Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.11.2005

Kosten senken mit Identity-Management

Die Benutzerverwaltung hat sich für viele IT-Administratoren zu einer komplexen Aufgabe entwickelt. Das Interesse an unterstützenden Identity-Management-Systemen wächst.
Die wichtigsten Disziplinen des Identity-Managements aus Sicht von BMC.
Die wichtigsten Disziplinen des Identity-Managements aus Sicht von BMC.

Nicht erst seit gestern redet die Fachwelt über die Vorteile von Identity-Management- (IDM-)Systemen in Unternehmen. Ihr Zweck ist die Vielzahl der Kennungen und personenbezogenen Informationen, die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen. Das kann etwa mit Hilfe von zentralen Meta-Directorys oder Virtual Directorys geschehen, die unterschiedliche Ressourcen beziehungsweise Anwenderdatenbanken miteinander verbinden oder aber untereinander abgleichen.

Fazit

Eine einheitliche Benutzerkennung der Mitarbeiter kann Vorteile im Hinblick auf Provisioning, Passwort-Management und Sicherheit bringen und zudem Kosten senken. Die digitale Vereinheitlichung der Kennungen fällt allerdings je nach der Zahl der einzubindenden Systeme langwierig aus. Es empfiehlt sich daher, schrittweise vorzugehen und beispielsweise mit der Realisierung von Single-Sign-on zu beginnen.

Hier lesen Sie …

• warum Identity-Management zu den Kernthemen der IT in Unternehmen gehört;

• welche Trends die IDM- Diskussion dominieren;

• welche Erfahrungen Anwender mit IDM-Lösungen gemacht haben;

• wie Unternehmen vorgehen sollten, die IDM einführen wollen.

Mehr zum Thema

www.computerwoche.de/go/

540285: Klare Sicht auf digitale Identitäten;

535690: Identitäten im Web;

556480: Identity-Management im Aufwind;

556653: Identity-Management wird zur Chefsache.

Lösungen für das Identity-Management (Auswahl)

Anbieter/Produkte Komponenten Management- unterstützte unterstützte unterstützte E-Mail/ Konsole Datenbank-Server Directory-Server Groupware-Server

IBM Tivoli Identity Tivoli Identity Manager, Linux, Netware, DB2, Oracle, Active Directory, Sun One, Domino, Exchange, Manager 4.6 Tivoli Directory Integrator Windows, Unix SQL Server Tivoli Directory Server alle SMTP

Microsoft Identity MIIS, Active Directory, Windows DB2, Oracle, Active Directory, IBM, Exchange, Integration SQL Server, Windows SQL Server, LDAP, Novell,Sun/iPlanet, Groupwise, Server 2003 Sharepoint Services andere Windows NT Domänen Notes, andere

Novell Identity Identity Manager, Designer, Windows SQL Server Active Directory, Exchange, Groupwise, Manager 2 eDirectory, Apache Web Server, eDirectory, LDAP, Notes, andere Tomcat Application Server Win SAM

Sun Java System Sun Identity Manager, Sun Web-basierend DB2, MySQL, AD, eDirectory, Java System Exchange, Identity Manager 5.5 Directory, Sun Web server, Oracle, SQL Server, Directory, LDAP, NDS, Groupwise, Notes Tomcat Application Server Sybase Oracle Internet Directory

Das hört sich einfacher an, als es in der Praxis ist, was nicht zuletzt auch an den unterschiedlichen Teildisziplinen liegt, die ein umfassendes IDM ausmachen: Dazu gehören unter anderem Zugangskontrolle, Provisioning, Synchronisierung, Berechtigungs- und Passwort-Management, Föderation (englisch Federation), Auditing sowie Compliance. Daneben wächst die Komplexität eines IDM-Projekts mit der Zahl der davon betroffenen Anwender, vor allem aber der anzubindenden Anwendungen und Systeme.

Gründe für IDM

Dafür winken im Fall einer erfolgreichen Implementierung aber einige Vorteile: Unternehmen profitieren vor allem durch mehr Sicherheit und einfachere Benutzerverwaltung. Idealerweise muss ein Mitarbeiter beim Eintritt in die Firma dann nur noch einmal, beispielsweise innerhalb des HR-Systems, angelegt werden: Das Freischalten eines Mail-Accounts, der Benutzerkonten für Anwendungen sowie die Vergabe der Berechtigungen auf den für ihn relevanten Systemen sollten dann automatisch geschehen.

Ähnlich verhält es sich, wenn der Mitarbeiter in eine andere Abteilung wechselt oder das Unternehmen verlässt. In einem solchen Fall bedarf es nur noch einer einmaligen Änderung, damit bisherige Berechtigungen ihre Gültigkeit verlieren. Verwaiste Benutzerkonten, die ein Angreifer für seine Zwecke missbrauchen könnte, gehören damit der Vergangenheit an. Der Mitarbeiter selbst freut sich, weil er sich dank Single- oder Simplified-Sign-on weniger Kennungen merken muss und schneller Berechtigungen erhält, wenn sich seine Funktion ändert.

