HP / Microsoft Partner Excellence Award für das COMLINE IdentityPortal | Artikel aus INFOLINE 2/2005

HP / Microsoft Partner Excellence Award für das COMLINE IdentityPortal | Artikel aus INFOLINE 2/2005

Webbasierte Delegation der Benutzerverwaltung beim KVBW

Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) stand vor einer gewaltigen Herausforderung: Eine Verdoppelung der Benutzerzahl im Active Directory durch Integration von 30 externen Partnerkassen. Mit Hilfe des COMLINE IdentityPortal konnte der KVBW die Aufgabe meistern: Die IT-Ansprechpartner vor Ort übernehmen Teile der Administration. Durch eine erhöhte Eigenständigkeit werden Kosten gesenkt und Prozesse verkürzt. Für diese innovative Lösung wurde die COMLINE AG von ihren Partnern Microsoft und HP mit dem Partner Excellence Award ausgezeichnet.

Der KVBW

Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) ist eine Körperschaft des öffentlichen Rechts mit Hauptsitz in Karlsruhe und einer Zweigstelle in Stuttgart. Der KVBW ist Ausgleichskasse für Beamtenversorgung, Beihilfe und betriebliche Altersversorgung der Mitarbeiter u. a. der baden-württembergischen Kommunen. Im Rahmen von Kooperationsverträgen obliegt dem KVBW die Federführung bei der EDV-Zusammenarbeit mit weiteren kommunalen und kirchlichen Versorgungseinrichtungen. Hierbei nutzen die EDV-Kooperationspartner die mandantenfähigen und für eine gemeinsame Nutzung ausgerichteten DV-Verfahren. Der Einsatz erfolgt zentral im kommunalen Gebietsrechenzentrum in Karlsruhe. Die Partnerkassen sind über WAN angebunden. Der KVBW beschäftigt etwa 440 Mitarbeiter, davon 310 in Karlsruhe und 130 in Stuttgart. Bei den Partnerkassen nutzen insgesamt ca. 500 Mitarbeiter die gemeinsamen DVVerfahren.

Delegation

Von den Partnerkassen wurde insbesondere bei der Abbildung des Rollenmodells ein gewisses Maß an Unabhängigkeit von der zentralen IT-Administration gewünscht, um schnell auf veränderte Geschäftsprozesse reagieren zu können. Zunächst evaluierte die DV-Technik des KVBW die Microsoft Management Console ?Active Directory Benutzer und Computer?. Es stellte sich jedoch heraus, dass die Komplexität der mitgelieferten Verwaltungsprogramme zu hoch für die Anwendung in der Delegation war. Außerdem konnten nicht alle notwendigen Konstellationen abgebildet werden. Mit der Vergabe von administrativen Aufgaben an externe Administratoren stieg zudem der Bedarf an einer Dokumentation der Änderungshistorie. Mit der Weblösung COMLINE IdentityPortal konnten diese Themen adressiert werden.

Einfache Anpassung

Die abzubildenden Administrationsrollen waren für alle Partnerkassen identisch, schließlich werden von allen die gleichen Anwendungen genutzt. Hier stellte sich die Verwendung von Prozessvorlagen als große Vereinfachung dar. Die administrativen Aufgaben wurden nur einmal abgebildet und konnten dann für die weiteren Kassen auf deren Organisations­einheiten wieder verwendet werden. Änderungen an einer zentralen Vorlage bewirken entsprechend eine sofortige Anpassung aller auf ihrer Grundlage implementieren Prozesse.

Schneller ROI

Die Wirtschaftlichkeit von Directory Whitepages ? wie dem IdentityPortal des KVBW ? ist laut einer Studie der GIGA Information Group sehr hoch. Der Return on Investment wird schon nach wenigen Monaten erreicht. ?Beim Kommunalen Versorgungsverband übersteigen die erreichten Einsparungen schon nach weniger als einem Jahr die Investitionen.? hat Jan Haan aus dem COMLINE Bereich Microsoft Solutions in seiner Diplomarbeit berechnet.

Empfehlung des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT-Grundschutz­handbuch den Einsatz von Dritt­anbieter­tools bei der Verwaltung des Microsoft Active Directory. ?Für große Domänen sollte über die Möglichkeit der werkzeug­gestützten Verwaltung nach­gedacht wer­den. Es gibt verschiedene (?) Werkzeuge, die die AD-Verwaltung erleichtern. Es sollte über­legt wer­den, diese einzusetzen. Werden sol­che Werk­zeuge ver­wendet, so muss sicher­gestellt werden, dass die AD-Verwaltung ausschließlich durch die­se Werk­zeuge erfolgt.?

Ausblick

In diesem Sinne soll das Portal auch für die interne Administration durch die IT-Verbindungsstellen in den KVBW Fachabteilungen zum Einsatz kommen. Dabei wird neben der Domäne der Partnerkassen auch die interne Active Directory Domäne in die Lösung integriert. Eine Ergänzung des Portals um Single-Sign-On und ein MetaDirectory zu einer integrierten Identity-Management-Lösung ist ebenfalls angedacht. Die COMLINE AG ruht sich jedoch nicht auf den Lorbeeren von HP und Microsoft aus. Eine Erweiterung um die Anbindung von Webservices und eine Schnittstelle zur Administration von Fileservern befindet sich bereits in der Entwicklung.

COMLINE IdentityPortal

Das COMLINE IdentityPortal (CLIP) erlaubt die webbasierte Verwaltung von Benutzern und Gruppen im Micro­soft Active Directory und anderen Verzeich­nissen. Das Portal wird darüber hinaus als Frontend für Identitäts­ver­wal­tungs­lösungen und Meta­Direc­tories eingesetzt. Durch die Definition von Prozessen in XML und ein gruppenbasiertes Rollenmodell integriert sich CLIP in die IT-Infrastruktur von mittelständischen Unternehmen und internationalen Konzernen.

CLIP erlaubt dem Portal­admi­nis­trator eine flexible An­pas­sung der Lösung an den Bedarf des eigenen Unter­neh­mens. Die vor­handenen oder geplan­ten Identitäts­verwal­tungs­prozesse können individuell im Por­tal abgebildet werden. Durch die Ver­wendung von einfach anpass­ba­ren XML-Vorlagen und eines gra­fi­schen XML-Editors ist dies auch Nicht-Entwick­lern möglich. Die Pro­zessvorlagen können für häufig ver­wendete Prozesse mehrfach für die verschiedenen Verwaltungs­be­reiche (Domänen, OUs) eingesetzt werden.