.::[chrischmi.de/blog]::.   

In aktuellen IT-Infrastrukturen nimmt die Benutzerverwaltung in einer großen Anzahl von unterschiedlichen Systemen einen wesentlichen Teil der administrativen Arbeitszeit ein. Anwendungen zur Vereinfachung der Administration sind schon lange vorhanden, werden jedoch aufgrund der Komplexität noch selten eingesetzt. Durch neue Produkte wie dem Microsoft Identity Integration Server 2003 ergeben sich aber bereits heute pragmatische Ansätze.

In einem Unternehmen gibt es nach den Zahlen der META Group bis zu 80 Anwendungen mit eigenen Benutzerkonten. Diese werden zum größten Teil in internen Identitätsspeichern gepflegt, aber auch die Zahl der externen Konten bei Partnern und Lieferanten ist nicht zu unterschätzen. Diese Dimensionen sind nach Erfahrung der COMLINE AG den meisten Kundenunternehmen nicht bewusst. Hintergrund ist insbesondere, dass die Pflege der Konten von den verschiedensten Mitarbeitern teilweise unterschiedlicher Abteilungen vorgenommen wird. Nach einer Analyse der IT-Landschaft wird in der Regel erkannt, dass zwischen 20 und 30 Prozent der administrativen Arbeitszeit für die Verwaltung von Identitäten bereitgestellt werden muss.

Probleme mit der aktuellen Situation

Durch die Verteilung der Verantwortung und die redundante Erfassung der Mitarbeiterdaten in den verschiedensten Systemen ergeben sich zahlreiche Unklarheiten. Die Informationen eines einzelnen Systems sind in der Regel unvollständig und oftmals fehlerhaft.

Häufig sind in den IT-Abteilungen von Unternehmen keine Prozesse für den Ein- und Austritt von Mitarbeitern definiert. Die undefinierten Arbeitsabläufe führen in vielen Unternehmen insbesondere bei Personalwechseln zu einem Problem, gilt es doch, neuen Mitarbeitern gleich alle nötigen IT-Systeme zugänglich zu machen und ausgetretenen Mitarbeitern den Zugriff zu verwehren. Ein neuer Mitarbeiter hat keinen Zugriff auf die Vertriebsdaten, ein ehemaliger Kollege kommt immer noch auf das Extranet. Sicher werden Sie derartige Probleme mit Ihren eigenen Beispielen ergänzen können.

Identitätsmanagement als Unternehmensprozess

Wer sollte die Prozessverantwortung für den Identity Lifecycle übernehmen? Eine pauschale Antwort auf diese Frage ist schwierig, doch in der Regel kommt man in diesbezüglichen Diskussionen auf ein Ergebnis: Sichere Kenntnisse über den Mitarbeiterbestand hat zunächst die Personalabteilung.

Während die Neuanlage von Konten in allen benötigten Systemen eher eine technische Herausforderung darstellt, ist die Löschung von Konten und den ggf. damit verknüpften Daten oftmals ein organisatorisches Problem. Daher steht am Anfang der Einführung einer Identitätsmanagement-Lösung zunächst eine intensive Analyse der Ist-Situation und eine Definition des gewünschten Prozessablaufs.

Das Ziel

In der Regel wird als Ziel eine einmalige Kontenanlage und Datenerfassung genannt. Die Konten sollen nach Vorstellung der IT-Abteilungen in die unterschiedlichen Systeme automatisiert synchronisiert werden. Das eigentliche Ziel eines Unternehmens sollte es jedoch sein, die Anzahl der Kontendatenbanken zu reduzieren.

Auch wenn der Traum einer einzigen Datenbank für alle Systeme historisch in die Zeit der reinen Host-Welten fällt, ist es auch mit der Client/Server-Technologie durch konsequente Integration des Auswahlkriteriums Identitätsmanagement in den Beschaffungsprozess durchaus möglich, die Zahl der Kontendatenbanken auf ein Minimum zu beschränken.

