31. Juli 2009
.::[ BitLocker unter Windows 7 mit TPM und PIN]::.
ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.
Daher müssen in der lokalen Group Policy (erreichbar über gpedit.msc) im folgenden Pfad Einstellungen verändert werden:
> Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Require Additional Authentication at Startup > Enable
Diese Einstellung ermöglicht die maximale Flexibilität bei der BitLocker Konfiguration. Nach dem Setzen dieser Einstellung ist eine Konfiguration der Protectors über Manage-BDE problemlos möglich. Die Hilfe des Tools gibt alle weiteren Informationen.
In Unternehmensumgebungen ist ein zentrales Management der Gruppenrichtlinien und der BitLocker-Konfiguration über das Active Directory zu empfehlen. Der Einsatz von BitLocker auf Desktop-PCs und Serversystemen ist in sicherheitskritischen Umgebungen durchaus zu überlegen, denn nicht selten wird ein ganzer Rechner oder gar ein Standortserver entwendet.
Labels: Active Directory, Identity Management, TechTalk
20. Januar 2006
.::[ Workshop auf der Messe KOMCOM Nord in Hannover]::.
Für die COMLINE AG werde ich auf der diesjährigen KOMCOM Nord, der Messe für Öffentliche Auftraggeber in Hannover, einen Workshop halten.
Effiziente Active Directory Verwaltung mit Webportalen
Microsoft Active Directory ist heute in zahlreichen Behörden das zentrale Verzeichnis für die Authentifizierung und Verwaltung von Benutzern. Die Bedeutung des Verzeichnisses steigt durch die zunehmende Integration von geschäftskritischen Anwendungen in die Active Directory Umgebung. In diesem Workshop zeigt Ihnen die COMLINE AG, wie Sie das Active Directory und zugehörige Dienste effizient mit Webportalen verwalten können. Unter anderem können Sie mit Portalen die Benutzerverwaltung und die Fileserver-Administration an Fachabteilungen oder IT-Ansprechpartner delegieren. Neben dem einfach und individuell anpassbaren COMLINE IdentityPortal zeigt die COMLINE AG Best Practice Lösungen verschiedenener Kundenprojekte.
Termine: 21.02. und 23.02.2006, jeweils von 14:15 bis 15:00 Uhr
Hintergründe zum Thema gibt es in der vorletzten Ausgabe unseres Kundenmagazins INFOLINE, weitere Informationen zur KOMCOM Nord auf deren Website.
Labels: COMLINE AG, Identity Management
23. August 2005
.::[ Wirtschaftlichkeit von Identitätsmanagementsystemen | Artikel aus INFOLINE 2/2005]::.
Die Verteilung von Benutzerdaten auf verschiedenste Systeme innerhalb einer IT-Landschaft stellt hohe Ansprüche an die Administration. Die Einführung eines Systems zur zentralen Verwaltung dieser Daten kann erhebliche Einsparungspotentiale sowohl auf der Seite der Administration wie auch auf Seiten der Anwender erschließen.
Neben dem Aspekt der Sicherheit ist die Verbesserung der Performance einer IT-Infrastruktur und der daraus resultierende Einsparungseffekt das Hauptmotiv von Entscheidungsträgern für den Einstieg in die systematische Verwaltung der Benutzerdaten. Die Einsparungspotenziale, welche eine Identitätsmanagementlösung in einer IT-Landschaft freisetzen kann sind beachtlich und lassen die relativ hohen Investitionen in einem anderen Licht erscheinen.
Für die Entscheidung über die Einführung eines Identitätsmanagementsystems sind eine Reihe von Faktoren zu berücksichtigen. Auf Grund der Erfahrungen der COMLINE AG kann ab einer Unternehmensgröße von etwa 500 Mitarbeitern in der Regel mit einer positiven Beurteilung der Wirtschaftlichkeit gerechnet werden. Für eine fundierte Aussage ob und in welchem Umfang ein Unternehmen von der Implementierung eines Identitätsmanagementsystems profitieren wird, ist jedoch eine detaillierte Analyse der bestehenden Infrastruktur unumgänglich. Die Best-Practice-Vorgehensweise der COMLINE AG sieht hierfür eine mehrstufige Analyse der vorhandenen Systeme und Verzeichnisse vor. Mit Hilfe der so gewonnen Daten kann die Komplexität einer zentralen Benutzerverwaltung beurteilt werden.