Das alles spart Geld: Unter anderem deswegen, weil weniger Anfragen beim Helpdesk eingehen, um vergessene Passwörter zurücksetzen zu lassen. Gerade das kann nämlich schnell teuer werden: Wie Fred Danback, Vice President Global Technological Architecture beim Fianzdienstleister XL Capital berichtet, entstanden seinem Unternehmen bei insgesamt 3500 Mitarbeitern pro Jahr Kosten in Höhe von 420000 Dollar aufgrund derartiger Probleme. Dank IDM lassen sich solche Anfragen und die damit verbundenen Ausgaben drastisch reduzieren. Zusätzlich kann eine solche Lösung aber beispielsweise auch dazu benutzt werden, um den Anwendern die Möglichkeit einzuräumen, ihre Passwörter bei Bedarf selbst zurückzusetzen.

Compliance als Treiber

Angesichts solcher Vorteile ist es kein Wunder, dass immer mehr Unternehmen sich für IDM interessieren. "Firmen entdecken die Identität" prognostizierte die Stuttgarter Marktanalysefirma Kuppinger Cole + Partner Anfang des Jahres in ihrer Studie "Identity-Management-Trends 2005": Das Thema werde sich zum "Kernelement jeder IT-Strategie" entwickeln.

Dass IDM gerade jetzt noch stärker in das Blickfeld von Unternehmen rückt, liegt nach Meinung von Jamie Lewis, CEO und Analyst bei der Burton Group, in erster Linie an der Compliance-Problematik: "Die Notwendigkeit, gesetzliche Auflagen zu erfüllen, treibt die meisten Unternehmen zur Einführung einer IDM-Lösung", berichtet der Experte. Häufig gehöre es zu den Anforderungen, zu belegen, welche Mitarbeiter wann (und womöglich wie lange) Zugriff auf welche Informationen und Ressourcen hatten. Fragen wie diese ließen sich mit einem zentralen IDM-System beantworten.

Neben einer ganzen Reihe von Anbietern, die sich auf Teilaspekte des Identity-Managements konzentrieren, offerieren einige Hersteller inzwischen aber auch IDM-Komplettlösungen. Hier sind etwa Computer Associates, BMC, Novell, IBM, Siemens, Oracle, Microsoft, Courion oder Sun zu nennen. Sie versprechen Anwendern Vereinfachungen und Kosteneinsparungen durch eine übergreifende Administration, bessere Integration und optimierte Workflows. Mike Neuenschwander, Research Director bei der Burton Group, warnt jedoch, dass die Realität häufig anders aussehe: Man dürfe nicht davon ausgehen, dass Produkte wirklich komplett integriert sind, nur weil sie von ein und dem- selben Hersteller stammen. IDM-Suiten seien jedoch "einfacher und günstiger zu implementieren".

Gute Noten für Suiten

Das belegt auch ein Test der IDG-Labors, bei dem mehrere IDM-Lösungen auf Herz und Nieren getestet wurden. Zwar gab es durchaus Kritikpunkte, insgesamt schnitten IBMs "Tivoli Identity Manager 4.6", Microsofts "Identity Integration Server 2003", Suns "Java System Identity Manager 5.5" und Novells "Identity Manager 2" jedoch recht gut ab (siehe Tabelle).

Allerdings werden in der Praxis eher selten auf einen Schlag umfassende Lösungen realisiert, die sämtliche IDM-Disziplinen abdecken. Meist beginnen Anwender mit der Implementierung einzelner Aspekte. Das hängt mit der bereits erwähnten Komplexität von IDM zusammen, weswegen die Einführung eines umfassenden Systems sehr langwierig und kostspielig sein kann. Besonders wenn proprietäre Anwendungen mit jeweils eigenen Datenbanken und Zugriffsbeschränkungen vorhanden sind, droht die Einführung "schwierig und teuer" zu werden, warnt Toby Weir-Jones, Director für Product-Manager bei dem Sicherheitsunternehmen Counterpane Internet Security. Aus diesem Grund empfiehlt es sich, schrittweise vorzugehen und IDM-Funktionen nach und nach einzuführen.

So geschehen etwa bei Capital XL: Nach einer Phase der Expansion war das Unternehmen an einem Punkt angelangt, an dem an 100 Standorten in über 30 Ländern 3500 Mitarbeiter von 17 IT-Organisationen betreut wurden. Es gab keinen einheitlichen Standard für die Vergabe von Benutzernamen, über 40 E-Mail-Domänen, sechs Notes-Domänen, viele Exchange-Organisationen und 250 Domino-Applikationen. Dazu kamen Dutzende selbst entwickelter Anwendungen, die eine Authentifizierung verlangten.

