18. Dezember 2009
.::[ Weihnachtsgeschenke von Microsoft]::.
Traditionell findet der Messaging InnerCircle vor Weihnachten gemeinsam mit dem Infrastructure InnerCircle bei Microsoft Bad Homburg statt. Heute gab es vor allem einen super Vortrag von Helge Schroda, Technologie-Architekt für Security aus dem Microsoft Großkundenbereich EPG. Aber auch Helges Vortrag zu den neuen Serverprodukten Microsoft Forefront Threat Management Gateway (TMG) und Microsoft Forefront Unified Access Gateway (UAG) konnte eins nicht toppen: Es gab für die Messaging-Fraktion schon Weihnachtsgeschenke.
Neben der Exchange-2010-Fahne hinter mir, gab es noch ein richtig gutes Hemd mit eingestickten Logos von Microsoft und des Bereichs Unified Communications. Das passt doch gut zu meinem ExchangeBook. ;-) Und nebenbei ist es viel schöner und seriöser als das Geek Shirt der Exchange Produktgruppe, das ich heute zufällig trage (im Bild nicht erkennbar).
An dieser Stelle ergibt sich eine gute Gelegenheit, Stig Nygaard, Harald Bardenhagen, Andre Kremer und vielen anderen Microsofties DANKE zu sagen für die guten Vorträge an den InnerCircle-Terminen und Infos ohne Ende übers ganze Jahr. Das kommt nicht nur uns, sondern auch unseren Kunden, Projekten und Communities (wie diesem Blog) zugute.
Labels: Chrischmi, Exchange Server, Forefront
24. Mai 2006
.::[ Sicherer Webzugang zu Unternehmensdaten | Artikel aus INFOLINE 2/2006]::.
Anforderungen
Der Zugriff auf E-Mails unterwegs und aus dem Home-Office ist heute in vielen Unternehmen bereits Alltag. Outlook Web Access (OWA) erlaubt dem Homo Mobilis schon seit vielen Jahren den Zugriff auf den Posteingang aus dem Internet Browser. Spätestens seit der Einführung von Exchange Server 2003 unterscheidet sich dabei die Funktionsumfang von OWA für den mobilen Benutzer kaum noch von der Vollversion.
Mit der Kombination aus Outlook 2003 und Exchange 2003 lässt sich der HTTPS-Zugriff aber auch für den vollen Outlook-Client nutzen. Mit nur wenig Änderungen an der Infrastruktur kann der Homo Mobilis seinen Outlook Client mobil synchronisieren und online arbeiten. Die Funktion ist dank HTTPS-Standard auch in fremden Unternehmensnetzen gegeben, die Technik RPC über HTTPS arbeitet zuverlässig und für den Anwender verborgen im
Hintergrund
Mobile Endgeräte wie SmartPhones und PocketPCs werden inzwischen von Exchange Server 2003 direkt unterstützt. Ohne Zusatzsoftware ist der Homo Mobilis in der Lage seine E-Mails und Termine synchronisieren. Mit Exchange 2003 SP2 ist sogar die auomatische Weiterleitung der Mails auf das Endgerät ("Push-Mail") möglich. Vor einiger Zeit wurden hier noch kostenextensive Zusatzprodukte wie BlackBerry benötigt.
Zunehmend ist aber auch der Bedarf zu verzeichnen, ERP-Portale oder das Intranet nach extern zu veröffentlichen. So können Anwender auch außerhalb der Büroumgebung vollwertig arbeiten. Die besondere Sensibilität dieses Daten bedingt aber natürlich verstärkte Sicherheitsanforderungen der Unternehmen.
Sichere Veröffentlichung
Herzstück einer Veröffentlichung von Serveranwendungen ist selbstverständlich ein auf die Sicherheitsanforderungen Ihres Unternehmens abgestimmtes Firewall-System. Bei der Produktauswahl kommt es dabei vor allem auf die Intelligenz dieser zentralen Komponente an. Hier werden spezielle Anwendungsfilter benötigt, die die Art des Zugriffs verstehen und bewerten, um Anwender und Angreifer voneinander unterscheiden zu können.