In einer komplexeren Infrastruktur wird man jedoch selten auf eine homogene Umgebung mit nur einem Verzeichnis treffen. Eine Integration der verschiedenen Verzeichnisse durch eine Synchronisationslösung ist daher oftmals angebracht.

Aktuelle Lösungen

Bei den meisten Lösungen im Bereich Identitätsmanagement handelt es sich um sogenannte Metadirectories. Ein Metadirectory ist ein Verzeichnis, das vorhandene Quellen integriert. So paradox es klingen mag, ist ein Metadirectory zunächst ein weiteres Verzeichnis und steht damit dem Ziel der Reduzierung der Kontendatenbanken entgegen. Es sammelt aber ausgewählte Daten einzelner Verzeichnisse und sorgt für deren Konsolidierung und Synchronisation. Beinahe alle großen Softwarehersteller bieten in diesem Umfeld eigene Produkte an, Beispiele sind das Novell eDirectory oder der Microsoft Identity Integration Server.

Sehr pragmatische Möglichkeiten ergeben sich aber schon durch die konsequente Nutzung des in den meisten Unternehmen bereits vorhandenen Verzeichnisses, dem Microsoft Active Directory. Dieses kann im Zusammenspiel mit komplementären Softwareprodukten die Rolle des Dirigenten im Konzert der Identitäten übernehmen.

Der Microsoft Identity Integration Server

Die typische Architektur eines Metadirectories soll im Folgenden am Beispiel des Microsoft Identity Integration Servers 2003 dargestellt werden. Das Produkt ist in zwei Versionen erhältlich:

- Beim Microsoft Identity Integration Server 2003 Enterprise Edition (MIIS) handelt es sich um ein Metadirectory mit der Möglichkeit, die verschiedensten Systeme einer heterogenen IT-Welt anzubinden.

- Der kleinere Bruder Microsoft Identity Integration Feature Pack (IIFP) ist ein kostenloses Addon für Windows Server 2003 zur Synchronisation von Active Directory Forests und Exchange 2000/2003 Adresslisten.

Während es sich beim MIIS um ein vollständiges Metadirectory handelt, ist das IIFP in der Regel eher als schnelle Lösung nach einem Merger oder zur Einbindung von Partnern in das eigene Adressbuch zu sehen.

Architektur des MIIS

Der MIIS ist vierstufig aufgebaut:

- Die Connected Directories repräsentieren die an das Metadirectory angebunden Verzeichnisse. Dies kann also zum Beispiel ein Active Directory oder eine SQL Datenbank sein.

- Microsoft stellt für die Anbindung externer Verzeichnisdienste etwa 30 spezialisierte Management Agents zur Verfügung, die über die Verwaltungsoberfläche und durch die Einbindung eigener Programme angepasst werden können.

- Ein Management Agent synchronisiert die Daten eines Verzeichnisses in den Connector Space des MIIS. Der Connector Space wird in einer SQL Datenbank gespeichert und beinhaltet aktuelle und frühere Instanzen der synchronisierten Objekte.

- Die synchronisierten Objekte werden innerhalb der SQL Datenbank in der Metaverse als Identität abgebildet (Projektion) bzw. bereits vorhandenen Identitäten zugeordnet (Join).

Durch diese Architektur ist es möglich, eine beliebige Anzahl von Identitätsspeichern an ein Metadirectory anzubinden. Drittanbietern und Anwenderunternehmen ist es sogar möglich, eigene Management Agents zur Integration spezieller Anwendungen zu entwickeln. In der Regel werden jedoch die Programmiermöglichkeiten innerhalb des MIIS für die Anpassung an den eigenen Bedarf ausreichen.

Metadirectory Strategie

Eine Integration von Kontendatenbanken sollte nicht als Selbstzweck zu verstanden werden. Am Beginn der Einführung einer Lösung für das Identitätsmanagement im Unternehmen steht daher eine reale Kosten-Nutzen-Analyse pro System. Zunächst sollten nur die wichtigsten Systeme des Unternehmens über ein Metadirectory integriert werden. Durch einen zu globalen Ansatz können Budget und Erfolg des Projekts schnell in Bedrängnis geraten.

