Ein einheitliches System für das Management sämtlicher Benutzerkennungen im Unternehmen bringt viele Vorteile: mehr Sicherheit, einfacheres und schnelleres Bereitstellen und Sperren von Benutzerkonten. Da sich die Komplexität reduziert, lassen sich Kosten senken, etwa indem Anwender Passwörter selbst zurücksetzen können. Doch wie lassen sich derartige Lösungen realisieren? Mit Komplettsuiten, wenn man den großen Playern im Markt für Identity-Management (IDM) glauben darf. Ob ihre Produkte dazu tatsächlich in der Lage sind, mussten sie jetzt im Labor unter Beweis stellen.
Fazit
Die Einführung eines IDM-Systems dürfte wahrscheinlich eines der größten IT-Projekte darstellen, die Unternehmen derzeit anpacken können. Dafür bringt es im Erfolgsfall aber auch besonders viel. Das Zusammenführen unterschiedlicher Systeme für ein zentralisiertes Anwender-Provisioning ist anspruchsvoll, aber machbar, wie die Tests zeigten.
Trotz teilweise starker Leistungen entstand insgesamt der Eindruck, dass sich die Lösungen noch in der Entwicklung befinden. Vergleichsweise am reifsten wirkte Suns Identity Manager, der mit seinen starken Integrationsfunktionen und Management-Fähigkeiten glänzte. IBMs Lösung könnte etwas einfacher zu verwalten sein, während es bei Novell, das hervorragende Leistungen im Bereich Front-end bringt, noch im Backend hapert. Microsoft hinkt der Konkurrenz in allen Disziplinen leicht hinterher, kann jedoch beim Preis punkten. Unterm Strich hat letztlich Novell aufgrund der günstigeren Kosten gegenüber Sun die Nase vorn.
Hier lesen Sie …
• mit welchem Aufwand sich Identity-Management-Suiten in bestehende Systeme einfügen lassen;
• wie sie Veränderungen im Unternehmen über mehrere Produkte hinweg umsetzen;
• wie sich die Verwaltung der Systeme gestaltet;
• wo die Produkte noch Schwächen zeigen.
So wurde getestet
Die gesamte Teststruktur wurde auf einem "HP-Proliant-DL585"-Server mit vier "Opteron-252"-Prozessoren und 32 GB RAM aufgebaut. Als Betriebssystem kam Red Hats "Advanced Server 3" zum Einsatz, darauf installiert war "VMware GSX Server 3.1". Hierauf wurden fünf Windows Server 2003 konfiguriert sowie zwei "Fedora-Core-3"-Systeme. Für die Tests wurde eine Musterfirma vorgegeben, deren zentrale Organisationseinheit sich in Untergruppen wie Finanzbuchhaltung, Produktion und Versand gliederte. Insgesamt belief sich die Zahl der Angestellten auf 2270. Zu jedem User Object gehörte eine Reihe von Attributen wie Abteilungsnummer, Geburtsdatum und Adresse.
Zum Firmennetz zählten ein Exchange Server 2003, ein Windows-basierender File-Print-Server sowie ein IIS-Web-Server. Ein Apache-Web-Server lief auf einem der Fedora-Systeme, die HR-und ERP-Lösungen auf dem anderen. Um die Umgebung etwas abwechslungsreicher zu gestalten, kamen als zusätzliche Aufgabe noch ein z/OS-Emulator und ein Lotus-Notes-Server hinzu, die es einzubinden galt.
Die Hersteller erhielten die Grundinformationen über das Szenario einen Monat im Voraus. Im Labor mussten sie dann ihre Lösung implementieren und mit den restlichen Komponenten integrieren. Nach dieser Vorarbeit begannen die eigentlichen Herausforderungen: Ein neuer Angestellter (Harry) musste angelegt und mit den nötigen Rechten auf allen Systemen versehen werden. Dann wird Harry befördert, erhält also weitere Berechtigungen und wird Mitglied in einer speziellen Sicherheitsgruppe. Er lernt eine Angestellte (Sally) einer anderen Firma kennen. Noch vor der Hochzeit wird diese Firma von der ersten übernommen, weswegen zwei Active Directories zusammengeführt werden müssen. Außerdem muss das Provisioning von Anwendern von einem System in das andere bewerkstelligt werden, so dass sie über Domain-Grenzen hinweg auf Anwendungen und Dateien zugreifen können.
