Die Verteilung von Benutzerdaten auf verschiedenste Systeme innerhalb einer IT-Landschaft stellt hohe Ansprüche an die Administration. Die Einführung eines Systems zur zentralen Verwaltung dieser Daten kann erhebliche Einsparungspotentiale sowohl auf der Seite der Administration wie auch auf Seiten der Anwender erschließen.
Neben dem Aspekt der Sicherheit ist die Verbesserung der Performance einer IT-Infrastruktur und der daraus resultierende Einsparungseffekt das Hauptmotiv von Entscheidungsträgern für den Einstieg in die systematische Verwaltung der Benutzerdaten. Die Einsparungspotenziale, welche eine Identitätsmanagementlösung in einer IT-Landschaft freisetzen kann sind beachtlich und lassen die relativ hohen Investitionen in einem anderen Licht erscheinen.
Für die Entscheidung über die Einführung eines Identitätsmanagementsystems sind eine Reihe von Faktoren zu berücksichtigen. Auf Grund der Erfahrungen der COMLINE AG kann ab einer Unternehmensgröße von etwa 500 Mitarbeitern in der Regel mit einer positiven Beurteilung der Wirtschaftlichkeit gerechnet werden. Für eine fundierte Aussage ob und in welchem Umfang ein Unternehmen von der Implementierung eines Identitätsmanagementsystems profitieren wird, ist jedoch eine detaillierte Analyse der bestehenden Infrastruktur unumgänglich. Die Best-Practice-Vorgehensweise der COMLINE AG sieht hierfür eine mehrstufige Analyse der vorhandenen Systeme und Verzeichnisse vor. Mit Hilfe der so gewonnen Daten kann die Komplexität einer zentralen Benutzerverwaltung beurteilt werden.
Integration um jeden Preis?
Nicht jedes Benutzerverzeichnis innerhalb einer IT-Landschaft ist für die Integration in ein zentrales MetaDirectory geeignet. Faktoren wie die Anzahl der verwalteten Benutzer, der Sicherheitsanspruch an das Verzeichnis oder die Bedeutung der Anwendung für das Unternehmen sind wichtige Entscheidungskriterien. Diese Vorteile müssen mit dem zu erwartenden Aufwand verglichen werden. Da nicht für jede Datenbank und jeden Verzeichnistyp eine Standard-Schnittstelle zur Verfügung steht, kann es hier zu zusätzlichem Entwicklungsaufwand kommen.
Erst nach dieser Beurteilung kann eine fundierte Entscheidung für oder gegen die Integration eines Verzeichnisses oder einer Anwendung gefällt werden. Die Integration darf nicht zum Selbstzweck werden, sondern sollte in jedem Einzelfall geprüft und durch fundierte Daten begründet werden.
Analyse der Ist-Situation
In der ersten Phase der Analyse werden alle Anwendungen mit eigenen Benutzerverwaltungen betrachtet. Durch Clusterbildung der Anwendungen nach der Art des verwendeten Benutzerspeichers kann eine erste Aufwandsschätzung getroffen werden: Wieviele verschiedene Schnittstellen werden benötigt und wie hoch ist der Anteil an eigener Entwicklungsarbeit einzuschätzen.
Nach dieser ersten Übersicht erfolgt eine genauere Betrachtung der Attribute der einzelnen Benutzerspeicher. Das Verhältnis der in mehreren Datenspeichern vorgehaltenen Feldern wie z.B. der Benutzer-ID oder der Email-Adresse zu den anwendungsspezifischen Benutzerattributen bestimmt wesentlich den zu erwartenden Aufwand für die Erstellung des Regelwerks für das Provisioning. Je größer die Schnittmenge der mehrfach gepflegten Attribute ist, desto mehr Regeln werden für die Prozesse der Neuanlage, Änderung und Löschung benötigt.
Die Analyse der Ist-Situation schließt mit der Betrachtung der vorhandenen Prozesse für die Neuanlage, die Änderung und Löschung von Benutzerdaten ab. Hierbei ist vor allem der Grad der Systemintegration von Bedeutung. Je geringer dieser ist, umso größer sind die zu erwartenden Einsparungen durch eine komplette Integration dieser Arbeitsabläufe in eine zentrale Benutzerverwaltung. Durch Integration dieser Prozesse in das Identitätsmanagementsystem werden diese transparenter, sicherer, nachvollziehbarer und vor allem effizienter.
Einsparungspotenziale
Für die Einschätzung der wirtschaftlichen Vorteile, die einem Unternehmen aus der Einführung eines Identitätsmanagementsystems erwachsen, greift die COMLINE AG auf Studien von Gartner, Forrester Research und anderen Anbietern zurück.
Laut Gartner läßt sich der administrative Aufwand für Benutzerdaten durch die Einführung von Identitätsmanagement um bis zu 30% senken. Durch Reduzierung der Anfragen am Help-Desk und verkürzte Bearbeitungszeiten sind für die IT-Abteilung Einsparungen von etwa 122.000 Euro pro 1.000 Benutzer und Jahr zu erwarten.
Darüber hinaus ergeben sich weitere Einsparungseffekte durch die Einführung eines Single-SignOn-Systems, einer Self-Service-Funktion und White Pages.
Dabei werden die o.g. Studien durchaus kritisch bewertet und deren Zahlen bei der Beurteilung einer bestimmten Infrastruktur durch die COMLINE AG an die jeweiligen Gegebenheiten angepasst.
Auf Grund der Analyse der bestehenden IT-Landschaft kann nun eine Einschätzung der notwendigen Investitionen erfolgen. Die Höhe der Investitionskosten wird hauptsächlich durch den Anteil der Dienstleistungsaufwände bestimmt. Beginnend mit einer genauen Analyse der momentanen Situation müssen im weiteren Projektverlauf unterschiedlich lange Phasen für die Erstellung des Provisioning-Regelwerks und die Entwicklung zusätzlicher Schnittstellen bis hin zur Implementierung des Identitätsmanagementsystems einkalkuliert werden.
Auch wenn die Investitionskosten auf den ersten Blick hoch erscheinen, so werden sie bei einer kompletten Gegenüberstellung von den zu erwartenden jährlichen Einsparungen noch übertroffen. Hierdurch ergibt sich in der Regel ein ROI-Wert welcher zwischen 0,8 und 2,3 liegt. D.h. dass mit einer Amortisierung der Investitionskosten nach Erfahrungen der COMLINE AG nach ein bis gut zwei Jahren zu rechnen ist.
Praxisbeispiel KVBW
Bei einer beim Kommunalen Versorgungsverband Baden-Württemberg (KVBW) durchgeführten Analyse ergab sich beispielsweise ein ROI-Wert von unter einem Jahr. Dabei ist zu beachten, dass die der Berechnung zu Grunde liegenden Kennzahlen bewusst konservativ gewählt wurden. So wurden die zu erwartenden Dienstleistungsaufwände sehr hoch angesetzt und die durch die Studien von Gartner und der Forrester Group antizipierten Einsparungen zum Teil deutlich nach unten korrigiert.
Der KVBW steht derzeit kurz vor der Produktivschaltung des COMLINE IdentityPortal und verfügt somit bereits über eine wichtige Komponente eines Identitätsmanagementsystems. Auf Grund der ROI-Berechnung und den bisherigen Erfahrungen mit den Funktionalitäten des neuen Portals CLIP steht nun auch der Einführung von Single-SignOn und Provisioning zur Vervollständigung des Systems nichts mehr im Wege.