Um das Chaos wieder in den Griff zu bekommen, entschied sich das Unternehmen zunächst dazu, einheitliche und eindeutige Kennungen für alle Benutzer zu entwickeln und ein gemeinsames Directory zu schaffen. Als nächstes folgte ein Meta-Directory, das mit Hilfe von Management-Agenten an die unterschiedlichen Anwendungen angebunden wurde. Damit einhergehend führte das Unternehmen einfache Workflows ein, um Accounts freizuschalten beziehungsweise zu löschen.

Das Ziel heißt Federation

Erst danach gingen die Experten daran, mit Hilfe von RSAs "Cleartrust" Simplified-Sign-on (SSO) für Web- und Windows-Applikationen einzuführen. Dazu identifizierten sie diejenigen Anwendungen, die bereits Microsofts Integrated Windows Authentication (IWA) unterstützte. Außerdem wurde eine Web-SSO-Lösung implementiert, um die Notwendigkeit des Logins beim Zugriff auf interne Web-Anwendungen zu beseitigen. "Wir konnten auf diese Weise 134 Anwendungen quasi im Handumdrehen SSO-fähig machen", freut sich Manager Danback. Jetzt ist das Unternehmen dabei, eine Federation-Strategie zu entwickeln, um über die eigenen IT-Grenzen hinweg Partner und Kunden in den Verbund integrieren zu können. Damit widmet sich XL Capital einem der derzeit wichtigsten Trends im Bereich IDM. Vereinfacht gesprochen geht es dabei um die Möglichkeit, unterschiedliche IDM-Systeme miteinander zu integrieren, so dass Anwender nach einer einmaligen Anmeldung an einem der beteiligten Systeme anschließend auch gegenüber anderen identifiziert sind und entsprechend der für sie geltenden Berechtigungen automatisch Zugriff auf IT-Ressourcen erhalten. Diese Funk- tion ist besonders für Unternehmen interessant, die Partner, Zulieferer oder Kunden an ihre IT anbinden wollen. Dazu bil- den sie mit diesen so genannte Circles of Trust.

Die praktische Umsetzung kann mit Hilfe verschiedener Techniken erfolgen: Zur Wahl stehen etwa die von der Liberty Alliance entwickelte Security Assertion Markup Language (SAML) oder die von Microsoft und IBM vorangetriebenen "WS-*"-Protokolle (darunter fallen unter anderem WS-Federation und WS-Trust). Lange Zeit herrschte Unklarheit, welche Technik sich letztlich durchsetzt beziehungsweise ob ein reibungsloses Zusammenspiel verschiedener Verfahren möglich ist. Diese Sorgen rücken jetzt in den Hintergrund: So belegte im Sommer dieses Jahres eine auf Initiative von Burton veranstaltete "Interoperability Demo", an der 14 Anbieter teilnahmen, dass Federation auch über Herstellergrenzen und verschiedene Standards hinweg funktioniert.

Drei unterschiedliche Szenarien sind denkbar, die entweder einen Multiprotokoll-Hub, einen Protokollübersetzer oder eine auf der WS-Trust-Spezifikation von IBM und Microsoft basierende Integrationstechnik namens Security Token Server (STS) erfordern. Der Hub sitzt auf einer Seite der Kommunikation und versteht alle Protokolle. Im Gegensatz dazu befindet sich der Protokollübersetzer zwischen zwei Partnern und wandelt die Protokolle jeweils für den anderen um. Der STS schließlich ist ein abgespecktes Gateway, das sich innerhalb der Netze der beiden Partner befindet und für den Protokollaustausch und die Umsetzung in verschiedene Formate zuständig ist.

Dan Blum, einer der Organisatoren der Interoperability Demo, sieht das positive Ergebnis als Zeichen dafür, dass Anwender jetzt anfangen könnten, Techniken wie WS-* oder Security Assertion Markup Language (SAML) einzuführen. Sein Kollege Gerry Gebel empfiehlt Unternehmen, die an die Implementierung eines IDM-Systems denken, sich frühzeitig mit Federation auseinander zu setzen, da ein späteres Nachrüsten teuer sei.

Windows vereinfacht IDM

Microsoft will das Thema mit dem bevorstehenden Release 2 von "Windows Server 2003" aufgreifen. Nach Angaben von Kim Cameron, Identity Architect bei dem Hersteller, wird die Server-Software eine Funktion namens Active Direction Federation Services (ADFS) enthalten. Damit soll es möglich sein, Federation zu nutzen, ohne sämtliche im Unternehmen laufenden Server umzurüsten. Das Metasystem arbeite auch mit Liberty zusammen, so Cameron.

Bedarf an Integration

Obwohl die Burton Group Federation als "sehr vielversprechend" einstuft, gibt es weltweit bislang erst wenige hundert derartige Verbünde. Der Bedarf an Integration zwischen Unter- nehmen nimmt laut Burton jedoch weiter zu und treibt damit auch das Thema der Föderation voran. Ob es sich jedoch tatsächlich "zu einem Investitionsschub für die gesamte IT-Branche" entwickelt, wie Kuppinger Cole + Partner glauben, bleibt abzuwarten.