Integration um jeden Preis?
Nicht jedes Benutzerverzeichnis innerhalb einer IT-Landschaft ist für die Integration in ein zentrales MetaDirectory geeignet. Faktoren wie die Anzahl der verwalteten Benutzer, der Sicherheitsanspruch an das Verzeichnis oder die Bedeutung der Anwendung für das Unternehmen sind wichtige Entscheidungskriterien. Diese Vorteile müssen mit dem zu erwartenden Aufwand verglichen werden. Da nicht für jede Datenbank und jeden Verzeichnistyp eine Standard-Schnittstelle zur Verfügung steht, kann es hier zu zusätzlichem Entwicklungsaufwand kommen.
Erst nach dieser Beurteilung kann eine fundierte Entscheidung für oder gegen die Integration eines Verzeichnisses oder einer Anwendung gefällt werden. Die Integration darf nicht zum Selbstzweck werden, sondern sollte in jedem Einzelfall geprüft und durch fundierte Daten begründet werden.
Analyse der Ist-Situation
In der ersten Phase der Analyse werden alle Anwendungen mit eigenen Benutzerverwaltungen betrachtet. Durch Clusterbildung der Anwendungen nach der Art des verwendeten Benutzerspeichers kann eine erste Aufwandsschätzung getroffen werden: Wieviele verschiedene Schnittstellen werden benötigt und wie hoch ist der Anteil an eigener Entwicklungsarbeit einzuschätzen.
Nach dieser ersten Übersicht erfolgt eine genauere Betrachtung der Attribute der einzelnen Benutzerspeicher. Das Verhältnis der in mehreren Datenspeichern vorgehaltenen Feldern wie z.B. der Benutzer-ID oder der Email-Adresse zu den anwendungsspezifischen Benutzerattributen bestimmt wesentlich den zu erwartenden Aufwand für die Erstellung des Regelwerks für das Provisioning. Je größer die Schnittmenge der mehrfach gepflegten Attribute ist, desto mehr Regeln werden für die Prozesse der Neuanlage, Änderung und Löschung benötigt.
Die Analyse der Ist-Situation schließt mit der Betrachtung der vorhandenen Prozesse für die Neuanlage, die Änderung und Löschung von Benutzerdaten ab. Hierbei ist vor allem der Grad der Systemintegration von Bedeutung. Je geringer dieser ist, umso größer sind die zu erwartenden Einsparungen durch eine komplette Integration dieser Arbeitsabläufe in eine zentrale Benutzerverwaltung. Durch Integration dieser Prozesse in das Identitätsmanagementsystem werden diese transparenter, sicherer, nachvollziehbarer und vor allem effizienter.
Einsparungspotenziale
Für die Einschätzung der wirtschaftlichen Vorteile, die einem Unternehmen aus der Einführung eines Identitätsmanagementsystems erwachsen, greift die COMLINE AG auf Studien von Gartner, Forrester Research und anderen Anbietern zurück.
Laut Gartner läßt sich der administrative Aufwand für Benutzerdaten durch die Einführung von Identitätsmanagement um bis zu 30% senken. Durch Reduzierung der Anfragen am Help-Desk und verkürzte Bearbeitungszeiten sind für die IT-Abteilung Einsparungen von etwa 122.000 Euro pro 1.000 Benutzer und Jahr zu erwarten.
Darüber hinaus ergeben sich weitere Einsparungseffekte durch die Einführung eines Single-SignOn-Systems, einer Self-Service-Funktion und White Pages.
Dabei werden die o.g. Studien durchaus kritisch bewertet und deren Zahlen bei der Beurteilung einer bestimmten Infrastruktur durch die COMLINE AG an die jeweiligen Gegebenheiten angepasst.
Auf Grund der Analyse der bestehenden IT-Landschaft kann nun eine Einschätzung der notwendigen Investitionen erfolgen. Die Höhe der Investitionskosten wird hauptsächlich durch den Anteil der Dienstleistungsaufwände bestimmt. Beginnend mit einer genauen Analyse der momentanen Situation müssen im weiteren Projektverlauf unterschiedlich lange Phasen für die Erstellung des Provisioning-Regelwerks und die Entwicklung zusätzlicher Schnittstellen bis hin zur Implementierung des Identitätsmanagementsystems einkalkuliert werden.
