Alle Benutzer unter Kontrolle
Artikel erschienen in Swiss IT Magazine 2009/03
Unter dem Oberbegriff «Identity Management» oder besser «Identity and Access Management» (IAM) hält die Softwareindustrie eine Fülle von Lösungen für die unterschiedlichsten Probleme der Benutzer- und Zugangsverwaltung in IT- und verwandten technischen Umgebungen von der Gebäudezutrittskontrolle bis zum bargeldlosen Zahlungsverkehr am Getränkeautomaten bereit. Im Zentrum der Lösungen steht aber immer der möglichst automatisierte Umgang mit Benutzern und ihren Berechtigungen bei allen involvierten Systemen.
Eine ganze Reihe von Herstellern bietet Lösungen für einzelne Bereiche an, zum Beispiel für die biometrische oder durch technische Hilfsmittel, wie Token-Keys, abgesicherte Authentifizierung oder für die Vereinheitlichung des Zugangs zu verschiedenen Systemen per Single-Sign-on. Unsere Marktübersicht beschäftigt sich jedoch mit kompletten IAM-Suiten, die mehr oder weniger alle Bereiche abdecken. Im Zentrum steht dabei stets der gesamte Lebenszyklus der Benutzeridentitäten, von der Bereitstellung der Zugangsmerkmale für neue Mitarbeiter bis zu den Massnahmen bei Beendigung des Arbeitsverhältnisses, im IAM-Jargon Provisioning beziehungsweise Deprovisioning genannt.
Der Löwenanteil der IAM-Suiten ist auf Grossunternehmen mit mindestens hunderten von Mitarbeitern ausgelegt. Die Lösungen sind dementsprechend komplex zu implementieren, zumal mit der Grösse der Umgebung auch die Anzahl der Schnittstellen zu den Umsystemen zunimmt.
Nur wenige Anbieter positionieren ihr Produkt ausdrücklich für den Mittelstand, IAM für wirklich kleine Unternehmen gibt es nicht – bei einigen Dutzend Mitarbeitern in der typischen Microsoft-orientierten KMU-Umgebung lässt sich die Benutzerverwaltung ja aber auch weitgehend mit den integrierten Grundfunktionen des Active Directory bewältigen.
Die unterschiedlichen IAM-Funktionen sind zwar meist in einer gemeinsam vermarkteten Suite zusammengefasst, können bei vielen Herstellern aber auch in Form von Einzelprodukten lizenziert werden. Nach diesem Modell arbeiten fast alle bekannten Anbieter, wie verschiedene Beispiele zeigen:
? Der IT-Management-Hersteller BMC nennt seine Plattform «Identity Management Route to Value» und bezeichnet sie als «einzige IM-Lösung, die identitätsbasiertes Business-Service-Management ermöglicht». Die Suite besteht aus Komponenten für Zugriffsverwaltung, Provisioning, Passwortmanagement, Auditing und Compliance sowie «Identity Discovery» und arbeitet mit dem Hauptprodukt von BMC, der Atrium Change Management Database (CMDB) zusammen. Damit, so BMC, fliessen die Identitätsinformationen in das allgemeine Service-Management ein und helfen dabei, die Zusammenhänge zwischen Mitarbeitern, IT-Ressourcen, Geschäftsprozessen und Unternehmenszielen zu berücksichtigen.
? Evidian teilt das Identity Managemen in drei Lösungen für die Verwaltung der Benutzeridentitäten selbst, der Benutzerrollen samt Genehmigungs-Workflows und des Zugangs auf. Jeder Bereich wird seinerseits durch mehrere Einzelprodukte abgedeckt – die Identitätsverwaltung bietet zum Beispiel Module für Provisioning und Synchronisation der Identitäten zwischen verschiedenen Systemen.
? Die Global Identity Architecture von Fischer International bietet neben den gängigen Standardfunktionen auch Support für Mobilgeräte: Benutzer können Aufgaben wie Passwort-Reset oder Genehmigung von Provisioning-Anfragen von ihrem PDA aus erledigen. In der Fischer-Suite findet sich auch ein Modul zum Umgang mit privilegierten Benutzerkonten wie Super- und Root-User, Administratoren und Pikettmitarbeiter, die besonders hohen Sicherheits- und Verfügbarkeitsanforderungen unterliegen.
