Kosten senken mit Identity-Management

18.11.2005
Von Martin Seiler
Firmenübernahmen, Mitarbeiterfluktuation und andere Personalverschiebungen stellen die IT-Administration in Sachen Benutzerverwaltung vor große Herausforderungen. Das Interesse an unterstützenden Identity-Management-Systemen wächst.

Nicht erst seit gestern redet die Fachwelt über die Vorteile von Identity-Management- (IDM-)Systemen in Unternehmen. Ihr Zweck ist die Vielzahl der Kennungen und personenbezogenen Informationen, die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen. Das kann etwa mit Hilfe von zentralen Meta-Directorys oder Virtual Directorys geschehen, die unterschiedliche Ressourcen beziehungsweise Anwenderdatenbanken miteinander verbinden oder aber untereinander abgleichen.

Hier lesen Sie ...

  • warum Identity-Management zu den Kernthmen der IT in Unternehmen gehört;

  • welche Trends die IDM-Diskussion dominieren;

  • welche Erfahrungen Anwender mit IDM-Lösungen gemacht haben;

  • wie Unternehmen vorgehen sollten, die IDM einführen wollen.

Das hört sich einfacher an, als es in der Praxis ist, was nicht zuletzt auch an den unterschiedlichen Teildisziplinen liegt, die ein umfassendes IDM ausmachen: Dazu gehören unter anderem Zugangskontrolle, Provisioning, Synchronisierung, Berechtigungs- und Passwort-Management, Föderation (englisch Federation), Auditing sowie Compliance. Daneben wächst die Komplexität eines IDM-Projekts mit der Zahl der davon betroffenen Anwender, vor allem aber der anzubindenden Anwendungen und Systeme.

Gründe für IDM

Dafür winken im Fall einer erfolgreichen Implementierung aber einige Vorteile: Unternehmen profitieren vor allem durch mehr Sicherheit und einfachere Benutzerverwaltung. Idealerweise muss ein Mitarbeiter beim Eintritt in die Firma dann nur noch einmal, beispielsweise innerhalb des HR-Systems, angelegt werden: Das Freischalten eines Mail-Accounts, der Benutzerkonten für Anwendungen sowie die Vergabe der Berechtigungen auf den für ihn relevanten Systemen sollten dann automatisch geschehen.

Lösungen für das Identity-Management (Auswahl)

Anbieter/Produkte

Komponenten

Management-Konsole

unterstützte Datenbank-Server

unterstützte Directory-Server

unterstützte E-Mail/Groupware-Server

IBM Tivoli Identity Manager 4.6

Tivoli Identity Manager, Tivoli Directory Integrator

Linux,Netware, Windows, Unix

DB2,Oracle, SQL Server

Active Directory,Sun One, Tivoli Directory Server

Domino, Exchange, alle SMTP

Microsoft Identity Integration Server 2003

MIIS, Active Directory, SQL Server,Windows Sharepoint Services

Windows

DB2,Oracle, SQL Server, andere

Active Directory,IBM, LDAP, Novell, Sun/iPlanet, Windows NT Domänen

Exchange, Groupwise, Notes, andere

Novell Identity Manager 2

Identity Manager, Designer, eDirectory, Apache Web Server, Tomcat Application Server

Windows

SQL Server

Active Directory, eDirectory, LDAP, Win SAM

Exchange, Groupwise, Notes, andere

Sun Java System Identity Manager 5.5

Sun Identity Manager, Sun Directory, Sun Webserver, Tomcat Application Server

Web-basierend

DB2,MySQL, Oracle, SQL Server, Sybase

AD, eDirectory, Java System Directory, LDAP, NDS, Oracle Internet Directory

Exchange, Groupwise, Notes

Ähnlich verhält es sich, wenn der Mitarbeiter in eine andere Abteilung wechselt oder das Unternehmen verlässt. In einem solchen Fall bedarf es nur noch einer einmaligen Änderung, damit bisherige Berechtigungen ihre Gültigkeit verlieren. Verwaiste Benutzerkonten, die ein Angreifer für seine Zwecke missbrauchen könnte, gehören damit der Vergangenheit an. Der Mitarbeiter selbst freut sich, weil er sich dank Single- oder Simplified-Sign-on weniger Kennungen merken muss und schneller Berechtigungen erhält, wenn sich seine Funktion ändert.

Das alles spart Geld: Unter anderem deswegen, weil weniger Anfragen beim Helpdesk eingehen, um vergessene Passwörter zurücksetzen zu lassen. Gerade das kann nämlich schnell teuer werden: Wie Fred Danback, Vice President Global Technological Architecture beim Fianzdienstleister XL Capital berichtet, entstanden seinem Unternehmen bei insgesamt 3500 Mitarbeitern pro Jahr Kosten in Höhe von 420 000 Dollar aufgrund derartiger Probleme. Dank IDM lassen sich solche Anfragen und die damit verbundenen Ausgaben drastisch reduzieren. Zusätzlich kann eine solche Lösung aber beispielsweise auch dazu benutzt werden, um den Anwendern die Möglichkeit einzuräumen, ihre Passwörter bei Bedarf selbst zurückzusetzen.

Angesichts solcher Vorteile ist es kein Wunder, dass immer mehr Unternehmen sich für IDM interessieren. "Firmen entdecken die Identität" prognostizierte die Stuttgarter Marktanalysefirma Kuppinger Cole + Partner Anfang des Jahres in ihrer Studie "Identity-Management-Trends 2005": Das Thema werde sich zum "Kernelement jeder IT-Strategie" entwickeln.

Dass IDM gerade jetzt noch stärker in das Blickfeld von Unternehmen rückt, liegt nach Meinung von Jamie Lewis, CEO und Analyst bei der Burton Group, in erster Linie an der Compliance-Problematik: "Die Notwendigkeit, gesetzliche Auflagen zu erfüllen, treibt die meisten Unternehmen zur Einführung einer IDM-Lösung", berichtet der Experte. Häufig gehöre es zu den Anforderungen, zu belegen, welche Mitarbeiter wann (und womöglich wie lange) Zugriff auf welche Informationen und Ressourcen hatten. Fragen wie diese ließen sich mit einem zentralen IDM-System beantworten.

Suite oder Nischenprodukt?

Neben einer ganzen Reihe von Anbietern, die sich auf Teilaspekte des Identity-Managements konzentrieren, offerieren einige Hersteller inzwischen aber auch IDM-Komplettlösungen. Hier sind etwa Computer Associates, BMC, Novell, IBM, Sun, Siemens, Oracle, Microsoft, Courion oder Sun zu nennen. Sie versprechen Anwendern Vereinfachungen und Kosteneinsparungen durch übergreifende Administration, bessere Integration und optimierte Workflows. Mike Neuenschwander, Research Director bei der Burton Group, warnt jedoch, dass die Realität häufig anders aussehe: Man dürfe nicht davon ausgehen, dass Produkte wirklich komplett integriert sind, nur weil sie von ein und demselben Hersteller stammen. IDM-Suiten seien jedoch "einfacher und günstiger zu implementieren".

Das belegt auch ein Test der IDG-Labors, bei dem mehrere IDM-Lösungen auf Herz und Nieren getestet wurden. Zwar gab es durchaus Kritikpunkte, insgesamt schnitten IBMs "Tivoli Identity Manager 4.6", Microsofts "Identity Integration Server 2003", Suns "Java System Identity Manager 5.5" und Novells "Identity Manager 2" jedoch recht gut ab (siehe Tabelle).