Auch wenn die Investitionskosten auf den ersten Blick hoch erscheinen, so werden sie bei einer kompletten Gegenüberstellung von den zu erwartenden jährlichen Einsparungen noch übertroffen. Hierdurch ergibt sich in der Regel ein ROI-Wert welcher zwischen 0,8 und 2,3 liegt. D.h. dass mit einer Amortisierung der Investitionskosten nach Erfahrungen der COMLINE AG nach ein bis gut zwei Jahren zu rechnen ist.
Praxisbeispiel KVBW
Bei einer beim Kommunalen Versorgungsverband Baden-Württemberg (KVBW) durchgeführten Analyse ergab sich beispielsweise ein ROI-Wert von unter einem Jahr. Dabei ist zu beachten, dass die der Berechnung zu Grunde liegenden Kennzahlen bewusst konservativ gewählt wurden. So wurden die zu erwartenden Dienstleistungsaufwände sehr hoch angesetzt und die durch die Studien von Gartner und der Forrester Group antizipierten Einsparungen zum Teil deutlich nach unten korrigiert.
Der KVBW steht derzeit kurz vor der Produktivschaltung des COMLINE IdentityPortal und verfügt somit bereits über eine wichtige Komponente eines Identitätsmanagementsystems. Auf Grund der ROI-Berechnung und den bisherigen Erfahrungen mit den Funktionalitäten des neuen Portals CLIP steht nun auch der Einführung von Single-SignOn und Provisioning zur Vervollständigung des Systems nichts mehr im Wege.
Labels: Identity Management, INFOLINE
22. August 2005
.::[ HP / Microsoft Partner Excellence Award für das COMLINE IdentityPortal | Artikel aus INFOLINE 2/2005]::.
Webbasierte Delegation der Benutzerverwaltung beim KVBW
Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) stand vor einer gewaltigen Herausforderung: Eine Verdoppelung der Benutzerzahl im Active Directory durch Integration von 30 externen Partnerkassen. Mit Hilfe des COMLINE IdentityPortal konnte der KVBW die Aufgabe meistern: Die IT-Ansprechpartner vor Ort übernehmen Teile der Administration. Durch eine erhöhte Eigenständigkeit werden Kosten gesenkt und Prozesse verkürzt. Für diese innovative Lösung wurde die COMLINE AG von ihren Partnern Microsoft und HP mit dem Partner Excellence Award ausgezeichnet.
Der KVBW
Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) ist eine Körperschaft des öffentlichen Rechts mit Hauptsitz in Karlsruhe und einer Zweigstelle in Stuttgart. Der KVBW ist Ausgleichskasse für Beamtenversorgung, Beihilfe und betriebliche Altersversorgung der Mitarbeiter u. a. der baden-württembergischen Kommunen. Im Rahmen von Kooperationsverträgen obliegt dem KVBW die Federführung bei der EDV-Zusammenarbeit mit weiteren kommunalen und kirchlichen Versorgungseinrichtungen. Hierbei nutzen die EDV-Kooperationspartner die mandantenfähigen und für eine gemeinsame Nutzung ausgerichteten DV-Verfahren. Der Einsatz erfolgt zentral im kommunalen Gebietsrechenzentrum in Karlsruhe. Die Partnerkassen sind über WAN angebunden. Der KVBW beschäftigt etwa 440 Mitarbeiter, davon 310 in Karlsruhe und 130 in Stuttgart. Bei den Partnerkassen nutzen insgesamt ca. 500 Mitarbeiter die gemeinsamen DVVerfahren.
Delegation
Von den Partnerkassen wurde insbesondere bei der Abbildung des Rollenmodells ein gewisses Maß an Unabhängigkeit von der zentralen IT-Administration gewünscht, um schnell auf veränderte Geschäftsprozesse reagieren zu können. Zunächst evaluierte die DV-Technik des KVBW die Microsoft Management Console ?Active Directory Benutzer und Computer?. Es stellte sich jedoch heraus, dass die Komplexität der mitgelieferten Verwaltungsprogramme zu hoch für die Anwendung in der Delegation war. Außerdem konnten nicht alle notwendigen Konstellationen abgebildet werden. Mit der Vergabe von administrativen Aufgaben an externe Administratoren stieg zudem der Bedarf an einer Dokumentation der Änderungshistorie. Mit der Weblösung COMLINE IdentityPortal konnten diese Themen adressiert werden.
