten auf diese Weise 134 Anwendungen quasi im Handumdrehen SSO-fähig machen", freut sich Manager Danback. Jetzt ist das Unternehmen dabei, eine Federation-Strategie zu entwickeln, um über die eigenen IT-Grenzen hinweg Partner und Kunden in den Verbund integrieren zu können.

Trendthema Federation

Damit widmet sich XL Capital einem der derzeit wichtigsten Trends im Bereich IDM. Vereinfacht gesprochen geht es dabei um die Möglichkeit, unterschiedliche IDM-Systeme miteinander zu integrieren, so dass Anwender nach einer einmaligen Anmeldung an einem der beteiligten Systeme anschließend auch gegenüber anderen identifiziert sind und entsprechend der für sie geltenden Berechtigungen automatisch Zugriff auf IT-Ressourcen erhalten. Diese Funktion ist besonders für Unternehmen interessant, die Partner, Zulieferer oder Kunden an ihre IT anbinden wollen. Dazu bilden sie mit diesen so genannten Circles of Trust.

Die praktische Umsetzung kann mit Hilfe verschiedener Techniken erfolgen: Zur Wahl stehen etwa die von der Liberty Alliance entwickelte Security Assertion Markup Language (SAML) oder die von Microsoft und IBM vorangetriebenen "WS-*"-Protokolle (darunter fallen unter anderem WS-Federation und WS-Trust). Lange Zeit herrschte Unklarheit, welche Technik sich letztlich durchsetzt beziehungsweise ob ein reibungsloses Zusammenspiel verschiedener Verfahren möglich ist. Diese Sorgen rücken jetzt in den Hintergrund: So belegte im Sommer dieses Jahres eine auf Initiative von Burton veranstaltete "Interoperability Demo", an der 14 Anbieter teilnahmen, dass Federation auch über Herstellergrenzen und verschiedene Standards hinweg funktioniert.

Drei unterschiedliche Szenarien sind denkbar, die entweder einen Multiprotokoll-Hub, einen Protokollübersetzer oder eine auf der WS-Trust-Spezifikation von IBM und Microsoft basierende Integrationstechnik namens Security Token Server (STS) erfordern. Der Hub sitzt auf einer Seite der Kommunikation und versteht alle Protokolle. Im Gegensatz dazu befindet sich der Protokollübersetzer zwischen zwei Partnern und wandelt die Protokolle jeweils für den anderen um. Der STS schließlich ist ein abgespecktes Gateway, das sich innerhalb der Netze der beiden Partner befindet und für den Protokollaustausch und die Umsetzung in verschiedene Formate zuständig ist.

Dan Blum, einer der Organisatoren der Interoperability Demo, sieht das positive Ergebnis als Zeichen dafür, dass Anwender jetzt anfangen könnten, Techniken wie WS-* oder Security Assertion Markup Language (SAML) einzuführen. Sein Kollege Gerry Gebel empfiehlt Unternehmen, die an die Implementierung eines IDM-Systems denken, sich frühzeitig mit Federation auseinander zu setzen, da ein späteres Nachrüsten teuer sei.

Investitionsschub für die IT-Branche?

Microsoft will das Thema mit dem bevorstehenden Release 2 von "Windows Server 2003" aufgreifen. Nach Angaben von Kim Cameron, Identity Architect bei dem Hersteller, wird die Server-Software eine Funktion namens Active Direction Federation Services (ADFS) enthalten. Damit soll es möglich sein, Federation zu nutzen, ohne sämtliche im Unternehmen laufenden Server umzurüsten. Das Metasystem arbeite auch mit Liberty zusammen, so Cameron.

Obwohl die Burton Group Federation als "sehr vielversprechend" einstuft, gibt es weltweit bislang erst wenige hundert derartige Verbünde. Der Bedarf an Integration zwischen Unternehmen nimmt laut Burton jedoch weiter zu und treibt damit auch das Thema der Föderation voran. Ob es sich jedoch tatsächlich "zu einem Investitionsschub für die gesamte IT-Branche" entwickelt, wie Kuppinger Cole + Partner glauben, bleibt abzuwarten.