Zahlreiche Firmen stehen heute vor einem großen Problem: Informationen über die digitale Identität ihrer Angestellten - dazu gehört unter anderem auch, welche Zugriffsrechte sie wofür und wie lange besitzen - sind in vielen verschiedenen Verzeichnissen gespeichert. Die effektive Pflege der Daten wird dadurch unnötig erschwert. Es drohen sogar Gefahren, wenn Accounts längst aus dem Unternehmen ausgeschiedener Mitarbeiter weiter bestehen und benutzt werden können, um unbefugt auf Ressourcen zuzugreifen. Dem will Microsoft einen Riegel vorschieben, indem es eine Möglichkeit bietet, unterschiedliche Directories zusammenzuführen.
Verschiedene Verzeichnisse miteinander verbinden
Eine zentrale Rolle soll dabei eine erweiterte Version der aus der Übernahme des Anbieters Zoomit stammenden "Microsoft Metadata Services" spielen. Diese sollen unter der Bezeichnung Microsoft Identity Integration Server 2003 (MIIS) Informationen aus unterschiedlichen Repositories zusammenführen, so dass der Anwender sie von einer zentralen Konsole aus pflegen kann. Außerdem bietet MIIS Funktionen, die Systemadministratoren beim Provisioning, also dem Anlegen und Löschen von Nutzerkonten, unterstützen.
Als Datenspeicher für MIIS ersetzt ein SQL Server das bislang verwendete Zoomit-Repository. Die Lösung soll Lightweight-Directory-Access-Protocol-(LDAP-)kompatible Directories, etwa von Novell, IBM oder Sun, unterstützen. Neu ist auch die Kompatibilität mit Extensible-Markup-Language-(XML-)Standards: Über die "Directory Services Markup Language 2.0" (DSML) können Entwickler strukturelle Informationen aus Verzeichnissen als XML-Dokumente darstellen. Microsoft will auf diese Weise auch Interoperabilität zwischen dem Active Directory und Verzeichnissen anderer Anbieter schaffen, die ebenfalls DSML unterstützen.
Zur Unterstützung seiner Strategie hat Microsoft weitere Lösungen für Windows-Server-2003-Kunden entwickelt, die diesen kostenlos zur Verfügung gestellt werden. Dazu gehört etwa "Active Directory Application Mode" (Adam), eine abgespeckte Version von Microsofts Verzeichnisdienst. Adam ist aussschließlich zum Speichern von anwendungsbezogenen Informationen gedacht, während Mitarbeiterdaten weiterhin in der verteilten Active-Directory-Struktur vorgehalten werden sollen. Der Hersteller möchte damit den Einsatz seines Verzeichnisses und von Directory-tauglichen Anwendungen erleichtern.
Kooperationspartner sagen ihre Unterstützung zu
Das "Identity Integration Feature Pack for Windows Server Active Directory" dient als eine Schnittstelle, um Informationen aus verschiedenen Active-DirectoryForests oder Adam-Implementierungen zusammenzuführen. Der "Identity Management Solution Accelerator" versammelt eine Reihe von Einführungsrichtlinien, die Microsoft gemeinsam mit Pricewaterhouse-Coopers entwickelt hat.
Microsoft hat sich Partner ins Boot geholt, darunter Systemintegratoren (wie Cap Gemini Ernst & Young, HP Services oder Fujitsu Services) sowie unabhängige Hard- und Softwarehersteller. Sie sollen auf Basis des Active Directory und der neu vorgestellten Produkte Projekte bei Kunden umsetzen. Andere Anbieter wie Digitalpersona, Business Layers, Oblix oder Opennetwork Technologies wollen eigene Lösungen offerieren, die auf Microsofts Technik aufsetzen. Opennetwork beispielsweise nutzt in der neuesten Version seiner "Universal Identity Platform" (Universal IdP) MIIS, das .NET-Framework und Web-Services als zugrunde liegende Infrastruktur, um Single-Sign-on zu realisieren. (ave)