Einfache Anpassung
Die abzubildenden Administrationsrollen waren für alle Partnerkassen identisch, schließlich werden von allen die gleichen Anwendungen genutzt. Hier stellte sich die Verwendung von Prozessvorlagen als große Vereinfachung dar. Die administrativen Aufgaben wurden nur einmal abgebildet und konnten dann für die weiteren Kassen auf deren Organisationseinheiten wieder verwendet werden. Änderungen an einer zentralen Vorlage bewirken entsprechend eine sofortige Anpassung aller auf ihrer Grundlage implementieren Prozesse.
Schneller ROI
Die Wirtschaftlichkeit von Directory Whitepages ? wie dem IdentityPortal des KVBW ? ist laut einer Studie der GIGA Information Group sehr hoch. Der Return on Investment wird schon nach wenigen Monaten erreicht. ?Beim Kommunalen Versorgungsverband übersteigen die erreichten Einsparungen schon nach weniger als einem Jahr die Investitionen.? hat Jan Haan aus dem COMLINE Bereich Microsoft Solutions in seiner Diplomarbeit berechnet.
Empfehlung des BSI
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT-Grundschutzhandbuch den Einsatz von Drittanbietertools bei der Verwaltung des Microsoft Active Directory. ?Für große Domänen sollte über die Möglichkeit der werkzeuggestützten Verwaltung nachgedacht werden. Es gibt verschiedene (?) Werkzeuge, die die AD-Verwaltung erleichtern. Es sollte überlegt werden, diese einzusetzen. Werden solche Werkzeuge verwendet, so muss sichergestellt werden, dass die AD-Verwaltung ausschließlich durch diese Werkzeuge erfolgt.?
Ausblick
In diesem Sinne soll das Portal auch für die interne Administration durch die IT-Verbindungsstellen in den KVBW Fachabteilungen zum Einsatz kommen. Dabei wird neben der Domäne der Partnerkassen auch die interne Active Directory Domäne in die Lösung integriert. Eine Ergänzung des Portals um Single-Sign-On und ein MetaDirectory zu einer integrierten Identity-Management-Lösung ist ebenfalls angedacht. Die COMLINE AG ruht sich jedoch nicht auf den Lorbeeren von HP und Microsoft aus. Eine Erweiterung um die Anbindung von Webservices und eine Schnittstelle zur Administration von Fileservern befindet sich bereits in der Entwicklung.
COMLINE IdentityPortal
Das COMLINE IdentityPortal (CLIP) erlaubt die webbasierte Verwaltung von Benutzern und Gruppen im Microsoft Active Directory und anderen Verzeichnissen. Das Portal wird darüber hinaus als Frontend für Identitätsverwaltungslösungen und MetaDirectories eingesetzt. Durch die Definition von Prozessen in XML und ein gruppenbasiertes Rollenmodell integriert sich CLIP in die IT-Infrastruktur von mittelständischen Unternehmen und internationalen Konzernen.
CLIP erlaubt dem Portaladministrator eine flexible Anpassung der Lösung an den Bedarf des eigenen Unternehmens. Die vorhandenen oder geplanten Identitätsverwaltungsprozesse können individuell im Portal abgebildet werden. Durch die Verwendung von einfach anpassbaren XML-Vorlagen und eines grafischen XML-Editors ist dies auch Nicht-Entwicklern möglich. Die Prozessvorlagen können für häufig verwendete Prozesse mehrfach für die verschiedenen Verwaltungsbereiche (Domänen, OUs) eingesetzt werden.
Labels: Identity Management, INFOLINE
21. August 2005
.::[ Die drei Säulen des Identity Management | Artikel aus INFOLINE 2/2005]::.
Die Komplexität der IT-Infrastrukturen nimmt zu. Administratoren können die Verwaltung der Vielzahl an Systemen kaum noch bewältigen. Anwender werden vor neue Herausforderungen gestellt. Parallel genügen die Systeme nicht mehr den heutigen Sicherheitsanforderungen. Identity Management ist hier eine Lösung. Die INFOLINE gibt Ihnen einen Überblick über dieses aktuelle IT?Thema.
