Webbasierte Delegation der Benutzerverwaltung beim KVBW
Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) stand vor einer gewaltigen Herausforderung: Eine Verdoppelung der Benutzerzahl im Active Directory durch Integration von 30 externen Partnerkassen. Mit Hilfe des COMLINE IdentityPortal konnte der KVBW die Aufgabe meistern: Die IT-Ansprechpartner vor Ort übernehmen Teile der Administration. Durch eine erhöhte Eigenständigkeit werden Kosten gesenkt und Prozesse verkürzt. Für diese innovative Lösung wurde die COMLINE AG von ihren Partnern Microsoft und HP mit dem Partner Excellence Award ausgezeichnet.
Der KVBW
Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) ist eine Körperschaft des öffentlichen Rechts mit Hauptsitz in Karlsruhe und einer Zweigstelle in Stuttgart. Der KVBW ist Ausgleichskasse für Beamtenversorgung, Beihilfe und betriebliche Altersversorgung der Mitarbeiter u. a. der baden-württembergischen Kommunen. Im Rahmen von Kooperationsverträgen obliegt dem KVBW die Federführung bei der EDV-Zusammenarbeit mit weiteren kommunalen und kirchlichen Versorgungseinrichtungen. Hierbei nutzen die EDV-Kooperationspartner die mandantenfähigen und für eine gemeinsame Nutzung ausgerichteten DV-Verfahren. Der Einsatz erfolgt zentral im kommunalen Gebietsrechenzentrum in Karlsruhe. Die Partnerkassen sind über WAN angebunden. Der KVBW beschäftigt etwa 440 Mitarbeiter, davon 310 in Karlsruhe und 130 in Stuttgart. Bei den Partnerkassen nutzen insgesamt ca. 500 Mitarbeiter die gemeinsamen DVVerfahren.
Delegation
Von den Partnerkassen wurde insbesondere bei der Abbildung des Rollenmodells ein gewisses Maß an Unabhängigkeit von der zentralen IT-Administration gewünscht, um schnell auf veränderte Geschäftsprozesse reagieren zu können. Zunächst evaluierte die DV-Technik des KVBW die Microsoft Management Console ?Active Directory Benutzer und Computer?. Es stellte sich jedoch heraus, dass die Komplexität der mitgelieferten Verwaltungsprogramme zu hoch für die Anwendung in der Delegation war. Außerdem konnten nicht alle notwendigen Konstellationen abgebildet werden. Mit der Vergabe von administrativen Aufgaben an externe Administratoren stieg zudem der Bedarf an einer Dokumentation der Änderungshistorie. Mit der Weblösung COMLINE IdentityPortal konnten diese Themen adressiert werden.
Einfache Anpassung
Die abzubildenden Administrationsrollen waren für alle Partnerkassen identisch, schließlich werden von allen die gleichen Anwendungen genutzt. Hier stellte sich die Verwendung von Prozessvorlagen als große Vereinfachung dar. Die administrativen Aufgaben wurden nur einmal abgebildet und konnten dann für die weiteren Kassen auf deren Organisationseinheiten wieder verwendet werden. Änderungen an einer zentralen Vorlage bewirken entsprechend eine sofortige Anpassung aller auf ihrer Grundlage implementieren Prozesse.
Schneller ROI
Die Wirtschaftlichkeit von Directory Whitepages ? wie dem IdentityPortal des KVBW ? ist laut einer Studie der GIGA Information Group sehr hoch. Der Return on Investment wird schon nach wenigen Monaten erreicht. ?Beim Kommunalen Versorgungsverband übersteigen die erreichten Einsparungen schon nach weniger als einem Jahr die Investitionen.? hat Jan Haan aus dem COMLINE Bereich Microsoft Solutions in seiner Diplomarbeit berechnet.
Empfehlung des BSI
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT-Grundschutzhandbuch den Einsatz von Drittanbietertools bei der Verwaltung des Microsoft Active Directory. ?Für große Domänen sollte über die Möglichkeit der werkzeuggestützten Verwaltung nachgedacht werden. Es gibt verschiedene (?) Werkzeuge, die die AD-Verwaltung erleichtern. Es sollte überlegt werden, diese einzusetzen. Werden solche Werkzeuge verwendet, so muss sichergestellt werden, dass die AD-Verwaltung ausschließlich durch diese Werkzeuge erfolgt.?
Ausblick
In diesem Sinne soll das Portal auch für die interne Administration durch die IT-Verbindungsstellen in den KVBW Fachabteilungen zum Einsatz kommen. Dabei wird neben der Domäne der Partnerkassen auch die interne Active Directory Domäne in die Lösung integriert. Eine Ergänzung des Portals um Single-Sign-On und ein MetaDirectory zu einer integrierten Identity-Management-Lösung ist ebenfalls angedacht. Die COMLINE AG ruht sich jedoch nicht auf den Lorbeeren von HP und Microsoft aus. Eine Erweiterung um die Anbindung von Webservices und eine Schnittstelle zur Administration von Fileservern befindet sich bereits in der Entwicklung.
COMLINE IdentityPortal
Das COMLINE IdentityPortal (CLIP) erlaubt die webbasierte Verwaltung von Benutzern und Gruppen im Microsoft Active Directory und anderen Verzeichnissen. Das Portal wird darüber hinaus als Frontend für Identitätsverwaltungslösungen und MetaDirectories eingesetzt. Durch die Definition von Prozessen in XML und ein gruppenbasiertes Rollenmodell integriert sich CLIP in die IT-Infrastruktur von mittelständischen Unternehmen und internationalen Konzernen.
CLIP erlaubt dem Portaladministrator eine flexible Anpassung der Lösung an den Bedarf des eigenen Unternehmens. Die vorhandenen oder geplanten Identitätsverwaltungsprozesse können individuell im Portal abgebildet werden. Durch die Verwendung von einfach anpassbaren XML-Vorlagen und eines grafischen XML-Editors ist dies auch Nicht-Entwicklern möglich. Die Prozessvorlagen können für häufig verwendete Prozesse mehrfach für die verschiedenen Verwaltungsbereiche (Domänen, OUs) eingesetzt werden.