Neben den klassischen Anbietern wie CheckPoint oder Cisco hat Microsoft mit seinem Internet Security & Acceleration Server ein durchaus wettbewerbsfähiges Produkt auf den Markt gebracht. Der von BSI und TÜViT mit Höchstnoten bewertete "ISA Server", so die gängige Bezeichnung, eignet sich aufgrund des integrierten Proxy auf der Anwendungsebene ideal für die sichere Veröffentlichung von Unternehmensdaten. Ob der ISA Server dabei wie bei Microsoft selbst die einzige Firewall ist oder wie bei der COMLINE AG in eine vorhandene Firewall-Topologie integriert wird, hängt dabei ausschließlich von den Unternehmensanforderungen ab.
Authentifizierung
Während viele Unternehmen auf die Authentifizierung mit Benutzernamen und Kennwort setzen, ist auch hier ein Trend zum Wechsel zu erkennen. Umfragen ergeben, dass 70% der Büroangestellten ihr Kennwort gegen einen Schokoriegel preisgeben. Daher sollte man sich hier nach ergänzenden Authentifizierungsmechanismen umsehen. Über auf dem Client gespeicherte Benutzerzertifikate lässt sich eine kostenlose Zertifizierungsstufe zuschalten. In Active Directory Netzwerken lassen sich diese Zertifikate automatisch generieren und verteilen, so dass die Betriebsführung kostengünstig gestaltet werden.
Alternativ können auch Token-Systeme wie RSA SecurID in die Serververöffentlichung integriert werden. Hierbei wird von einem elektronischen Schlüsselanhänger ein zusätzliches Kennwort generiert. Dieses ist je nach Anbieter entweder ähnlich einer Online-Banking-TAN nur einmal verwendbar oder es ist zeitlich auf wenige Minuten begrenzt. Damit wird die Sicherheit nochmals deutlich erhöht.
Erhöhte Sicherheitsanforderungen
Beim Zugriff auf Unternehmensdaten über das Internet muss selbstverständlich auch das Endgerät als Angriffspunkt betrachtet werden. Eine Absicherung des Systems durch einen lokalen Virenscanner und eine Desktop Firewall gehört hier zum Standard. Die im Client bereits integrierte Windows Firewall lässt sich dabei über das Active Directory zentral verwalten.
Alternativen zur Veröffentlichung
Neben der Veröffentlichung von Servern lässt sich der Zugriff auf Unternehmensdaten auch über ein Citrix Secure Gateway oder die Implementierung eines VPN-Zugangs ermöglichen. Auch hier kann ein sicherer Zugang über alternative Authentifizierungswege und eine Integration in die Firewall-Topologie gewährleistet werden. Die konkreten Anforderungen an Funktionalität und Sicherheit entscheiden ebenso wie das Budget über die Implementierung.
Serververöffentlichung in der Praxis
Aufgrund der vielfältigen Möglichkeiten bietet es sich an, zunächst mit einem Workshop in ein konkretes Projekt einzusteigen. Hier müssen die Wünsche der Homos Mobilis in Ihrem Unternehmen mit den Anforderungen Ihrer IT-Sicherheitsrichtlinien abgeglichen werden. Daraus können die Sicherheitsexperten der COMLINE AG ein optimales Konzept erstellen und in Ihrer Infrastruktur umsetzen.
21. August 2005
.::[ Die drei Säulen des Identity Management | Artikel aus INFOLINE 2/2005]::.
Die Komplexität der IT-Infrastrukturen nimmt zu. Administratoren können die Verwaltung der Vielzahl an Systemen kaum noch bewältigen. Anwender werden vor neue Herausforderungen gestellt. Parallel genügen die Systeme nicht mehr den heutigen Sicherheitsanforderungen. Identity Management ist hier eine Lösung. Die INFOLINE gibt Ihnen einen Überblick über dieses aktuelle IT?Thema.
Identity Management ist ein Oberbegriff für mehrere Lösungsansätze in modernen IT?Infrastrukturen. Zunächst wird Identity Management meist mit der Synchronisation von Benutzerkontendatenbanken gleichgesetzt. Aber ebenso gehören Benutzerportale und die Vereinfachung der Anmeldung zu diesem Thema. Identity Management sollte immer als Gesamtlösung betrachtet werden und sich dabei mehr auf die vorhandenen Prozesse als auf einzelne IT?Systeme konzentrieren.