Bei der Auswahl der Systeme sollten vier wesentliche Kriterien berücksichtigt werden:

- Arbeitet ein großer Teil der Benutzer mit der Applikation?
- Hat das System eine zentrale Bedeutung?
- Handelt es sich um ein kritisches System?
- Gibt es einen Management Agent für das Produkt?

Wenn diese Fragen positiv beantwortet werden können, ist eine Integration im ersten Schritt sinnvoll. Die Integration von weiteren Verzeichnissen kann fortgeführt werden nachdem Erfahrungen mit der Technologie gesammelt wurden.

Identitätsmanagement als COMLINE Lösung

In einem Metadirectory Projekt berät die COMLINE AG den Kunden bereits bei der Analyse der bestehenden Systeme. Aufgrund der vorliegenden Ist-Situation wird eine Software-Lösung ausgewählt. Dies können neben dem hier vorgestellten MIIS auch zum Beispiel ein Novell eDirectory, die OpenSource-Lösung OpenLDAP oder eine der Spezial-Lösungen aus dem Hause Microsoft sein.

Ein Konzept zur Integration der Kontenverwaltungen mit einer Identitätsmanagement-Lösung umfasst dabei neben der Auswahl der zu integrierenden Verzeichnisse auch die Prozesse und den Fluss der Attribute. So ist es zum Beispiel sinnvoll, dass die Mailadresse vom Exchange bzw. Notes Administrator und die Telefonnummer vom Verwalter der Telefonanlage gepflegt wird.

In der Implementierungsphase werden von COMLINE individuelle Lösungen für das Kundenunternehmen entwickelt. Hilfreich für die Reduktion der Komplexität eines Integrationsprojekts ist jedoch immer eine gezielte Auswahl von Software im Hinblick auf die Kontenverwaltung bereits während der Beschaffung.

Ausblick

Identitätsmanagement wird zunehmend bedeutsamer. Unternehmen versuchen durch Akquisitionen auf dem nationalen und internationalen Markt ihre strategische Position zu verbessern. Hierbei werden jedoch auch IT-Infrastrukturen übernommen und stellen Unternehmen vor einen Integrationszwang. Warum also nicht Prozesse, die ohnehin angeglichen werden müssen, direkt als Identitätsmanagement-Prozesse abbilden und somit integrieren statt migrieren. Möglich wird dies aber erst durch die Existenz unternehmensweit einheitlicher Prozessketten, die sich in der IT abbilden lassen. Dann erst lässt sich das volle Potential eines Identitätsmanagements ausschöpfen.

Labels: Forefront, Identity Management, INFOLINE

In vielen Rechenzentren nehmen die Betriebskosten durch ein explosionsartiges Wachstum der Serveranzahl zu. Die Auslastung einzelner Maschinen ist jedoch oftmals gering. Die Virtualisierung von Servern kann hier Abhilfe schaffen.

In vielen Unternehmen steigt die Anzahl der zu betreuenden Serversysteme stetig und immer schneller an. Die Gründe für diese Entwicklung liegen vor allem bei gestiegenen Anforderungen an die IT-Abteilungen, sowohl was die Zuverlässigkeit der Systeme als auch die Breite des Leistungs-Portfolios anbelangt.

Des Weiteren kommen im Zuge des technischen Fortschritts neue Versionen der eingesetzten Software-Produkte hinzu. Oftmals müssen alte Systeme weiterbetrieben werden, da weiterhin der Zugriff auf Altdaten gewährleistet werden muss, wie es beispielsweise bei betriebswirtschaftlicher Software oftmals der Fall ist.

