Die drei Säulen des Identity Management | Artikel aus INFOLINE 2/2005

Die drei Säulen des Identity Management | Artikel aus INFOLINE 2/2005

Die Komplexität der IT-Infrastrukturen nimmt zu. Administratoren können die Verwaltung der Vielzahl an Systemen kaum noch bewältigen. Anwender werden vor neue Herausforderungen gestellt. Parallel genügen die Systeme nicht mehr den heutigen Sicherheitsanforderungen. Identity Management ist hier eine Lösung. Die INFOLINE gibt Ihnen einen Überblick über dieses aktuelle IT?Thema.

Identity Management ist ein Oberbegriff für mehrere Lösungsansätze in modernen IT?Infrastrukturen. Zunächst wird Identity Management meist mit der Synchronisation von Benutzerkontendatenbanken gleichgesetzt. Aber ebenso gehören Benutzerportale und die Vereinfachung der Anmeldung zu diesem Thema. Identity Management sollte immer als Gesamtlösung betrachtet werden und sich dabei mehr auf die vorhandenen Prozesse als auf einzelne IT?Systeme konzentrieren.

MetaDirectory und Identity Integration

Zur Abbildung der Prozesse in der Benutzerverwaltung wird zunächst eine Identitäts­management­lösung benötigt. Beispiele sind etwa Microsofts Identity Integration Server oder Novells Nsure IdentityManager. Am Anfang steht jedoch nicht eine Produktauswahl, sondern die Durchleuchtung der internen IT?Prozesse. Nach Untersuchungen von Gartner wird ein großer Teil der administrativen Arbeit in die Verwaltung der Benutzerkonten investiert. Trotzdem sind Benutzerverzeichnisse niemals auf dem aktuellen Stand. So werden laut Gartner Benutzer in durchschnittlich 16 Systemen angelegt aber nach Ihrem Ausscheiden nur in weniger als zwei Dritteln der Verzeichnisse wieder gelöscht. Dies bedeutet neben falschen Informationen vor allem ein erhebliches Sicherheitsrisiko.

Eine Identitäts­management­lösung verbindet die Benutzerverwaltung der unterschiedlichsten IT?Systeme, so dass die Anwender nur einmal zentral gepflegt werden müssen. Oftmals wird ein Anwender so schon bei der Einstellung durch die Personalabteilung erstellt. Aufgrund seiner zukünftigen Rolle im Unternehmen erhält er alle benötigten Konten, Berechtigungen und Anwendungen. Änderungen an seinem Konto, wie zum Beispiel ein neues Kennwort, wirken sich sofort auf alle Systeme aus. Und bei seinem Ausscheiden können alle Konten zentral gesperrt oder gelöscht werden. Es wird weniger Zeit für die Neuanlage, Pflege und Löschung von Konten verwendet. Der gewonnene Zeitgewinn kann zur Erhöhung der Qualität und Sicherheit eingesetzt werden.

Portale und Whitepages

Um Teile der Benutzerverwaltung auch an Nicht-Experten geben zu können, sind neue Lösungen gefragt. Hier helfen prozessorientierte Portale weiter, die jedem Anwender bei einfachster Bedienung genau die Dinge ermöglichen, die er durchführen darf und soll. Eingebettet in das firmeneigene Intranet wird die Benutzerverwaltung vereinfacht und wie selbstverständlich in den Alltag integriert. Zusätzlich wird es möglich, dass der Abteilungsleiter einen Überblick über die von ihm bezahlten Benutzerkonten erhält, der IT-Experte der Fachabteilung Teile der Administration übernimmt oder der Anwender einzelne Eigenschaften seines Kontos selbst verwaltet. Die eingepflegten Informationen im zentralen Verzeichnis werden den Anwendern teilweise zur Suche und Information zugänglich gemacht. Hierbei kann es sich um bekannte Oberflächen, wie zum Beispiel das Microsoft Outlook Adressbuch, handeln oder um sogenannte Whitepages innerhalb eines Intranet-Portals.

Die COMLINE AG hat als Ergänzung zu Verzeichnisdiensten und MetaDirectories eine eigene Portallösung entwickelt. Das COMLINE IdentityPortal (CLIP) wird von unseren Kunden für die Administration von Benutzern und Gruppen ebenso wie für den so genannten Self-Service verwendet. Die Implementierung von CLIP beim Kommunalen Versorgungs­verband Baden-Württemberg wurde kürzlich von HP und Microsoft mit dem Partner Excellence Award ausgezeichnet (siehe Artikel in dieser Ausgabe).

Single-Sign-On

Abgerundet wird Identity Management durch eine Technologie, die es dem Anwender ermöglicht, mit einer einzigen Anmeldung alle Anwendungen und Daten nutzen zu können, zu denen er Zugang haben soll. Beim Single-Sign-On (SSO) wird die erste Anmeldung am System als allgemein gültig und verbindlich angesehen. In Windows-Umgebungen handelt es sich hierbei zumeist um die Domänenanmeldung. Alle weiteren Applikationen autorisieren den Anwender ohne eine Kennworteingabe, sie akzeptieren die bereits zuvor erfolgte Authentifizierung des Anwenders.

Bei Einführung eines SSO-Clients von Herstellern wie Novell oder Citrix ist es wichtig, dass der Zugang besonders zum ersten Benutzerkonto ausreichend abgesichert wird. Mit diesem einen Konto werden in letzte Konsequenz alle Berechtigungen vergeben. Ob hier die strengsten Kennwortrichtlinien aller Verzeichnisse genügen oder ein Smartcard-System eingeführt wird, hängt vom Sicherheitsbedarf des einzelnen Unternehmens ab.

Identitätsmanagement als COMLINE Lösung

Am Anfang eines Identitätsmanagementprojekts steht zumeist die Schaffung eines führenden Verzeichnisdienstes. Die EDEKA Gruppe hat so zum Beispiel die Einführung des Microsoft Active Directory konzipiert und in einigen Bereichen der Unternehmensgruppe bereits umgesetzt (siehe Artikel in dieser Ausgabe). Außerdem ist es zu empfehlen vor einem Projekt zumindest eine pragmatische Kosten-Nutzen-Analyse durchzuführen (siehe siehe Artikel in dieser Ausgabe). Die COMLINE AG verbindet Best Practise Erfahrungen und ein hervorragendes Know-How in den Produkten ihrer Partner Microsoft, Novell und Citrix mit eigenen Lösungen im Bereich Identity Management.

 
Kommentare

Bisher keine Kommentare.

Kommentieren