Administration von Benutzerdaten ist nicht trivial und erfordert in Unternehmen einigen Zeit- und Kostenaufwand. Neue, auf diesen Daten aufbauende Services sind nur mit hohem Aufwand zu realisieren. IT-Verantwortliche schrecken zudem vor mangelnder Flexibilität und steigenden Betriebskosten zurück, die aus den für das Management der verschiedenen Benutzer- und auch Geräteabhängigkeiten benötigten Prozesse und Technologien resultieren. Zudem erhöhen Internet-basierende Partner- und Kundenbeziehungen die benutzerbezogenen Datenmengen noch weiter, sodass zusammen mit denen der eigenen Mitarbeiter schnell mehrere Zehnmillionen Einträge erreicht sind.

Die Lösung für dieses Problem ist ein umfassendes Network-Identity-Management, das Identitäten von Services trennt. Vereinfacht dargestellt ist eine Network Identity ein vertrauenswürdiger elektronischer Datensatz, der abhängig von der jeweiligen Rolle die Identität, das Profil, Attribute, Privilegien sowie die Rechte und Ansprüche einer Person, eines Unternehmens oder sogar eines Gerätes beschreibt. In der grundlegenden Form enthält sie Attribute wie Name, E-Mail-Adresse, Login-ID und Passwort. Die Nutzung von E-Commerce-Services macht darüber hinaus das Hinterlegen sensibler Daten wie Kreditkartennummer und Bankverbindung erforderlich. Authentifizierungsmechanismen, die sicherstellen, dass die Person auch diejenige ist, für die sie sich ausgibt, sowie die Autorisierung, die nach erfolgter Authentifizierung den Zugriff auf Services gemäß Rolle oder definierten Regeln steuert, runden das Konzept der Network Identity ab.

Network-Identity-Management beschreibt eine Software-Infrastruktur sowie entsprechende Geschäftsprozesse, die für das Ma-nagement der Netzwerkidentitäten in Web-Umgebungen notwendig sind. Die Erweiterung der bestehenden Infrastruktur zu einem umfassenden System für Network-Identity-Management bringt die verstreuten Identitätsdaten zusammen und schließt dabei Sicherheitslücken. Dies wirkt sich in zweifacher Hinsicht positiv aus: Die Beziehungen zu den Mitarbeitern, Partnern und Kunden werden wesentlich produktiver, die Kosten geringer und die Prozesse schlanker.

Aus One-to-One wird Föderation

Wie viele Technologien und Strategien entwickeln sich auch Architekturen für Network-Identity-Management evolutionär in mehreren Stufen. Jede einzelne Phase baut dabei auf der vorangegangenen auf, und die Umgebungen praktisch aller Unternehmen befinden sich gegenwärtig auf einer dieser Evolutionsstufen.

Die vier Stufen der Network-Identity-Evolution lassen sich folgendermaßen beschreiben:

- Stufe 1: Mehrere direkte und exklusive Beziehungen

Diese einfachste Form des Identitäts-Managements ist gleichzeitig die heute am weitesten verbreitete. Dabei hat der Benutzer beziehungsweise das Unternehmen eine diskrete Eins-zu-Eins-Beziehung mit Service-Providern, Händlern und Partnern und muss folglich für jede Beziehung separate Profile anlegen und verwalten. Dieses Szenario unterstützt daher kaum komplexe, in Wechselwirkung stehende Services.

Wer das Internet in seiner ganzen Bandbreite nutzt, dem dürfte diese Problematik bekannt sein: Vom Online-Kauf über die Teilnahme an einer Auktion bis hin zum Versenden einer Nachricht über einen Free-Mail-Account ist eine separate Registrierung beim jeweiligen Provider nötig, die zum Teil sogar das Hinterlegen sensibler Daten wie Kreditkartennummer erfordert.

- Stufe 2: Identity Linking mit gegenseitiger Zustimmung

In dieser Stufe werden Identitätsinformationen von mehreren Service-Providern gemeinsam genutzt, wenn Endbenutzer und beteiligte Provider zustimmen. Dennoch benötigt jeder der Service-Provider weiterhin ein eigenes Identitätsprofil des Kunden. Kunden haben also immer noch direkte Beziehungen zu den Providern, werden aber über Angebote anderer Provider informiert. So kann man beispielsweise bei der Online-Buchung eines Fluges zwar Informationen über die Konditionen eines Autoverleihs erhalten, nicht jedoch direkt ein Auto mieten.

- Stufe 3: "Circle of Trust"

Diese Phase ist durch den Aufbau eines "Circle of Trust" gekennzeichnet, in dem sich die Benutzer und Service-Provider auf so genannte Identity-Provider als zuverlässige und integre Provider für Benutzerdaten und die Authentifizierung stützen. Service-Provider, Identity-Provider und Konsument einigen sich auf ein Protokoll, das die Kontrolle über die Identitätsdaten von deren Gebrauch trennt. Sie interagieren so in einem diskreten Netzwerk, dem "Circle of Trust". Der Konsument kann dabei als Identity-Provider eine Organisation seines Vertrauens wählen, beispielsweise die Bank. Unabhängig davon, wer die Identitätsdaten verwaltet, behält der Konsument immer die Kontrolle darüber, wer Zugriff auf die Daten hat. Der Circle of Trust bildet die Grundlage für födera-tive Network Identity.