Ein weiterer Faktor, der zum Anwachsen der Anzahl an Servern im Server-Center führt, ist die Unverträglichkeit von verschiedenen Software-Produkten untereinander, bzw. unterschiedlicher Systemanforderungen von Software-Produkten. Oftmals müssen Systemadministratoren feststellen, dass zwei Anwendungen nicht zusammen auf einem Server betrieben werden können, da sie völlig unterschiedliche Anforderungen an das Betriebssystem stellen oder sich schlicht gegenseitig in solchem Maße beeinflussen, dass an einen Betrieb auf demselben Server nicht zu denken ist.

Nicht zuletzt werden im User Helpdesk-Bereich und in der Software-Entwicklung oftmals viele Computer eingesetzt, um bestimmte Produkte und Szenarien testen zu können.

 

Die meisten Server sind oftmals nur gering ausgelastet, da die auf ihnen betriebenen Anwendungen die Server nicht voll auslasten. Somit könnte eine wesentlich größere Anzahl von Anwendungen auf einem einzigen Server betrieben werden, jedoch ist dies aufgrund zahlreicher Abhängigkeiten und Wechselwirkungen oftmals nicht möglich.

Betrachtet man den Total Cost of Ownership (TCO) einer solchen IT-Landschaft, so ergeben sich erhebliche - teils unnötige - Kosten durch den Betrieb einer Vielzahl von Servern.
Die Virtualisierung - eine Software-Technologie, die es erlaubt, mehrere Betriebssysteme auf demselben Prozessor zur selben Zeit zu betreiben, bietet eine Lösung für diese Problemstellung.

Funktionsweise der Virtualisierung

Virtualisierung bedeutet im Prinzip die Emulation einer Computerhardware durch Software, also die "Nachbildung" eines Computers. Ein Programm, in der Grafik als Virtualisierungsschicht bezeichnet, wird auf dem Host-System ausgeführt, und bildet Hardware-Ressourcen wie Prozessor, Speicher, Festplatte und Netzwerkkarte nach, so dass auf dieser "virtuellen Maschine" ein Betriebssystem installiert und Applikationen ausgeführt werden können. Das Gast-Betriebssystem bemerkt dabei nicht, dass es nicht auf physikalischer, sondern auf virtueller Hardware ausgeführt wird.

 

Indem von der real vorhandenen Server-Hardware abstrahiert und physikalische Hardware quasi simuliert wird, wird es möglich, auf einer Host-Umgebung mehrere virtuelle Maschinen gleichzeitig auszuführen. Die Virtualisierungsschicht verteilt dabei die Ressourcen entsprechend. Die Anzahl der virtuellen Maschinen wird nur durch die Leistungsfähigkeit des Hostsystems begrenzt.

Bei der Emulation der Hardware wird unabhängig vom Host-Computer immer die gleiche Standard-Hardware emuliert, so dass eine virtuelle Maschine problemlos auf einen anderen Computer übertragen und dort ausgeführt werden kann.

Einsatzmöglichkeiten für Virtuelle Maschinen

Serverkonsolidierung

Virtuelle Maschinen können verwendet werden, um Server zu konsolidieren. Viele Anwendungen, die vormals auf vielen einzelnen kleineren Servern betrieben wurden, können in virtuelle Maschinen auf einigen wenigen hochverfügbaren physikalischen Servern migriert werden. Somit wird eine höhere Verfügbarkeit der Dienste garantiert, die Auslastung der Server verbessert und somit die Betriebskosten der IT-Infrastruktur gesenkt, da weniger physikalische Server betrieben werden müssen.

Helpdesk und Software-Entwicklung

Helpdesk-Mitarbeiter und Software-Entwickler können virtuelle Maschinen zum schnellen Test von Software und spezifischen Kundenkonfigurationen verwenden. Komplexe Szenarien bis hinzu Clustern und Storage-Lösungen können mittels virtueller Maschinen in kurzer Zeit bereitgestellt werden, da immer wieder auf vorbereitete virtuelle Maschinen zurückgegriffen werden kann. Diese Technologie wird von der COMLINE bereits seit einiger Zeit erfolgreich in Kundenprojekten erfolgreich eingesetzt, um so die Zeit bis zur Lösung von Problemen merklich zu verringern.

