Die IT-Architekten in großen Unternehmen kämpfen an vielen Fronten. Insbesondere die heterogene Landschaft von Betriebssystemen, Datenquellen und Anwendungen, die seit Beginn der DV-Dezentralisierung gewachsen sind, bereiten viele technische und organisatorische Probleme. Mit Standards und offenen Architekturen versuchen die Verantwortlichen, eine Integration der verschiedenen Systeme zu erreichen.
Ein Verfahren zur Integration der Benutzer- und Ressourcenverwaltungen sind heute Directory Services. Ziel einer integrierten Benutzerverwaltung ist es dabei, die verschiedenen Konten und Berechtigungen eines Benutzers (Identitäten) logisch zusammenzuführen und einheitlich zu administrieren. Unter einheitlich ist in diesem Zusammenhang nicht die Einführung einer einzigen zentralen Administrationsanwendung oder die Zentralisierung der gesamten Verantwortung für Benutzerverwaltungen zu verstehen. Vielmehr sollen die verschiedenen Benutzerverwaltungen so integriert werden, dass der Aufwand für die Verwaltung insgesamt gesenkt, die Prozesse beschleunigt und das Sicherheitsniveau gesteigert werden können. Für diese Zielsetzung eignen sich Directory Services hervorragend.
Directory Services sind Datenspeicher, die über die standardisierte LDAP-Schnittstelle (LDAP = Lightweight Directory Access Protocol) den Zugriff auf die gespeicherten Informationen ermöglichen. Die Standards für Directory Services (wie X.500, LDAP-Spezifikationen) definieren so eine hierarchische Architektur. Diese ist hervorragend dazu geeignet, einen weltweit einheitlichen Dienst zu realisieren, der den hohen Anforderungen an Sicherheit, Verteilung der Administration, Stabilität und Performance genügt. Die Frage, wie Informationen beispielsweise über Benutzer in diesen Dienst kommen, wird jedoch von den Standards nicht beantwortet. Hier sind Zusatzkomponenten, so genannte Konnektoren, gefragt, die den automatischen Datenfluss zwischen dem Directory Service und anderen Datenquellen sicherstellen. Daraus entsteht dann ein Meta-Directory - die Zusammenfassung von Daten aus unterschiedlichen Quellen zu einem einheitlichen Informationsobjekt, etwa einem Benutzer.
Triebfeder für die Einführung
Beim Directory-Einsatz geht es also nicht nur um die Ablösung der verschiedenen Benutzerverwaltungen und Datenquellen, sondern um die Automatisierung der Datenflüsse, die für die Administrationsprozesse erforderlich sind. Vor allem soll dabei verhindert werden, dass Daten, die immer wieder gespeichert werden - weil sie von allgemeinem Interesse sind - auch x-fach gepflegt werden müssen. Ziel ist es, eine bestimmte Information über einen Benutzer im Unternehmen lediglich einmal zu erfassen. Hierzu bieten die Hersteller heute teilweise über 50 vorgefertigte Konnektoren an, die weit verbreitete Systeme auf Basis eines Directory Service zu einem Meta Directory verbinden.
Die Gründe für die Einführung von Directory Services und Meta Directories sind vielfältig. Es gibt jedoch immer Anwendungen, die ein Directory-Service-Projekt nahe legen. Die wichtigsten Anwendungsgebiete, die Unternehmen heute mit der Einführung der Directory-Technologie unterstützen, sind etwa die Schaffung einer einheitlichen Benutzer- und Ressourcenverwaltung (Identity-Management, E-Provisioning). Ein weiteres Feld sind Sicherheitslösungen wie PKI, Single-Sign-on oder VPNs. Ebenso führt die Implementierung von Portallösungen (Aufbau einer Web-Architektur, Personalisierung von Web-Services) fast zwangsläufig zum Einsatz eines Verzeichnisdienstes. Eine weitere Triebfeder ist die Migration zu Windows 2000 oder Windows .NET.