Nach dem Abschluss des Firmenkaufs heiraten Harry und Sally: Sie übernimmt seinen Namen, weshalb das System in der Lage sein muss, ihre Kennungen entsprechend zu ändern, ohne dass ihre Berechtigungen verloren gehen.
Harry leistet sich aber kurz darauf einen Fehltritt, indem er sich unberechtigt Zugang zum System verschafft. Er loggt sich mit der Kennung eines Administrators ein, erzeugt einen fiktiven User Account und stattet diesen mit den nötigen Privilegien aus, damit er die Abrechnungen und Gehaltslisten einsehen kann. Die Systeme sollten im Test diese Aktion erkennen und Gegenmaßnahmen einleiten.
Daraufhin wird Harry gefeuert, weswegen sämtliche Zugriffsrechte gelöscht und seine Konten aufgelöst werden müssen. Sally ist natürlich frustriert und reicht die Scheidung ein. Also muss die IDM-Lösung eine weitere Änderung über alle beteiligten Systeme hin vornehmen.
www.computerwoche.de/go/
570349: Identity-Suite von Oracle;
570020: Neue Portalserver von Sun;
568488: Kosten runter mit Identity Management;
569355: HP kauft Identity- Management.
Testergebnisse im Überblick
IBM Tivoli Identity Microsoft Identity Novell Identity Sun Java Identity Manager 4.6 Integration Server 2003, Manager 2 Manager 5.5 Enterprise Edition
Note Gut 7,8 Gut 7,1 Sehr gut 8,2 Sehr gut 8,1
Kriterien Ergebnis Gewichtung* Ergebnis Gewichtung* Ergebnis Gewichtung* Ergebnis Gewichtung*
Management 7 30 7 30 8 30 8 30
Integration 9 25 7 25 8 25 9 25
Konfiguration 7 20 7 20 9 20 8 20
Einheitlichkeit 8 15 6 15 8 15 8 15
Value 8 10 9 10 8 10 6 10
Das Testfeld
Hierzu wurden Computer Associates, Hewlett-Packard (HP), IBM, Microsoft, Novell, Oracle, und Sun Microsystems eingeladen. Mit drei Ausnahmen - CA, HP und Oracle - waren sie bereit, sich der Herausforderung zu stellen. Und die war nicht ohne: Das Testszenario sah ein fiktives Unternehmen vor, das Microsofts "Active Directory" (AD) als Verzeichnisdienst nutzt. Seine Infrastruktur setzte sich aus "Exchange 2000 Server", einer Linux-basierenden HR-Lösung namens "e-HRMS", der ERP-Lösung "Web ERP" und einigen anderen Komponenten zusammen. Neben der Integration mit diesen Systemen mussten die Anbieter beweisen, dass sie einige typische Aufgaben lösen können. Dazu gehört das Einstellen und Entlassen von Angestellten (mitsamt dem Freischalten beziehungsweise Löschen der jeweils erforderlichen Benutzerrechte) sowie die Akquisition eines anderen Unternehmens samt der in diesem Zusammenhang anstehenden Directory-Migration.
Dabei mussten die Anbieter jeweils ihre IDM-Lösung mit den genannten Komponenten integrieren. Im Prinzip geschah dies, indem sie spezielle Konnektoren benutzten, um die "MySQL"-Datenbank von e-HRMS anzubinden und verschiedene dort vorhandene Datenfelder in den entsprechenden Feldern im AD abzubilden. Hierzu mussten mehrere Regeln für das Format des Benutzernamens, die Stärke der Passwörter und Ähnliches erstellt werden. Nach der Integration aller Systeme war ein Abgleich fällig, um die Daten aus den unterschiedlichen Lösungen mit dem IDM-Server zu synchronisieren. Veränderungen galt es bei Folgeabgleichen zu entdecken, daraufhin mussten unterschiedliche Aktionen im IDM-System ausgelöst werden.