MetaDirectory und Identity Integration
Zur Abbildung der Prozesse in der Benutzerverwaltung wird zunächst eine Identitätsmanagementlösung benötigt. Beispiele sind etwa Microsofts Identity Integration Server oder Novells Nsure IdentityManager. Am Anfang steht jedoch nicht eine Produktauswahl, sondern die Durchleuchtung der internen IT?Prozesse. Nach Untersuchungen von Gartner wird ein großer Teil der administrativen Arbeit in die Verwaltung der Benutzerkonten investiert. Trotzdem sind Benutzerverzeichnisse niemals auf dem aktuellen Stand. So werden laut Gartner Benutzer in durchschnittlich 16 Systemen angelegt aber nach Ihrem Ausscheiden nur in weniger als zwei Dritteln der Verzeichnisse wieder gelöscht. Dies bedeutet neben falschen Informationen vor allem ein erhebliches Sicherheitsrisiko.
Eine Identitätsmanagementlösung verbindet die Benutzerverwaltung der unterschiedlichsten IT?Systeme, so dass die Anwender nur einmal zentral gepflegt werden müssen. Oftmals wird ein Anwender so schon bei der Einstellung durch die Personalabteilung erstellt. Aufgrund seiner zukünftigen Rolle im Unternehmen erhält er alle benötigten Konten, Berechtigungen und Anwendungen. Änderungen an seinem Konto, wie zum Beispiel ein neues Kennwort, wirken sich sofort auf alle Systeme aus. Und bei seinem Ausscheiden können alle Konten zentral gesperrt oder gelöscht werden. Es wird weniger Zeit für die Neuanlage, Pflege und Löschung von Konten verwendet. Der gewonnene Zeitgewinn kann zur Erhöhung der Qualität und Sicherheit eingesetzt werden.
Portale und Whitepages
Um Teile der Benutzerverwaltung auch an Nicht-Experten geben zu können, sind neue Lösungen gefragt. Hier helfen prozessorientierte Portale weiter, die jedem Anwender bei einfachster Bedienung genau die Dinge ermöglichen, die er durchführen darf und soll. Eingebettet in das firmeneigene Intranet wird die Benutzerverwaltung vereinfacht und wie selbstverständlich in den Alltag integriert. Zusätzlich wird es möglich, dass der Abteilungsleiter einen Überblick über die von ihm bezahlten Benutzerkonten erhält, der IT-Experte der Fachabteilung Teile der Administration übernimmt oder der Anwender einzelne Eigenschaften seines Kontos selbst verwaltet. Die eingepflegten Informationen im zentralen Verzeichnis werden den Anwendern teilweise zur Suche und Information zugänglich gemacht. Hierbei kann es sich um bekannte Oberflächen, wie zum Beispiel das Microsoft Outlook Adressbuch, handeln oder um sogenannte Whitepages innerhalb eines Intranet-Portals.
Die COMLINE AG hat als Ergänzung zu Verzeichnisdiensten und MetaDirectories eine eigene Portallösung entwickelt. Das COMLINE IdentityPortal (CLIP) wird von unseren Kunden für die Administration von Benutzern und Gruppen ebenso wie für den so genannten Self-Service verwendet. Die Implementierung von CLIP beim Kommunalen Versorgungsverband Baden-Württemberg wurde kürzlich von HP und Microsoft mit dem Partner Excellence Award ausgezeichnet (siehe Artikel in dieser Ausgabe).
Single-Sign-On
Abgerundet wird Identity Management durch eine Technologie, die es dem Anwender ermöglicht, mit einer einzigen Anmeldung alle Anwendungen und Daten nutzen zu können, zu denen er Zugang haben soll. Beim Single-Sign-On (SSO) wird die erste Anmeldung am System als allgemein gültig und verbindlich angesehen. In Windows-Umgebungen handelt es sich hierbei zumeist um die Domänenanmeldung. Alle weiteren Applikationen autorisieren den Anwender ohne eine Kennworteingabe, sie akzeptieren die bereits zuvor erfolgte Authentifizierung des Anwenders.