Die genannte Unterstützung der Benutzer- und Ressourcenverwaltung zielt weitgehend auf eine Vereinfachung und Beschleunigung sicherer Benutzerverwaltungsprozesse ab und damit auf die Kostenreduktion der IT-Administration. Die anderen Anwendungsgebiete setzen dagegen die Definition eines Directory Service voraus. Dies verdeutlicht insbesondere das Beispiel von Microsoft Windows 2000 beziehungsweise Windows .NET: Das Active Directory ist das zentrale Repository für alle Benutzer- und Ressourceninformationen des Windows-Netzwerks.
Kritische Erfolgsfaktoren
Wie bereits erwähnt, ist die Einführung von Directory Services tief in der IT-Infrastruktur verankert. Aus diesem Grunde wird es für einzelne Anwendungsprojekte schwierig, die zusätzlichen Kosten für einen unternehmensweiten Directory Service zu tragen. Die erfolgreiche Finanzierung eines Directory-Projekts setzt daher normalerweise den Nachweis des Nutzens für das gesamte Unternehmen voraus. Im Einzelfall ist der Nutzen zwar oft auch damit erzielbar, dass ein spezieller Directory Service implementiert wird. Aus Sicht des Gesamtunternehmens führt dieser Weg jedoch lediglich zu einer Fortschreibung der bisherigen Strategie heterogener Systeme. Das tatsächliche Nutzenpotenzial der Infrastrukturkomponente Directory Service wird so nicht ausgeschöpft. Die Implementierung und Finanzierung eines Dienstes für Benutzer- und Ressourcenverwaltung sollte deshalb nicht als Einzelprojekt betrachtet werden.
Aufgrund der einschneidenden Änderungen für die IT-Infrastruktur ist es von entscheidender Bedeutung, dass das oberste IT-Management oder der Vorstand ein Directory-Service-Projekt unterstützt. Nur so können die Anforderungen unterschiedlicher Abteilungen, die einen Directory Service benutzen wollen, in ein Gesamtkonzept einfließen. Und erst dann kann zudem die Summe des messbaren Nutzens, etwa durch Kostensenkung der IT-Prozesse sowie Reduzierung von Arbeitsplätzen, und der nicht messbaren Vorteile, beispielsweise Verbesserung der Datenqualität und -aktualität, die Kosten für die Einführung eines unternehmensweiten Directory Service rechtfertigen.
Think big, start small
Es ist beinahe selbstverständlich, dass unternehmensweite Projekte mit langer Laufzeit und hohem Aufwand die Tendenz haben, niemals "fertig" zu werden. Um die Komplexität einer umfassenden Directory-Service-Einführung zu beherrschen, sollte nach dem Motto "Think big, start small" geplant werden. Die Darstellung erster praktischer Fortschritte auf der Basis des Directory Service, und sei es lediglich ein aktuelles korrektes Intranet-Telefonbuch, sind wichtig für Fortführung und Erfolg des Vorhabens.
Ein anderer entscheidender Erfolgsfaktor ist die Zusammensetzung dess Projektteams. In der Praxis hat es sich bewährt, ein Kernteam zu etablieren, dem Mitarbeiter aus IT-Strategie, Organisation und Projekt-Management angehören. Die Abteilungen IT-Administration und Telekommunikation werden je nach Anforderung in den einzelnen Projektphasen zusätzlich hinzugegezogen. Ferner ist die Mitarbeit der Personalabteilung bei der erfolgreichen Realisierung einer umfassenden Benutzerverwaltung unverzichtbar. Sie ist nämlich im eigentlichen Sinne der Dateneigentümer vieler Mitarbeiterinformationen, also der Besitzer von Daten, ohne die ein Directory-Projekt nicht erfolgreich umzusetzen ist. Weiterhin sollte die Einbeziehung des Datenschutzbeauftragten sowie des Betriebsrates frühzeitig erfolgen, da in einem Directory, wie oben dargestellt, personenbezogene Informationen verarbeitet werden.
