IdM: Abschied vom Directory-zentrischen Weltbild
Insbesondere in der Automobilindustrie wird die Zusammenarbeit mit Partnern und Zulieferern stark intensiviert. Das wirkt sich auch auf die IT aus und erfordert eine Öffnung zu externen Märkten und IT-Systemen. Aber auch in anderen Branchen besteht der Bedarf, Applikationen von externen Service-Providern nahtlos zu integrieren. Daher ist ein klarer Trend zu Identity-Federation, dem domänen- und organisationsübergreifenden Austausch von Identity-Informationen, zu verzeichnen. Die zunehmende Interoperabilität der Standards und Produkte erleichtert die Entscheidung, in die Federation-Technik einzusteigen.
Allgemein steht Federation für den Austausch von Identity-Informationen im Internet. Aber im Firmennetz eines gewachsenen Konzerns herrschen mitunter ähnliche Strukturen, wenn die Tochterfirmen ihre eigenen Windows- und DNS-Domains haben. Daher können auch innerhalb eines Großunternehmens Federation-Ansätze zielführend sein, um die Interoperabilität zwischen Töchtern oder zum Outsourcing-Partner herzustellen.
Service-orientiert denken
Was in der Softwareentwicklung mit der objektorientierten Programmierung vor mehr als zehn Jahren Einzug gehalten hat, setzt sich nun auch im IdM durch: Information Hiding. Dabei gilt es, die Details der eigenen Datenhaltung zu verbergen und stattdessen Services und Schnittstellen offen zu legen. Niemand wird sich für die firmenspezifischen Verästelungen eines Directory-Baums interessieren und mit den technischen Details der LDAP-Programmierung (Lightweight Directory Access Protocol) herumschlagen wollen, um eine Business-Operation auszuführen wie: "Gib mir alle Rollen des Benutzers XY". Demnach gilt es, LDAP als Schnittstelle für den Directory-orientierten Zugriff bestehen zu lassen, aber prozessorientierte Operationen mit komplexerer Semantik in Form von Services anzubieten. Die Implementierung sollte in eine eigene Schicht, den "Identity Access Layer", gepackt werden. Ob hinter den Kulissen auf eine Datenbank oder auf ein Directory zugegriffen wird, ist für den Servicenutzer irrelevant. Dadurch lässt sich die enge Kopplung zwischen Anwendungen und Identitätsdaten auflösen, was mehr Flexibilität gewährt.