Bei Einführung eines SSO-Clients von Herstellern wie Novell oder Citrix ist es wichtig, dass der Zugang besonders zum ersten Benutzerkonto ausreichend abgesichert wird. Mit diesem einen Konto werden in letzte Konsequenz alle Berechtigungen vergeben. Ob hier die strengsten Kennwortrichtlinien aller Verzeichnisse genügen oder ein Smartcard-System eingeführt wird, hängt vom Sicherheitsbedarf des einzelnen Unternehmens ab.
Identitätsmanagement als COMLINE Lösung
Am Anfang eines Identitätsmanagementprojekts steht zumeist die Schaffung eines führenden Verzeichnisdienstes. Die EDEKA Gruppe hat so zum Beispiel die Einführung des Microsoft Active Directory konzipiert und in einigen Bereichen der Unternehmensgruppe bereits umgesetzt (siehe Artikel in dieser Ausgabe). Außerdem ist es zu empfehlen vor einem Projekt zumindest eine pragmatische Kosten-Nutzen-Analyse durchzuführen (siehe siehe Artikel in dieser Ausgabe). Die COMLINE AG verbindet Best Practise Erfahrungen und ein hervorragendes Know-How in den Produkten ihrer Partner Microsoft, Novell und Citrix mit eigenen Lösungen im Bereich Identity Management.
Labels: Forefront, Identity Management, INFOLINE
16. August 2004
.::[ Der Weg aus der Identitätskrise - Verwaltung von Konten mit Metadirectories | Artikel aus INFOLINE 2/2004]::.
In aktuellen IT-Infrastrukturen nimmt die Benutzerverwaltung in einer großen Anzahl von unterschiedlichen Systemen einen wesentlichen Teil der administrativen Arbeitszeit ein. Anwendungen zur Vereinfachung der Administration sind schon lange vorhanden, werden jedoch aufgrund der Komplexität noch selten eingesetzt. Durch neue Produkte wie dem Microsoft Identity Integration Server 2003 ergeben sich aber bereits heute pragmatische Ansätze.
In einem Unternehmen gibt es nach den Zahlen der META Group bis zu 80 Anwendungen mit eigenen Benutzerkonten. Diese werden zum größten Teil in internen Identitätsspeichern gepflegt, aber auch die Zahl der externen Konten bei Partnern und Lieferanten ist nicht zu unterschätzen. Diese Dimensionen sind nach Erfahrung der COMLINE AG den meisten Kundenunternehmen nicht bewusst. Hintergrund ist insbesondere, dass die Pflege der Konten von den verschiedensten Mitarbeitern teilweise unterschiedlicher Abteilungen vorgenommen wird. Nach einer Analyse der IT-Landschaft wird in der Regel erkannt, dass zwischen 20 und 30 Prozent der administrativen Arbeitszeit für die Verwaltung von Identitäten bereitgestellt werden muss.
Probleme mit der aktuellen Situation
Durch die Verteilung der Verantwortung und die redundante Erfassung der Mitarbeiterdaten in den verschiedensten Systemen ergeben sich zahlreiche Unklarheiten. Die Informationen eines einzelnen Systems sind in der Regel unvollständig und oftmals fehlerhaft.
Häufig sind in den IT-Abteilungen von Unternehmen keine Prozesse für den Ein- und Austritt von Mitarbeitern definiert. Die undefinierten Arbeitsabläufe führen in vielen Unternehmen insbesondere bei Personalwechseln zu einem Problem, gilt es doch, neuen Mitarbeitern gleich alle nötigen IT-Systeme zugänglich zu machen und ausgetretenen Mitarbeitern den Zugriff zu verwehren. Ein neuer Mitarbeiter hat keinen Zugriff auf die Vertriebsdaten, ein ehemaliger Kollege kommt immer noch auf das Extranet. Sicher werden Sie derartige Probleme mit Ihren eigenen Beispielen ergänzen können.