In dezentral organisierten Unternehmen lauert bei der Durchsetzung organisatorischer Änderungen auf Basis einer neuen Infrastruktur noch ein anderes Problem: Für einzelne Bereiche ist die zusätzliche Belastung durch die Projektmitarbeit oft nicht durch einen entsprechenden Nutzen zu rechtfertigen. Hier liegt die Hauptaufgabe der Projektleitung in der Koordination der verschiedenen Anforderungen sowie der Durchsetzung des strategischen Zieles und einem vernünftigen Personal-Management im Rahmen des Projekts.
Neben diesen organisatorischen Hürden sind noch einige praktische Schwierigkeiten zu meistern. So wird etwa der Arbeitsaufwand für die Vorbereitung jener Datenquellen, die Informationen zu einem zentralen Directory Service beisteuern sollen, stark unterschätzt. Die automatisierte Zusammenführung von Daten zu einem Objekt im Directory Service setzt nämlich voraus, dass eine eindeutige Identifizierung der relevanten Informationen in den Datenquellen möglich ist. In der Praxis sind die Namenskonventionen in den aktuellen Datenquellen, sprich Anwendungen, alles andere als standardisiert. Die Identität des Benutzers Karl Schmid stellt sich beispielsweise in Windows als "kschmid", in SAP als "KASCHMID", im Intranet als "Karl Schmid" und im RACF als "U009484" dar. Ein einheitliches Namenskonzept beziehungsweise die Schaffung einer einheitlichen Benennung der Benutzeridentitäten in den betreffenden Systemen ist also eine Voraussetzung für ein erfolgreiches Directory-Projekt.
Konnektoren helfen nur bedingt
Auf den ersten Blick versprechen die von den Directory-Herstellern angebotenen Konnektoren bei der Zusammenführung von Informationen aus bestehenden IT-Systemen in einem Meta Directory eine erhebliche Arbeitserleichterung. Die praktische Erfahrung hat jedoch gezeigt, dass diese kaum out of the box einsetzbar sind. Letztlich muss für jeden einzelnen Konnektor im speziellen Anwendungsfall die Entscheidung "make or buy" getroffen werden. Hierbei spielen insbesondere der Realisierungsaufwand und die hausinternen Regeln für die Anwendungsentwicklung eine entscheidende Rolle.
Vor der Planung eines Directory-Projekts sollte zudem ein Augenmerk der künftigen Unternehmensstrategie in Sachen Microsoft-Betriebssysteme gelten. Eine geplante Einführung von Windows 2000 oder Windows .NET hat nämlich direkte Auswirkungen, da der von Microsoft mitgelieferte Verzeichnisdienst Active Directory ein Bestandteil eines unternehmensweiten Directory Service sein muss. In vielen Fällen werden die spezifischen Anforderungen der Microsoft-Infrastruktur die Verwendung des Active Directory als Basis eines allgemeinen unternehmensweiten Directory Service nicht zulassen. Dennoch sollten die hier gespeicherten Benutzerinformationen in ein Meta Directory integriert werden.
Fazit
Die Einführung eines unternehmensweiten Verzeichnisdienstes ist vor allem eine strategische und organisatorische Herausforderung. Die technischen Problemstellungen hingegen sind mit Standardprodukten oder eigenen Entwicklungen lösbar. Langfristig birgt die Investition in die Technologie auf jeden Fall ein hohes Nutzenpotenzial für jedes größere Unternehmen. Werden einige wichtige Grundregeln beachtet, sind Directory Services tatsächlich in der Lage, kleine Wunder in der IT-Landschaft zu vollbringen. (hi)
*Erich Vogel ist Senior-Consultant für Directory Services bei GE Compunet in Frankfurt am Main.
Abb.1: Einsatzpotenzial
Ziel einer integrierten Benutzerverwaltung ist es, die verschiedenen Identitäten eines Benutzers zusammenzuführen. Quelle: Vogel
Abb.2: Zugriffsverfahren
LDAP hat sich als De-facto-Standard zum Zugriff auf Directory-Informationen etabliert. Quelle: Vogel