Identity Management ist ein Oberbegriff für mehrere Lösungsansätze in modernen IT?Infrastrukturen. Zunächst wird Identity Management meist mit der Synchronisation von Benutzerkontendatenbanken gleichgesetzt. Aber ebenso gehören Benutzerportale und die Vereinfachung der Anmeldung zu diesem Thema. Identity Management sollte immer als Gesamtlösung betrachtet werden und sich dabei mehr auf die vorhandenen Prozesse als auf einzelne IT?Systeme konzentrieren.
MetaDirectory und Identity Integration
Zur Abbildung der Prozesse in der Benutzerverwaltung wird zunächst eine Identitätsmanagementlösung benötigt. Beispiele sind etwa Microsofts Identity Integration Server oder Novells Nsure IdentityManager. Am Anfang steht jedoch nicht eine Produktauswahl, sondern die Durchleuchtung der internen IT?Prozesse. Nach Untersuchungen von Gartner wird ein großer Teil der administrativen Arbeit in die Verwaltung der Benutzerkonten investiert. Trotzdem sind Benutzerverzeichnisse niemals auf dem aktuellen Stand. So werden laut Gartner Benutzer in durchschnittlich 16 Systemen angelegt aber nach Ihrem Ausscheiden nur in weniger als zwei Dritteln der Verzeichnisse wieder gelöscht. Dies bedeutet neben falschen Informationen vor allem ein erhebliches Sicherheitsrisiko.
Eine Identitätsmanagementlösung verbindet die Benutzerverwaltung der unterschiedlichsten IT?Systeme, so dass die Anwender nur einmal zentral gepflegt werden müssen. Oftmals wird ein Anwender so schon bei der Einstellung durch die Personalabteilung erstellt. Aufgrund seiner zukünftigen Rolle im Unternehmen erhält er alle benötigten Konten, Berechtigungen und Anwendungen. Änderungen an seinem Konto, wie zum Beispiel ein neues Kennwort, wirken sich sofort auf alle Systeme aus. Und bei seinem Ausscheiden können alle Konten zentral gesperrt oder gelöscht werden. Es wird weniger Zeit für die Neuanlage, Pflege und Löschung von Konten verwendet. Der gewonnene Zeitgewinn kann zur Erhöhung der Qualität und Sicherheit eingesetzt werden.
Portale und Whitepages
Um Teile der Benutzerverwaltung auch an Nicht-Experten geben zu können, sind neue Lösungen gefragt. Hier helfen prozessorientierte Portale weiter, die jedem Anwender bei einfachster Bedienung genau die Dinge ermöglichen, die er durchführen darf und soll. Eingebettet in das firmeneigene Intranet wird die Benutzerverwaltung vereinfacht und wie selbstverständlich in den Alltag integriert. Zusätzlich wird es möglich, dass der Abteilungsleiter einen Überblick über die von ihm bezahlten Benutzerkonten erhält, der IT-Experte der Fachabteilung Teile der Administration übernimmt oder der Anwender einzelne Eigenschaften seines Kontos selbst verwaltet. Die eingepflegten Informationen im zentralen Verzeichnis werden den Anwendern teilweise zur Suche und Information zugänglich gemacht. Hierbei kann es sich um bekannte Oberflächen, wie zum Beispiel das Microsoft Outlook Adressbuch, handeln oder um sogenannte Whitepages innerhalb eines Intranet-Portals.
Die COMLINE AG hat als Ergänzung zu Verzeichnisdiensten und MetaDirectories eine eigene Portallösung entwickelt. Das COMLINE IdentityPortal (CLIP) wird von unseren Kunden für die Administration von Benutzern und Gruppen ebenso wie für den so genannten Self-Service verwendet. Die Implementierung von CLIP beim Kommunalen Versorgungsverband Baden-Württemberg wurde kürzlich von HP und Microsoft mit dem Partner Excellence Award ausgezeichnet (siehe Artikel in dieser Ausgabe).
