Neu ist also weniger das Problem als seine Bezeichnung. Früher war einfach von „zentralem Benutzer-Management“ die Rede. „Bereits seit Anfang der 80er Jahre gibt es Tools dafür“, bestätigt Henry Hanau, Leiter Network Consulting bei Secunet in Essen. Werkzeuge für die zentrale Benutzerverwaltung basieren in der Regel auf einem Rechte- und Rollen-Management. Man erstellt generische Profile für die Mitarbeiter, die mit bestimmten Rechten verknüpft sind - eine Art „Schublade“ jeweils für Vertriebsmitarbeiter oder Personalsachbearbeiter und alle anderen Gruppierungen. Jeder Person wird dann eine solche Rolle mit den entsprechenden Rechten zugeordnet.

Die aktuellen Provisioning-Lösungen verwenden dafür auch Informationen aus Datenbanken der Personalabteilung und unternehmensinternen Verzeichnissen. So wissen sie im Idealfall immer darüber Bescheid, wenn sich Änderungen in der Rolle eines Mitarbeiters ergeben oder er das Unternehmen verlassen hat. In regelmäßigen Abständen werden die Einträge der Benutzerverwaltung geprüft und mit den Sicherheits-Policies der Firma verglichen. Wenn eine Abweichung festgestellt wird, gibt es prinzipiell drei Reaktionsmöglichkeiten: den Account sofort löschen, vorübergehend inaktiv schalten, bis eine Entscheidung getroffen wurde, oder entgegen der Policy bestehen lassen. Die Automatisierung dieser Prozesse erhöht nicht nur die Sicherheit, sondern entlastet auch den Administrator von mühseliger Kleinarbeit.

Bekannte Hersteller von Provisioning-Lösungen sind unter anderem BMC („Control-SA“), Access 360 („Enrole“), Computer Associates („E-Trust Access Control“), Business Layers („Day One“), IBM/Tivoli („Access Manager“) und Waveset Technologies („Lighthouse“). Access 360 beansprucht beispielsweise für sich, dass seine Lösung detailliertere Einstellungen erlaube als die der Konkurrenten - bis hin zu Sonderrechten für jeden Account. Business Layers dagegen legt eigenen Angaben zufolge besonderen Wert auf die Workflow-Funktionalität. Die ist unter anderem für die elektronische Bearbeitung und Kontrolle von Berechtigungsanträgen von Bedeutung.

Ein typisches Provisioning-Produkt läuft auf dem Server. Damit die Verarbeitung in Echtzeit stattfinden kann, sammeln Agenten, auch als Konnektoren bezeichnet, Daten aus den einzelnen Applikationen und Plattformen. Es existieren drei Möglichkeiten, an welchem Ort Agenten implementiert werden können: Wenn sie auf dem Server sind, nennt man das auch „agentless“. Dieses Modell funktioniert beispielsweise bei Windows NT.

Agenten greifen Daten an der Quelle ab

Einige Agenten müssen jedoch direkt an der Datenquelle sitzen, weil keine sichere Verbindung zum Server vorhanden ist, zum Beispiel bei RACF, der Sicherheitsdatenbank von Mainframes. Vom Großrechner aus liefert der Agent dann Informationen an den Provisioning-Server. Der dritte Weg ist, den Konnektor auf einem Proxy-Server zu installieren, der seinerseits mit allen Ressourcen an einem Standort in Verbindung steht. Darüber hinaus bieten viele Hersteller ein Agent Development Kit an, mit dessen Hilfe das Unternehmen Konnektoren auch an neue oder selbst gestrickte Applikationen anpassen kann. Laut Access-360-Mann Anderson dauert das zwischen zwei und sechs Wochen. Innerhalb einer Woche sollen sich „universelle“ Agenten für Datenbanken, LDAP-Verzeichnisse und Command Line Interfaces (CLIs) einrichten lassen.