Im obigen Beispiel ermöglicht der Kunde dem Reiseanbieter die automatisierte Bezahlung der Flugtickets über die Bank als Identity-Provider. Allerdings wird die Bank vertrauliche Profildaten über den Kunden keinesfalls preisgeben.

- Stufe 4: Föderative Network Identity Services

Hier findet man ein föderatives Netzwerk von Trust-Circles, in dem Identitätsinformationen zwischen "trusted" Network-Identity-Providern geteilt werden. Nutzer können diesen Circles of Trust beitreten, um auf gewünschte Services zuzugreifen, ohne sich jeweils neu authentifizieren zu müssen. Föderative Network Identity gewährleistet, dass Identitäten dezentral verwaltet und gespeichert werden und bei einer Instanz verbleiben, der die Nutzer vertrauen. Informationsaustausch findet nur zum Zeitpunkt einer Geschäftstransaktion statt. Verglichen mit Stufe 3 ergibt sich durch die föderative Verbindung der einzelnen Trust-Circles ein höherer Nutzen für die Anwender: Der Beispielkunde hat nun die Möglichkeit, Literatur über sein Reiseziel zu bestellen, am Zielort eine Restaurantreservierung durchzuführen und die Zahlung des Hotels über seinen Kreditkarten-Provider zu arrangieren.

In diesem föderativen Modell hat ein Konsument bzw. eine Organisation eine einzige Identität, aber mehrere Profile (Rollen). Die Bank verwaltet ein Profil, die Versicherung ein anderes und das Reisebüro wiederum ein anderes Profil des gleichen Anwenders. Im Rahmen des Circle of Trust haben sich alle Beteiligten beispielsweise auf den für das Bezahlen einer Reisebuchung notwendigen Datenaustausch geeinigt. Während wichtige Identitätsdaten gemeinsam benutzt werden, bleiben die Profile diskret.

Aufbau von Network Identity Management

Unternehmer sollten sich bewusst sein, dass umfassendes Network-Identity-Management weder eine schlüsselfertige Lösung noch ein einfaches Bundling von Produkten ist. Es bedarf gründlicher Vorbereitung sowie der Bereitstellung und Implementierung von aufeinander aufbauenden Technologien.

Sun Microsystems beispielsweise hat einen sechsstufigen Plan zum langfristigen Aufbau einer föderativen Network-Identity-Umgebung entwickelt. Der gesamte Prozess ist dabei als Evolution zu verstehen.

- Schritte 1 und 2: Trusted Network Identity Infrastructure

Hier wird die Grundlage für die Infrastruktur wie Directory Services, Policy-Management und Zugriffssteuerung gelegt. Ohne diese Ressourcen sind keine Network-Identity-Anwendungen der nächsten Stufe möglich.

- Schritte 3 bis 5: Trusted Network Identity Services

In dieser Phase werden identitäts- und rollenbasierende Services implementiert, wodurch höhere Sicherheit und zuverlässiges Transaktions-Management gewährleistet werden kann.

- Schritt 6: Föderative Network Identity Services

In der dritten Phase werden interoperable Identity-Services und Transaktionen über ein Netzwerk von Partnern und Authentifizierungs-Provider bereitgestellt, die kontrollierten Zugriff auf Services bieten.

Föderative Network-Identity-Umgebungen bieten mehr Schutz gegen Hacker-Attacken und damit auch gegen Datenmissbrauch als die zentralen Modelle. Realisiert werden können sie allerdings nur auf Basis offener Standards. Um diese in einem offenen Standardisierungsprozess zu erarbeiten und zu definieren, hat Sun gemeinsam mit einer Reihe führender Unternehmen verschiedenster Branchen die Liberty Alliance gegründet.

Um künftig alle Vorteile aus dem, was Internet-basierende Systeme und Transaktionen versprechen, ziehen zu können, ist es notwendig, das bestehende Informationskapital (Information Assets) zu schützen und sichere Verbindungen zu den eigenen Mitarbeitern wie auch Partnern, Zulieferern und Kunden aufzubauen. Network Identity ist die Fusion von Identitätsverwaltung, Netzwerksicherheit, Authentifizierung und Autorisierung, Zugriffssteuerung, Single-Sign-on-Technolo-gien und Web-Services-Bereitstellung, innerhalb wie außerhalb des Unternehmens gleichermaßen. Besonders in unternehmenskritischen Umgebungen steht und fällt das Konzept der Web-Services mit dem Vertrauen der Geschäftspartner in den sorgfältigen Umgang mit sensiblen Daten. Und dies kann nicht ohne sicheres Network-Identity-Management gewährleistet werden. (wm)

*Frank Issing ist Product Marketing Manager Sun One bei Sun Microsystems.

Angeklickt

Das Liberty Alliance Project ist eine Organisation für die Entwicklung einer offenen, gemeinschaftlichen Identitäts-Lösung mit Single-Sign-on für die digitale Wirtschaft über jedes beliebige mit dem Internet verbundene Gerät. Eines der Ziele der Vereinigung besteht darin, dem Einzelkunden Komfort, Auswahl und Kontrolle zu ermöglichen. Die Allianz strebt dabei einen universellen, offenen Standard für Single-Sign-on an, der es dem Benutzer ermöglicht, sich einmal anzumelden und damit die Berechtigung für eine Vielzahl von Diensten zu erhalten, auch wenn diese Dienste von verschiedenen Unternehmen angeboten werden.

www.projectliberty.org