Migrationen

Bei der Migration auf ein neues Betriebssystems können Teile der Migration mittels virtueller Maschinen bewerkstelligt werden. Bei einer Migration von Microsoft Windows NT 4.0 auf Microsoft Windows Server 2003 können beispielsweise zusätzliche NT 4.0 Backup Domain Controller in virtuellen Maschinen betrieben werden, um so mit weniger zusätzlicher Hardware während der Migration auszukommen. Kritische Phasen von Migrationen werden von COMLINE einfach im Voraus auf virtuellen Maschinen getestet.

Alt-Anwendungen

Geschäftskritische Alt-Anwendungen, die nur auf einem älteren Betriebssystem betrieben werden können, können weiterhin in einer virtuellen Maschine benutzt werden. So kann beispielsweise das nur auf MS-DOS lauffähige Warenwirtschaftssystem in einer virtuellen Maschine unter MS-DOS weiter betrieben und den Anwendern auf ihren Windows XP Maschinen bereitgestellt werden.

Aktuelle Software-Lösungen

Zur Zeit am weitesten verbreitet sind die Produkte der Firmen VMware und Microsoft. Grundsätzlich werden zwei verschiedene Produktklassen angeboten: Server- und Workstationprodukte. Die Server-Versionen werden auf zentralen Servern im Unternehmen zum Einsatz gebracht, und ermöglichen die Nutzung und Verwaltung der virtuellen Maschinen über das Netzwerk. Workstation-Produkte sind für die Einzelplatz-Nutzung gedacht. Grundsätzlich können jedoch bei beiden Firmen Virtuelle Maschinen von den Server- auf die Workstation-Produkte übertragen werden und umgekehrt.

VMWare bietet momentan die Server-Produkte VMware GSX Server und VMWare ESX Server an. Des Weiteren wird VMware Workstation als Einzelplatz-Version angeboten.
Nach dem Kauf der Virtualisierungs-Software der Firma Connectix bietet Microsoft die Produkte Microsoft Virtual PC und Microsoft Virtual PC for Mac an und bringt in Kürze den Microsoft Virtual Server für den Server-Einsatz auf den Markt.

Die Produkte beider Firmen stellen virtuelle Maschinen auf Basis der i386 Architektur zur Verfügung, so dass alle Betriebssysteme, die auch auf PC-Hardware lauffähig sind, verwendet werden können.

Mit Zusatztools, wie zum Beispiel dem VMware P2V-Assistenten, lassen sich vorhandene physikalische Serversysteme ohne Neuinstallation in eine Virtuelle Umgebung migrieren. Das Management von virtuellen Serverfarmen wird durch zentrale Monitoring- und Konfigurationsumgebungen, wie der Microsoft Virtual Server Verwaltungskonsole oder dem VMware Virtual Center erleichtert.

Fazit

Software zur Server-Virtualisierung ist eine ausgereifte Technologie und bietet die zum Betrieb anspruchsvoller Lösungen nötige Leistungsfähigkeit. Durch virtuelle Maschinen können in erheblichen Maße Kosten eingespart und Geschäftsprozesse beschleunigt werden, vor allem in Anwendungsbereichen, die wenig bis mäßig geschäftskritisch sind.

Labels: INFOLINE, System Center

Im August 2004 war ich wie jedes Jahr gemeinsam mit einer Gruppe behinderter und nicht behinderter Menschen im Urlaub. Dieses Jahr ging es nach Bautzen und Dresden in Sachsen.

Die integrativen Freizeiten, die mein Bruder Thoschmi organisiert sind jedes ein absolutes High-Light und ein notwendiger Kontrast zum IT-Alltag. Ich bin sicher, dass man nirgends mehr Spaß haben kann!

Labels: Chrischmi