Der "Tivoli Identity Manager 4.6" (TIM) baut hierfür auf spezielle Agenten, die auf jeder zu verwaltenden Komponente installiert werden müssen - von AD-Domain-Controllern über Datenbank- zu Web-Servern und so weiter. Sie sind jedoch verhältnismäßig klein und erfordern nur minimalen Konfigurationsaufwand. Die Integration des AD erledigt IBM mit Hilfe des "Tivoli Identity Integrator" (TDI), einer Java-Anwendung, die sowohl für die anfängliche Integration als auch für die späteren Abgleiche zuständig ist. Der TDI läuft auf Windows und Linux und bietet eine klare Sicht auf alle verwalteten Ressourcen.
Indem man MySQL-Java-Konnektoren mit dem TDI-Tool verbindet und das AD via LDAP anspricht, lassen sich Datenbankfelder schnell auf LDAP-Felder abbilden. Außerdem lassen sich so individuelle Konnektoren erzeugen, die Daten beim Erreichen bestimmter Schwellenwerte, nach einem Zeitplan oder manuell zwischen Datenbank und Verzeichnis hin- und herbewegen. Auch Aufgaben wie das Umformatieren von Telefonnummern oder Geburtsdaten erledigte TDI problemlos. Die Anforderungen des Testszenarios (siehe Kasten "So wurde getestet") erledigte die Lösung insgesamt zufrieden stellend.
Vor dem Einsatz testen
Allerdings fiel das Web-GUI des Tivoli Identity Manager durch einige Schwachstellen auf: Administratoren haben zwar die Möglichkeit, Web-Seiten für Endanwender relativ einfach zu gestalten und zu modifizieren. Bestimmte Aktionen lassen sich jedoch nur ausführen, indem man Javascript-Code in Textfelder eingibt. Das erhöht die Komplexität der Lösung und ist nicht besonders elegant.
Dafür glänzt die Lösung mit einer Simulationsfunktion, die es dem Administrator erlaubt, Regeln auszuprobieren, bevor er sie "scharf" schaltet. Positiv hervorzuheben sind daneben die Workflow-Funktionen: Diese werden über ein Java-Applet grafisch dargestellt. Einzelne Arbeitsschritte lassen sich dabei einfach per Drag and Drop verschieben.
Gesamteindruck: Alles in allem ist Tivoli Identity Manager eine umfassende Lösung zu einem akzeptablen Preis, die ein solides Backend und großartige Integrations-Tools bietet. Allerdings dürfte es ohne externe Hilfe nicht ganz einfach sein, die Lösung in einem produktiven Netzwerk zu implementieren.
Microsoft
Der "Microsoft Identity Integration Server 2003" (MIIS) hebt sich von der Konkurrenz auf zwei Arten ab: Zum einen ist er die preisgünstigste Lösung, zum anderen macht er sich für bestimmte Aufgaben, die andere Produkte alleine lösen, Windows-Funktionen zunutze. Es ist innerhalb von wenigen Minuten möglich, mit Hilfe von "Windows Sharepoint Services" und Active Directory ein firmeninternes Telefonverzeichnis bereitzustellen. Dabei gehörte es zu den Bedingungen, dass bestimmte Angaben nur für die Personalabteilung sichtbar sein dürfen. Hierfür mussten nicht einmal spezielle Berechtigungen definiert werden, weil Sharepoint diese von AD übernehmen kann.
MIIS wurde nur benötigt, um die Self-Service-Funktion für das Zurücksetzen des Passworts bereitzustellen. Anwender konnten damit ihre Passwörter selbst ändern, was anschließend automatisch an alle angeschlossenen Applikationen weitergegeben wurde. Praktisch ist, dass sich dies nicht nur mit den "White Pages" von Sharepoint verbinden lässt, sondern auch mit anderen Windows-basierenden Tools für das Ändern von Passwörtern.