? Die ID Management Suite von Hitachi ID Systems bietet ebenfalls eine Komponente für privilegierte Konten. Interessant ist auch der Access Certifier, der auf Basis individuell definierter Workflows die verantwortlichen Vorgesetzten in regelmässigen Abständen automatisch auffordert, die bestehenden Berechtigungen der Mitarbeiter zu überprüfen. So lassen sich «Karteileichen» ausmerzen und damit verbundene Sicherheitsgefährdungen vermeiden.
? CA und Sun haben die IAM-Lösungen nicht in eine Suite gepackt, sondern bieten separate Produkte an. Der aufgeführte Identity Manager – diese Komponente trägt bei beiden Anbietern die gleiche Bezeichnung – besorgt das Provisioning. Zugangskontrolle, Rollenverwaltung, Single-Sign-on und Federation sind sowohl bei CA als auch bei Sun in eigenständig lizenzierten Produkten umgesetzt. Wie Novell bieten auch Sun und CA einen eigenen Directory-Server an.
Vor allem einige deutsche IAM-Hersteller betonen, ihre Lösung eigne sich besonders für mittelgrosse Unternehmen. Die Positionierung ist für Schweizer Verhältnisse allerdings mit Vorsicht zu geniessen – was im grossen Kanton als «Mittelstand» gilt, findet sich hierzulande eher am oberen Ende der KMU-Skala.
? Global Identity Management von Danet setzt sich aus fünf Komponenten zusammen. Neben Workflow-gestütztem Provisioning und Self-Service-Funktionen zur eigenständigen Pflege der Passwörter durch die Mitarbeiter umfasst die Suite auch einen eigenen Directory-Service mit Anbindung an die Personalverwaltung. Die Komponente Whitepages erleichtert die Suche nach bestimmten Mitarbeitern und präsentiert die Ergebnisse als elektronische Visitenkarte.
? Econet liefert mit dem Identity und Provisioning Manager eine Reihe von Best Practices zum Aufsetzen verschiedener IT-Dienste wie die Einrichtung einer Dateiablage samt Zuordnung der korrekten Benutzerrechte. Auch diese Lösung bietet Workflow-Funktionen für die mit der Benutzeridentität verbundenen Genehmigungs- und Kontrollprozesse.
? IBM offeriert einerseits den «grossen» Tivoli Identity Manager, der unter anderem auch die hauseigenen Mainframe-Systeme unterstützt. Der in der KMU-Linie angesiedelte Tivoli Identity Manager Express eignet sich laut Hersteller als Self-Service-Lösung für das Passwortmanagement in mittelgrossen Unternehmen.
? Microsoft hat den früheren Identity Integration Server ausgebaut und in Identity Lifecycle Management Server 2007 umbenannt. Die Microsoft-Lösung bietet in erster Linie Provisioning. Die Zugriffskontrollfunktionen lassen sich durch zusätzliche Produkte wie den Identity Manager von Omada ergänzen.
? Für Windows-zentrierte Umgebungen sind auch die Produkte von The Dot Net Factory, Tools4Ever und Völcker positioniert. Insbesondere die Völcker-Suite ActiveEntry geniesst nicht nur im deutschen Sprachraum eine hohe Akzeptanz und bietet gute Integrationsmöglichkeiten mit ERP- und Messaging-Sytemen: Das Produkt ist beispielsweise für den Einsatz mit SAP zertifiziert.
Auch EmpowerID von der Dot Net Factory lässt sich mit optionalen Konnektoren unter anderem mit IBM-Midrange-Systemen integrieren. Das Produkt fällt ausserdem schon rein optisch durch eine gut gestaltete Oberfläche auf.
· Die meisten Identity-Management-Suiten sind auf grosse Unternehmen ausgelegt.
· Rollenbasierte Zugangsverwaltung ist heute Standard bei IAM-Lösungen.
· Einige Hersteller bieten Windows-zentrierte Produkte an, die sich für mittelgrosse Umgebungen bis zu einigen hundert Nutzern eignen.