In aktuellen IT-Infrastrukturen nimmt die Benutzerverwaltung in einer großen Anzahl von unterschiedlichen Systemen einen wesentlichen Teil der administrativen Arbeitszeit ein. Anwendungen zur Vereinfachung der Administration sind schon lange vorhanden, werden jedoch aufgrund der Komplexität noch selten eingesetzt. Durch neue Produkte wie dem Microsoft Identity Integration Server 2003 ergeben sich aber bereits heute pragmatische Ansätze.
In einem Unternehmen gibt es nach den Zahlen der META Group bis zu 80 Anwendungen mit eigenen Benutzerkonten. Diese werden zum größten Teil in internen Identitätsspeichern gepflegt, aber auch die Zahl der externen Konten bei Partnern und Lieferanten ist nicht zu unterschätzen. Diese Dimensionen sind nach Erfahrung der COMLINE AG den meisten Kundenunternehmen nicht bewusst. Hintergrund ist insbesondere, dass die Pflege der Konten von den verschiedensten Mitarbeitern teilweise unterschiedlicher Abteilungen vorgenommen wird. Nach einer Analyse der IT-Landschaft wird in der Regel erkannt, dass zwischen 20 und 30 Prozent der administrativen Arbeitszeit für die Verwaltung von Identitäten bereitgestellt werden muss.
Probleme mit der aktuellen Situation
Durch die Verteilung der Verantwortung und die redundante Erfassung der Mitarbeiterdaten in den verschiedensten Systemen ergeben sich zahlreiche Unklarheiten. Die Informationen eines einzelnen Systems sind in der Regel unvollständig und oftmals fehlerhaft.
Häufig sind in den IT-Abteilungen von Unternehmen keine Prozesse für den Ein- und Austritt von Mitarbeitern definiert. Die undefinierten Arbeitsabläufe führen in vielen Unternehmen insbesondere bei Personalwechseln zu einem Problem, gilt es doch, neuen Mitarbeitern gleich alle nötigen IT-Systeme zugänglich zu machen und ausgetretenen Mitarbeitern den Zugriff zu verwehren. Ein neuer Mitarbeiter hat keinen Zugriff auf die Vertriebsdaten, ein ehemaliger Kollege kommt immer noch auf das Extranet. Sicher werden Sie derartige Probleme mit Ihren eigenen Beispielen ergänzen können.
Identitätsmanagement als Unternehmensprozess
Wer sollte die Prozessverantwortung für den Identity Lifecycle übernehmen? Eine pauschale Antwort auf diese Frage ist schwierig, doch in der Regel kommt man in diesbezüglichen Diskussionen auf ein Ergebnis: Sichere Kenntnisse über den Mitarbeiterbestand hat zunächst die Personalabteilung.
Während die Neuanlage von Konten in allen benötigten Systemen eher eine technische Herausforderung darstellt, ist die Löschung von Konten und den ggf. damit verknüpften Daten oftmals ein organisatorisches Problem. Daher steht am Anfang der Einführung einer Identitätsmanagement-Lösung zunächst eine intensive Analyse der Ist-Situation und eine Definition des gewünschten Prozessablaufs.
Das Ziel
In der Regel wird als Ziel eine einmalige Kontenanlage und Datenerfassung genannt. Die Konten sollen nach Vorstellung der IT-Abteilungen in die unterschiedlichen Systeme automatisiert synchronisiert werden. Das eigentliche Ziel eines Unternehmens sollte es jedoch sein, die Anzahl der Kontendatenbanken zu reduzieren.
Auch wenn der Traum einer einzigen Datenbank für alle Systeme historisch in die Zeit der reinen Host-Welten fällt, ist es auch mit der Client/Server-Technologie durch konsequente Integration des Auswahlkriteriums Identitätsmanagement in den Beschaffungsprozess durchaus möglich, die Zahl der Kontendatenbanken auf ein Minimum zu beschränken.
In einer komplexeren Infrastruktur wird man jedoch selten auf eine homogene Umgebung mit nur einem Verzeichnis treffen. Eine Integration der verschiedenen Verzeichnisse durch eine Synchronisationslösung ist daher oftmals angebracht.
Aktuelle Lösungen
Bei den meisten Lösungen im Bereich Identitätsmanagement handelt es sich um sogenannte Metadirectories. Ein Metadirectory ist ein Verzeichnis, das vorhandene Quellen integriert. So paradox es klingen mag, ist ein Metadirectory zunächst ein weiteres Verzeichnis und steht damit dem Ziel der Reduzierung der Kontendatenbanken entgegen. Es sammelt aber ausgewählte Daten einzelner Verzeichnisse und sorgt für deren Konsolidierung und Synchronisation. Beinahe alle großen Softwarehersteller bieten in diesem Umfeld eigene Produkte an, Beispiele sind das Novell eDirectory oder der Microsoft Identity Integration Server.
Sehr pragmatische Möglichkeiten ergeben sich aber schon durch die konsequente Nutzung des in den meisten Unternehmen bereits vorhandenen Verzeichnisses, dem Microsoft Active Directory. Dieses kann im Zusammenspiel mit komplementären Softwareprodukten die Rolle des Dirigenten im Konzert der Identitäten übernehmen.