Identitätsmanagement als Unternehmensprozess
Wer sollte die Prozessverantwortung für den Identity Lifecycle übernehmen? Eine pauschale Antwort auf diese Frage ist schwierig, doch in der Regel kommt man in diesbezüglichen Diskussionen auf ein Ergebnis: Sichere Kenntnisse über den Mitarbeiterbestand hat zunächst die Personalabteilung.
Während die Neuanlage von Konten in allen benötigten Systemen eher eine technische Herausforderung darstellt, ist die Löschung von Konten und den ggf. damit verknüpften Daten oftmals ein organisatorisches Problem. Daher steht am Anfang der Einführung einer Identitätsmanagement-Lösung zunächst eine intensive Analyse der Ist-Situation und eine Definition des gewünschten Prozessablaufs.
Das Ziel
In der Regel wird als Ziel eine einmalige Kontenanlage und Datenerfassung genannt. Die Konten sollen nach Vorstellung der IT-Abteilungen in die unterschiedlichen Systeme automatisiert synchronisiert werden. Das eigentliche Ziel eines Unternehmens sollte es jedoch sein, die Anzahl der Kontendatenbanken zu reduzieren.
Auch wenn der Traum einer einzigen Datenbank für alle Systeme historisch in die Zeit der reinen Host-Welten fällt, ist es auch mit der Client/Server-Technologie durch konsequente Integration des Auswahlkriteriums Identitätsmanagement in den Beschaffungsprozess durchaus möglich, die Zahl der Kontendatenbanken auf ein Minimum zu beschränken.
In einer komplexeren Infrastruktur wird man jedoch selten auf eine homogene Umgebung mit nur einem Verzeichnis treffen. Eine Integration der verschiedenen Verzeichnisse durch eine Synchronisationslösung ist daher oftmals angebracht.
Aktuelle Lösungen
Bei den meisten Lösungen im Bereich Identitätsmanagement handelt es sich um sogenannte Metadirectories. Ein Metadirectory ist ein Verzeichnis, das vorhandene Quellen integriert. So paradox es klingen mag, ist ein Metadirectory zunächst ein weiteres Verzeichnis und steht damit dem Ziel der Reduzierung der Kontendatenbanken entgegen. Es sammelt aber ausgewählte Daten einzelner Verzeichnisse und sorgt für deren Konsolidierung und Synchronisation. Beinahe alle großen Softwarehersteller bieten in diesem Umfeld eigene Produkte an, Beispiele sind das Novell eDirectory oder der Microsoft Identity Integration Server.
Sehr pragmatische Möglichkeiten ergeben sich aber schon durch die konsequente Nutzung des in den meisten Unternehmen bereits vorhandenen Verzeichnisses, dem Microsoft Active Directory. Dieses kann im Zusammenspiel mit komplementären Softwareprodukten die Rolle des Dirigenten im Konzert der Identitäten übernehmen.
Der Microsoft Identity Integration Server
Die typische Architektur eines Metadirectories soll im Folgenden am Beispiel des Microsoft Identity Integration Servers 2003 dargestellt werden. Das Produkt ist in zwei Versionen erhältlich:
- Beim Microsoft Identity Integration Server 2003 Enterprise Edition (MIIS) handelt es sich um ein Metadirectory mit der Möglichkeit, die verschiedensten Systeme einer heterogenen IT-Welt anzubinden.
- Der kleinere Bruder Microsoft Identity Integration Feature Pack (IIFP) ist ein kostenloses Addon für Windows Server 2003 zur Synchronisation von Active Directory Forests und Exchange 2000/2003 Adresslisten.
Während es sich beim MIIS um ein vollständiges Metadirectory handelt, ist das IIFP in der Regel eher als schnelle Lösung nach einem Merger oder zur Einbindung von Partnern in das eigene Adressbuch zu sehen.
Architektur des MIIS
Der MIIS ist vierstufig aufgebaut:
- Die Connected Directories repräsentieren die an das Metadirectory angebunden Verzeichnisse. Dies kann also zum Beispiel ein Active Directory oder eine SQL Datenbank sein.