Single-Sign-On
Abgerundet wird Identity Management durch eine Technologie, die es dem Anwender ermöglicht, mit einer einzigen Anmeldung alle Anwendungen und Daten nutzen zu können, zu denen er Zugang haben soll. Beim Single-Sign-On (SSO) wird die erste Anmeldung am System als allgemein gültig und verbindlich angesehen. In Windows-Umgebungen handelt es sich hierbei zumeist um die Domänenanmeldung. Alle weiteren Applikationen autorisieren den Anwender ohne eine Kennworteingabe, sie akzeptieren die bereits zuvor erfolgte Authentifizierung des Anwenders.
Bei Einführung eines SSO-Clients von Herstellern wie Novell oder Citrix ist es wichtig, dass der Zugang besonders zum ersten Benutzerkonto ausreichend abgesichert wird. Mit diesem einen Konto werden in letzte Konsequenz alle Berechtigungen vergeben. Ob hier die strengsten Kennwortrichtlinien aller Verzeichnisse genügen oder ein Smartcard-System eingeführt wird, hängt vom Sicherheitsbedarf des einzelnen Unternehmens ab.
Identitätsmanagement als COMLINE Lösung
Am Anfang eines Identitätsmanagementprojekts steht zumeist die Schaffung eines führenden Verzeichnisdienstes. Die EDEKA Gruppe hat so zum Beispiel die Einführung des Microsoft Active Directory konzipiert und in einigen Bereichen der Unternehmensgruppe bereits umgesetzt (siehe Artikel in dieser Ausgabe). Außerdem ist es zu empfehlen vor einem Projekt zumindest eine pragmatische Kosten-Nutzen-Analyse durchzuführen (siehe siehe Artikel in dieser Ausgabe). Die COMLINE AG verbindet Best Practise Erfahrungen und ein hervorragendes Know-How in den Produkten ihrer Partner Microsoft, Novell und Citrix mit eigenen Lösungen im Bereich Identity Management.
Labels: Forefront, Identity Management, INFOLINE
16. Mai 2005
.::[ COMLINE AG gewinnt HP/Microsoft Partner Excellence Award]::.
Labels: Chrischmi, COMLINE AG, Identity Management
16. August 2004
.::[ Der Weg aus der Identitätskrise - Verwaltung von Konten mit Metadirectories | Artikel aus INFOLINE 2/2004]::.
In aktuellen IT-Infrastrukturen nimmt die Benutzerverwaltung in einer großen Anzahl von unterschiedlichen Systemen einen wesentlichen Teil der administrativen Arbeitszeit ein. Anwendungen zur Vereinfachung der Administration sind schon lange vorhanden, werden jedoch aufgrund der Komplexität noch selten eingesetzt. Durch neue Produkte wie dem Microsoft Identity Integration Server 2003 ergeben sich aber bereits heute pragmatische Ansätze.
In einem Unternehmen gibt es nach den Zahlen der META Group bis zu 80 Anwendungen mit eigenen Benutzerkonten. Diese werden zum größten Teil in internen Identitätsspeichern gepflegt, aber auch die Zahl der externen Konten bei Partnern und Lieferanten ist nicht zu unterschätzen. Diese Dimensionen sind nach Erfahrung der COMLINE AG den meisten Kundenunternehmen nicht bewusst. Hintergrund ist insbesondere, dass die Pflege der Konten von den verschiedensten Mitarbeitern teilweise unterschiedlicher Abteilungen vorgenommen wird. Nach einer Analyse der IT-Landschaft wird in der Regel erkannt, dass zwischen 20 und 30 Prozent der administrativen Arbeitszeit für die Verwaltung von Identitäten bereitgestellt werden muss.
Probleme mit der aktuellen Situation
Durch die Verteilung der Verantwortung und die redundante Erfassung der Mitarbeiterdaten in den verschiedensten Systemen ergeben sich zahlreiche Unklarheiten. Die Informationen eines einzelnen Systems sind in der Regel unvollständig und oftmals fehlerhaft.
Häufig sind in den IT-Abteilungen von Unternehmen keine Prozesse für den Ein- und Austritt von Mitarbeitern definiert. Die undefinierten Arbeitsabläufe führen in vielen Unternehmen insbesondere bei Personalwechseln zu einem Problem, gilt es doch, neuen Mitarbeitern gleich alle nötigen IT-Systeme zugänglich zu machen und ausgetretenen Mitarbeitern den Zugriff zu verwehren. Ein neuer Mitarbeiter hat keinen Zugriff auf die Vertriebsdaten, ein ehemaliger Kollege kommt immer noch auf das Extranet. Sicher werden Sie derartige Probleme mit Ihren eigenen Beispielen ergänzen können.