Stolpersteine für Microsoft
Hindernisse stellten jedoch die einzubindenden Linux-Anwendungen dar. Hierzu greift Microsoft auf ein 600 Dollar teures Tool eines Drittherstellers zurück. "Centrify Direct Control" macht aus jedem Linux-System einen AD-Client, der das im Zuge der Authentisierung eines Nutzers ausgestellte Kerberos-Ticket benutzt, um das Einloggen in e-HRMS und Web ERP zu verwalten. Anders als bei Windows-Anwendungen, die Autorisierungen direkt aus Microsofts IDM-System empfangen können, müssen sie für Linux-Applikationen über das Login des Anwenders konfiguriert werden.
Probleme traten ironischerweise im Zuge der Übernahme auf: Die anfänglichen Cross-Domain-Trusts bereiteten mit Hilfe von AD-Tools keine Schwierigkeiten. Die eigentliche Directory-Migration über die "Active Directory Migration Tools" glückte aber erst nach mehreren Anläufen, die die Microsoft-Experten brauchten, um die korrekte Syntax zu finden. Daran zeigte sich, wie viel Spezialwissen die Lösung benötigt. Während es bei den Angeboten von Novell und Sun beispielsweise ausreicht, sich mit der IDM-Lösung selbst auszukennen, verlangt Microsoft Know-how über Active Directory, Exchange und zu Produkten von Drittherstellern. Daraus könnten für Unternehmen zusätzliche Kosten bei der Implementierung entstehen.
Hilfe von Dritten nötig
Die Microsoft-Lösung entdeckte jedoch problemlos das Erstellen eines illegalen Admin-Accounts: Da das Produkt alle Benutzerkonten im Netz kontinuierlich überwacht, fiel diese Aktion sofort auf. Das System deaktiviert das betreffende Konto umgehend. MIIS schaffte es jedoch wiederum nur mit einem zusätzlichen Tool ("Netpro Mission Control for MIIS"), den Administrator hierüber zu benachrichtigen.
Gesamteindruck: Unterm Strich hinterließ Microsofts IDM-Produkt - trotz einiger Inkohärenzen aus administrativer Sicht und der Notwendigkeit, zusätzliche Tools einzubinden - einen guten Eindruck: Alle Aufgaben wurden gelöst, einschließlich der Integration von Lotus Notes. Dieses Ergebnis wird gekrönt von dem günstigen Preis, der die Lösung im Vergleich zu denen von anderen Anbietern zum Schnäppchen macht.
Novell
Novell schickte seinen "Identity Manager 2" ins Rennen(die aktuelle Version 3 wurde erst nach dem Test vorgestellt, Anm. d. Red.), der auf dem Verzeichnis "eDirectory" aufsetzt. Die Lösung verfügt über eine Reihe von wichtigen Funktionen, die man für das Identity-Management benötigt: Passwortverwaltung, rollenbasierendes Provisioning, applikationsübergreifende Anwenderverwaltung, User-Deprovisioning (das Löschen von User-Accounts, Freigaben und Zugriffsrechten) und ein Telefonverzeichnisdienst. Sie unterscheidet sich von den Konkurrenzprodukten zudem durch die besonders durchdachte, intuitiv zu benutzende Oberfläche.
Kommunikation via XML
Die Testaufgaben erledigt das Produkt mit Hilfe mehrerer Komponenten. Während eDirectory und Identity Manager die unterschiedlichen Datenquellen im Unternehmen zusammenführen, sorgen Identity Manager Drivers - dabei handelt es sich im Grunde um Agenten - für das Anbinden und Verwalten von Applikationen. Zwischen dem zentralen Verzeichnis (dem "Identity Vault"), dem Identity Manager und den Applikationen findet der Datenaustausch über XML statt.