Der Microsoft Identity Integration Server
Die typische Architektur eines Metadirectories soll im Folgenden am Beispiel des Microsoft Identity Integration Servers 2003 dargestellt werden. Das Produkt ist in zwei Versionen erhältlich:
– Beim Microsoft Identity Integration Server 2003 Enterprise Edition (MIIS) handelt es sich um ein Metadirectory mit der Möglichkeit, die verschiedensten Systeme einer heterogenen IT-Welt anzubinden.
– Der kleinere Bruder Microsoft Identity Integration Feature Pack (IIFP) ist ein kostenloses Addon für Windows Server 2003 zur Synchronisation von Active Directory Forests und Exchange 2000/2003 Adresslisten.
Während es sich beim MIIS um ein vollständiges Metadirectory handelt, ist das IIFP in der Regel eher als schnelle Lösung nach einem Merger oder zur Einbindung von Partnern in das eigene Adressbuch zu sehen.
Architektur des MIIS
Der MIIS ist vierstufig aufgebaut:
– Die Connected Directories repräsentieren die an das Metadirectory angebunden Verzeichnisse. Dies kann also zum Beispiel ein Active Directory oder eine SQL Datenbank sein.
– Microsoft stellt für die Anbindung externer Verzeichnisdienste etwa 30 spezialisierte Management Agents zur Verfügung, die über die Verwaltungsoberfläche und durch die Einbindung eigener Programme angepasst werden können.
– Ein Management Agent synchronisiert die Daten eines Verzeichnisses in den Connector Space des MIIS. Der Connector Space wird in einer SQL Datenbank gespeichert und beinhaltet aktuelle und frühere Instanzen der synchronisierten Objekte.
– Die synchronisierten Objekte werden innerhalb der SQL Datenbank in der Metaverse als Identität abgebildet (Projektion) bzw. bereits vorhandenen Identitäten zugeordnet (Join).
Durch diese Architektur ist es möglich, eine beliebige Anzahl von Identitätsspeichern an ein Metadirectory anzubinden. Drittanbietern und Anwenderunternehmen ist es sogar möglich, eigene Management Agents zur Integration spezieller Anwendungen zu entwickeln. In der Regel werden jedoch die Programmiermöglichkeiten innerhalb des MIIS für die Anpassung an den eigenen Bedarf ausreichen.
Metadirectory Strategie
Eine Integration von Kontendatenbanken sollte nicht als Selbstzweck zu verstanden werden. Am Beginn der Einführung einer Lösung für das Identitätsmanagement im Unternehmen steht daher eine reale Kosten-Nutzen-Analyse pro System. Zunächst sollten nur die wichtigsten Systeme des Unternehmens über ein Metadirectory integriert werden. Durch einen zu globalen Ansatz können Budget und Erfolg des Projekts schnell in Bedrängnis geraten.
Bei der Auswahl der Systeme sollten vier wesentliche Kriterien berücksichtigt werden:
– Arbeitet ein großer Teil der Benutzer mit der Applikation?
– Hat das System eine zentrale Bedeutung?
– Handelt es sich um ein kritisches System?
– Gibt es einen Management Agent für das Produkt?
Wenn diese Fragen positiv beantwortet werden können, ist eine Integration im ersten Schritt sinnvoll. Die Integration von weiteren Verzeichnissen kann fortgeführt werden nachdem Erfahrungen mit der Technologie gesammelt wurden.
Identitätsmanagement als COMLINE Lösung
In einem Metadirectory Projekt berät die COMLINE AG den Kunden bereits bei der Analyse der bestehenden Systeme. Aufgrund der vorliegenden Ist-Situation wird eine Software-Lösung ausgewählt. Dies können neben dem hier vorgestellten MIIS auch zum Beispiel ein Novell eDirectory, die OpenSource-Lösung OpenLDAP oder eine der Spezial-Lösungen aus dem Hause Microsoft sein.
Ein Konzept zur Integration der Kontenverwaltungen mit einer Identitätsmanagement-Lösung umfasst dabei neben der Auswahl der zu integrierenden Verzeichnisse auch die Prozesse und den Fluss der Attribute. So ist es zum Beispiel sinnvoll, dass die Mailadresse vom Exchange bzw. Notes Administrator und die Telefonnummer vom Verwalter der Telefonanlage gepflegt wird.
In der Implementierungsphase werden von COMLINE individuelle Lösungen für das Kundenunternehmen entwickelt. Hilfreich für die Reduktion der Komplexität eines Integrationsprojekts ist jedoch immer eine gezielte Auswahl von Software im Hinblick auf die Kontenverwaltung bereits während der Beschaffung.
Ausblick
Identitätsmanagement wird zunehmend bedeutsamer. Unternehmen versuchen durch Akquisitionen auf dem nationalen und internationalen Markt ihre strategische Position zu verbessern. Hierbei werden jedoch auch IT-Infrastrukturen übernommen und stellen Unternehmen vor einen Integrationszwang. Warum also nicht Prozesse, die ohnehin angeglichen werden müssen, direkt als Identitätsmanagement-Prozesse abbilden und somit integrieren statt migrieren. Möglich wird dies aber erst durch die Existenz unternehmensweit einheitlicher Prozessketten, die sich in der IT abbilden lassen. Dann erst lässt sich das volle Potential eines Identitätsmanagements ausschöpfen.