Identitätsmanagement als Unternehmensprozess
Wer sollte die Prozessverantwortung für den Identity Lifecycle übernehmen? Eine pauschale Antwort auf diese Frage ist schwierig, doch in der Regel kommt man in diesbezüglichen Diskussionen auf ein Ergebnis: Sichere Kenntnisse über den Mitarbeiterbestand hat zunächst die Personalabteilung.
Während die Neuanlage von Konten in allen benötigten Systemen eher eine technische Herausforderung darstellt, ist die Löschung von Konten und den ggf. damit verknüpften Daten oftmals ein organisatorisches Problem. Daher steht am Anfang der Einführung einer Identitätsmanagement-Lösung zunächst eine intensive Analyse der Ist-Situation und eine Definition des gewünschten Prozessablaufs.
Das Ziel
In der Regel wird als Ziel eine einmalige Kontenanlage und Datenerfassung genannt. Die Konten sollen nach Vorstellung der IT-Abteilungen in die unterschiedlichen Systeme automatisiert synchronisiert werden. Das eigentliche Ziel eines Unternehmens sollte es jedoch sein, die Anzahl der Kontendatenbanken zu reduzieren.
Auch wenn der Traum einer einzigen Datenbank für alle Systeme historisch in die Zeit der reinen Host-Welten fällt, ist es auch mit der Client/Server-Technologie durch konsequente Integration des Auswahlkriteriums Identitätsmanagement in den Beschaffungsprozess durchaus möglich, die Zahl der Kontendatenbanken auf ein Minimum zu beschränken.
In einer komplexeren Infrastruktur wird man jedoch selten auf eine homogene Umgebung mit nur einem Verzeichnis treffen. Eine Integration der verschiedenen Verzeichnisse durch eine Synchronisationslösung ist daher oftmals angebracht.
Aktuelle Lösungen
Bei den meisten Lösungen im Bereich Identitätsmanagement handelt es sich um sogenannte Metadirectories. Ein Metadirectory ist ein Verzeichnis, das vorhandene Quellen integriert. So paradox es klingen mag, ist ein Metadirectory zunächst ein weiteres Verzeichnis und steht damit dem Ziel der Reduzierung der Kontendatenbanken entgegen. Es sammelt aber ausgewählte Daten einzelner Verzeichnisse und sorgt für deren Konsolidierung und Synchronisation. Beinahe alle großen Softwarehersteller bieten in diesem Umfeld eigene Produkte an, Beispiele sind das Novell eDirectory oder der Microsoft Identity Integration Server.
Sehr pragmatische Möglichkeiten ergeben sich aber schon durch die konsequente Nutzung des in den meisten Unternehmen bereits vorhandenen Verzeichnisses, dem Microsoft Active Directory. Dieses kann im Zusammenspiel mit komplementären Softwareprodukten die Rolle des Dirigenten im Konzert der Identitäten übernehmen.
Der Microsoft Identity Integration Server
Die typische Architektur eines Metadirectories soll im Folgenden am Beispiel des Microsoft Identity Integration Servers 2003 dargestellt werden. Das Produkt ist in zwei Versionen erhältlich:
- Beim Microsoft Identity Integration Server 2003 Enterprise Edition (MIIS) handelt es sich um ein Metadirectory mit der Möglichkeit, die verschiedensten Systeme einer heterogenen IT-Welt anzubinden.
- Der kleinere Bruder Microsoft Identity Integration Feature Pack (IIFP) ist ein kostenloses Addon für Windows Server 2003 zur Synchronisation von Active Directory Forests und Exchange 2000/2003 Adresslisten.
Während es sich beim MIIS um ein vollständiges Metadirectory handelt, ist das IIFP in der Regel eher als schnelle Lösung nach einem Merger oder zur Einbindung von Partnern in das eigene Adressbuch zu sehen.
Architektur des MIIS
Der MIIS ist vierstufig aufgebaut:
- Die Connected Directories repräsentieren die an das Metadirectory angebunden Verzeichnisse. Dies kann also zum Beispiel ein Active Directory oder eine SQL Datenbank sein.