Die Implementierung der Novell-Suite verlief reibungslos. Das Erstellen eines Mitarbeiterverzeichnisses gelang dank des Web-basierenden Administrator-Interface schnell und einfach. Beeindruckend ist die Komponente "Designer", eine optionale, aber kostenlose Ergänzung zu Novells IDM-Produkt. Mit dieser auf dem "Eclipse"-Framework basierenden Anwendung können Administratoren die komplette IDM-Installation konfigurieren und sich grafisch anzeigen lassen. Hinzu kommt die Fähigkeit, erstellte Szenarien vor dem tatsächlichen Einsatz zu simulieren. So können Fehler rechtzeitig erkannt und beseitigt werden.
Gesamteindruck:Die Aufgaben des Testlabors erledigte Identity Manager 2 ohne größere Probleme, selbst die z/OS- und Notes-Integration ließ sich über die "iManager"-Konsole steuern. Insgesamt waren die Anforderungen mit der Novell-Lösung am leichtesten zu erfüllen. Nur bei der Akquisition und dem Zusammenführen der beiden Active Directorys musste Novell auf Microsofts AD-Tools zurückgreifen, was jedoch auch bei den anderen Testkandidaten der Fall war. Zu beanstanden ist lediglich, dass zwar die anfängliche Konfiguration über das Web-Frontend geschieht, spätere Überprüfungen jedoch zu großen Teilen direkt über XML-Code erfolgen.
Sun Microsystems
Im Gegensatz zu den bisher vorgestellten Produkten kommt der "Sun Java System Identity Manager 5.5" ohne Agenten aus. Die komplette Suite besteht aus den Komponenten "Access Manager", "Directory Server Enterprise Edition", "Federation Manager", "Identity Auditor", "Identity Manager" und "Identity Manager Service Provider Edition". Für den Test wurden nur einige dieser Anwendungen benötigt.
Bestimmte Aufgaben, etwa die Kommunikation mit Active Directory oder Novells eDirectory, erledigt Sun mit Hilfe von Gateways. Das Prinzip überzeugt, vor allem, weil es keine Eingriffe in die Zielsysteme erfordert. Die Konfiguration der Komponenten des Testumfelds geschah über einen "Resource Wizard", der auf Basis von Suns "Smart-Forms"-Technik arbeitet. Dieser Prozess geriet jedoch dadurch ins Stocken, dass ein Sun-Techniker ein paar Systemeinstellungen nicht hundertprozentig richtig vornahm. Mit dem entsprechenden Hintergrundwissen und ausreichend Sorgfalt sind Smart Forms jedoch eine hilfreiche Methode bei der Konfiguration von Ressourcen oder Regeln und dem Anlegen von Benutzern.
Leichte Aussetzer
Die Implementierung des Sun Identity Manager beginnt mit dem Bestücken des "Virtual Identity Manager" (VIM). Dieser bildet das Herz des gesamten Systems. Um das Active Directory der Musterfirma hierhin zu migrieren, bedurfte es zwar einiger Vorarbeit und Konfiguration, die Übertragung funktionierte jedoch auf Anhieb reibungslos. Danach war es ein Leichtes, ein Mitarbeiterverzeichnis zu erstellen.
Die meisten anschließenden Tests bestand das System störungsfrei. Ein "Activesync"-Feature auf einem separaten "Tomcat"-Server überwacht die einzelnen Zielapplikationen. Änderungen reicht das System sofort weiter. So werden bei einer Einstellung Neueinträge im HR-System automatisch zum VIM und von dort aus an die erforderlichen Endsysteme weitergeleitet. Im Testszenario Firmen-Merger schaffte es Suns Lösung, die Active Directorys ohne die Hilfe der AD-Tools zusammenzuführen. Nur der Umstand, dass einer der Verzeichnisbäume migrationsgeschützte Administratorkonten enthielt, verursachte Aussetzer.
Gesamteindruck:Suns Lösung bietet zudem einen Risikoanalyse-Report, den Anwender für bestimmte Applikationen gesondert abrufen können. Er weist beispielsweise im Active Directory auf verwaiste Konten hin. Anomalien wie das unerlaubte Erstellen eines Administrator-Accounts findet Identity Manager schnell und neutralisiert sie umgehend. Allerdings sucht man auch hier vergeblich nach einer Möglichkeit, sich sofort über so einen Vorfall informieren zu lassen.