- Microsoft stellt für die Anbindung externer Verzeichnisdienste etwa 30 spezialisierte Management Agents zur Verfügung, die über die Verwaltungsoberfläche und durch die Einbindung eigener Programme angepasst werden können.
- Ein Management Agent synchronisiert die Daten eines Verzeichnisses in den Connector Space des MIIS. Der Connector Space wird in einer SQL Datenbank gespeichert und beinhaltet aktuelle und frühere Instanzen der synchronisierten Objekte.
- Die synchronisierten Objekte werden innerhalb der SQL Datenbank in der Metaverse als Identität abgebildet (Projektion) bzw. bereits vorhandenen Identitäten zugeordnet (Join).
Durch diese Architektur ist es möglich, eine beliebige Anzahl von Identitätsspeichern an ein Metadirectory anzubinden. Drittanbietern und Anwenderunternehmen ist es sogar möglich, eigene Management Agents zur Integration spezieller Anwendungen zu entwickeln. In der Regel werden jedoch die Programmiermöglichkeiten innerhalb des MIIS für die Anpassung an den eigenen Bedarf ausreichen.
Metadirectory Strategie
Eine Integration von Kontendatenbanken sollte nicht als Selbstzweck zu verstanden werden. Am Beginn der Einführung einer Lösung für das Identitätsmanagement im Unternehmen steht daher eine reale Kosten-Nutzen-Analyse pro System. Zunächst sollten nur die wichtigsten Systeme des Unternehmens über ein Metadirectory integriert werden. Durch einen zu globalen Ansatz können Budget und Erfolg des Projekts schnell in Bedrängnis geraten.
Bei der Auswahl der Systeme sollten vier wesentliche Kriterien berücksichtigt werden:
- Arbeitet ein großer Teil der Benutzer mit der Applikation?
- Hat das System eine zentrale Bedeutung?
- Handelt es sich um ein kritisches System?
- Gibt es einen Management Agent für das Produkt?
Wenn diese Fragen positiv beantwortet werden können, ist eine Integration im ersten Schritt sinnvoll. Die Integration von weiteren Verzeichnissen kann fortgeführt werden nachdem Erfahrungen mit der Technologie gesammelt wurden.
Identitätsmanagement als COMLINE Lösung
In einem Metadirectory Projekt berät die COMLINE AG den Kunden bereits bei der Analyse der bestehenden Systeme. Aufgrund der vorliegenden Ist-Situation wird eine Software-Lösung ausgewählt. Dies können neben dem hier vorgestellten MIIS auch zum Beispiel ein Novell eDirectory, die OpenSource-Lösung OpenLDAP oder eine der Spezial-Lösungen aus dem Hause Microsoft sein.
Ein Konzept zur Integration der Kontenverwaltungen mit einer Identitätsmanagement-Lösung umfasst dabei neben der Auswahl der zu integrierenden Verzeichnisse auch die Prozesse und den Fluss der Attribute. So ist es zum Beispiel sinnvoll, dass die Mailadresse vom Exchange bzw. Notes Administrator und die Telefonnummer vom Verwalter der Telefonanlage gepflegt wird.
In der Implementierungsphase werden von COMLINE individuelle Lösungen für das Kundenunternehmen entwickelt. Hilfreich für die Reduktion der Komplexität eines Integrationsprojekts ist jedoch immer eine gezielte Auswahl von Software im Hinblick auf die Kontenverwaltung bereits während der Beschaffung.
Ausblick
Identitätsmanagement wird zunehmend bedeutsamer. Unternehmen versuchen durch Akquisitionen auf dem nationalen und internationalen Markt ihre strategische Position zu verbessern. Hierbei werden jedoch auch IT-Infrastrukturen übernommen und stellen Unternehmen vor einen Integrationszwang. Warum also nicht Prozesse, die ohnehin angeglichen werden müssen, direkt als Identitätsmanagement-Prozesse abbilden und somit integrieren statt migrieren. Möglich wird dies aber erst durch die Existenz unternehmensweit einheitlicher Prozessketten, die sich in der IT abbilden lassen. Dann erst lässt sich das volle Potential eines Identitätsmanagements ausschöpfen.
Labels: Forefront, Identity Management, INFOLINE