- Microsoft stellt für die Anbindung externer Verzeichnisdienste etwa 30 spezialisierte Management Agents zur Verfügung, die über die Verwaltungsoberfläche und durch die Einbindung eigener Programme angepasst werden können.
- Ein Management Agent synchronisiert die Daten eines Verzeichnisses in den Connector Space des MIIS. Der Connector Space wird in einer SQL Datenbank gespeichert und beinhaltet aktuelle und frühere Instanzen der synchronisierten Objekte.
- Die synchronisierten Objekte werden innerhalb der SQL Datenbank in der Metaverse als Identität abgebildet (Projektion) bzw. bereits vorhandenen Identitäten zugeordnet (Join).
Durch diese Architektur ist es möglich, eine beliebige Anzahl von Identitätsspeichern an ein Metadirectory anzubinden. Drittanbietern und Anwenderunternehmen ist es sogar möglich, eigene Management Agents zur Integration spezieller Anwendungen zu entwickeln. In der Regel werden jedoch die Programmiermöglichkeiten innerhalb des MIIS für die Anpassung an den eigenen Bedarf ausreichen.
Metadirectory Strategie
Eine Integration von Kontendatenbanken sollte nicht als Selbstzweck zu verstanden werden. Am Beginn der Einführung einer Lösung für das Identitätsmanagement im Unternehmen steht daher eine reale Kosten-Nutzen-Analyse pro System. Zunächst sollten nur die wichtigsten Systeme des Unternehmens über ein Metadirectory integriert werden. Durch einen zu globalen Ansatz können Budget und Erfolg des Projekts schnell in Bedrängnis geraten.
Bei der Auswahl der Systeme sollten vier wesentliche Kriterien berücksichtigt werden:
- Arbeitet ein großer Teil der Benutzer mit der Applikation?
- Hat das System eine zentrale Bedeutung?
- Handelt es sich um ein kritisches System?
- Gibt es einen Management Agent für das Produkt?
Wenn diese Fragen positiv beantwortet werden können, ist eine Integration im ersten Schritt sinnvoll. Die Integration von weiteren Verzeichnissen kann fortgeführt werden nachdem Erfahrungen mit der Technologie gesammelt wurden.
Identitätsmanagement als COMLINE Lösung
In einem Metadirectory Projekt berät die COMLINE AG den Kunden bereits bei der Analyse der bestehenden Systeme. Aufgrund der vorliegenden Ist-Situation wird eine Software-Lösung ausgewählt. Dies können neben dem hier vorgestellten MIIS auch zum Beispiel ein Novell eDirectory, die OpenSource-Lösung OpenLDAP oder eine der Spezial-Lösungen aus dem Hause Microsoft sein.
Ein Konzept zur Integration der Kontenverwaltungen mit einer Identitätsmanagement-Lösung umfasst dabei neben der Auswahl der zu integrierenden Verzeichnisse auch die Prozesse und den Fluss der Attribute. So ist es zum Beispiel sinnvoll, dass die Mailadresse vom Exchange bzw. Notes Administrator und die Telefonnummer vom Verwalter der Telefonanlage gepflegt wird.
In der Implementierungsphase werden von COMLINE individuelle Lösungen für das Kundenunternehmen entwickelt. Hilfreich für die Reduktion der Komplexität eines Integrationsprojekts ist jedoch immer eine gezielte Auswahl von Software im Hinblick auf die Kontenverwaltung bereits während der Beschaffung.
Ausblick
Identitätsmanagement wird zunehmend bedeutsamer. Unternehmen versuchen durch Akquisitionen auf dem nationalen und internationalen Markt ihre strategische Position zu verbessern. Hierbei werden jedoch auch IT-Infrastrukturen übernommen und stellen Unternehmen vor einen Integrationszwang. Warum also nicht Prozesse, die ohnehin angeglichen werden müssen, direkt als Identitätsmanagement-Prozesse abbilden und somit integrieren statt migrieren. Möglich wird dies aber erst durch die Existenz unternehmensweit einheitlicher Prozessketten, die sich in der IT abbilden lassen. Dann erst lässt sich das volle Potential eines Identitätsmanagements ausschöpfen.
Labels: Forefront, Identity Management, INFOLINE
