Identity Management für alle
Artikel erschienen in Swiss IT Magazine 2006/19
Identity Management, oft auch als Identity and Access Management bezeichnet, zählt zu den Bereichen im IT-Markt mit dem derzeit stärksten Wachstum. Das ist auch nicht verwunderlich, weil die Sicherheitsherausforderungen, die wachsenden Anforderungen an die Compliance und die zunehmende Umsetzung von Service-orientierten Architekturen ohne Identity Management nicht zu bewältigen sind. Wer beispielsweise einen Geschäftsprozess implementieren möchte, der sich über mehrere Dienste erstreckt, kann das in sicherer Weise nur machen, wenn er auch die Identitäten über diese Dienste hinweg im Griff hat (siehe S. 48).
Auch wenn erst seit wenigen Jahren von Identity Management gesprochen wird, ist das Thema doch eigentlich schon wesentlich älter. Die Wurzeln liegen bei den ersten Verzeichnisdiensten und später den Meta-Directory-Diensten, mit denen Informationen aus verschiedenen Verzeichnissen synchronisiert werden können. Inzwischen wird der Begriff als Klammer über Technologien wie das (Identity) Provisioning, Single Sign-on, Identity Federation, virtuelle Verzeichnisdienste und ähnliche Technologien verwendet.
Im Laufe der Jahre hat sich auch der Fokus deutlich geändert. Während Identity Management historisch sehr technisch geprägt war und vor allem die einfachere Administration und Sicherheit im Blick hatte, haben sich die Treiber geändert. Zwar sind, auch nach der neuen Identity-Marktstudie von Kuppinger Cole + Partner, immer noch Themen wie Sicherheit und Kostenreduktion für administrative Prozesse wichtige Treiber. Andere Aspekte wie die Compliance und die Unterstützung von neuen, Service-orientierten Geschäftsprozessen spielen aber bei grösseren Unternehmen eine immer wichtigere Rolle für Entscheidungen im Identity Management.
Das Thema der kommenden Jahre im Identity Management ist eindeutig Federation. Damit werden standard-basierende Ansätze bezeichnet, mit denen sich Identitätsinformationen über verschiedene Systeme hinweg nutzen lassen. Damit kann beispielsweise bei einem Zulieferer die Verwaltung und Authentifizierung eines Benutzers erfolgen, der im Portal eines Automobilherstellers bestimmte Funktionen ausführen darf. Die Autorisierung, also die Überprüfung der Zugriffsberechtigungen, erfolgt dagegen getrennt von der Authentifizierung (der Prüfung der Identität) beim Automobilhersteller.
Diese Ansätze bieten enormes Potential. So gibt es Beispiele, in denen ein einzelner, grosser Zulieferer mehr als 15’000 Benutzerkonten bei nur einem der grossen Automobilhersteller verwaltet. Wenn man alle Zulieferer und alle Hersteller betrachtet, wird der Umfang des Problems deutlich. Bei den grossen Flugzeugherstellern ist wiederum ein Verhältnis von 1:2 zwischen den internen und externen Benutzerkonten typisch.
Aber auch innerhalb des Unternehmens ist Federation wichtig, weil es die einfachste Möglichkeit ist, sichere Geschäftsprozesse zu realisieren, wenn in den darunterliegenden Anwendungen unterschiedliche Identitätsinformationen verwendet werden. Und das ist heute leider Realität, da es in den meisten Unternehmen unzählige Anwendungen mit einer eigenen Benutzerverwaltung gibt.
Dennoch ist der Schritt hin zur Federation nicht trivial. Noch handelt es sich um relativ neue Standards, die teilweise noch nicht einmal abschliessend veröffentlicht sind. Entsprechend neu sind auch die Technologien, um die Standards umzusetzen. Ein von Kuppinger Cole + Partner im Herbst dieses Jahres durchgeführter Interoperabilitäts-Workshop mit HP, Ping Identity, Novell und Oracle hat aber auch gezeigt, dass sich heute die Federation-Lösungen verschiedener Hersteller innerhalb weniger Stunden integrieren lassen.
Dennoch ist die auch in der Marktstudie ermittelte Einschätzung, dass Federation erst 2008 den Sprung von ersten Pilotprojekten zur breiteren Anwendung schaffen wird, realistisch. Im Business-Bereich wird Federation aber das prägende Thema sein.
Die Hürde bei der Einführung von Federation wird zukünftig ohnehin weniger die Technologie sein. Denn wenn beispielsweise Mitarbeiter eines Zulieferers bei einem Automobilhersteller oder Unternehmenskunden bei einem Reisebüro Anwendungen nutzen sollen, die eben nicht beim Betreiber der Anwendung verwaltet und authentifiziert werden, braucht es auch definierte vertragliche Beziehungen. Und hier liegt die grössere Herausforderung: Der Automobilhersteller muss dem Zulieferer ebenso wie das Reisebüro seinen Kunden vertrauen können, dass diese nur die berechtigten Personen auch authentifizieren.
Auf der anderen Seite steht ein enormes Potential. Neben der einfacheren Administration lassen sich auch neue Geschäftsmodelle umsetzen oder besser realisieren als bisher. Das Spektrum reicht von einer effizienteren Abbildung von Supply Chains über die vereinfachte – und damit vielleicht häufigere, zumindest aber günstigere – Reisebuchung bis hin zu virtuellen Unternehmen, die dank Federation als eine Einheit erscheinen. Grosse Bedeutung hat Federation aber auch für die Weiterentwicklung von Portalen, weil genau dort die Authentifizierung am Portal und die Autorisierung für die Nutzung von Portlets typischerweise getrennt sind.
Neben diesen Entwicklungen auf der Unternehmensebene hat sich in den letzten Monaten, getrieben vor allem durch die sogenannte «Identity Gang», in der sich viele Vordenker der Branche locker zusammengeschlossen haben, eine intensive Diskussion über User-centric Identity Management und Identity 2.0 entwickelt. Identity 2.0 ist dabei deutlich mehr als nur Identity Management für das Web 2.0 – aber ein Zusammenhang besteht natürlich.
Dick Hardt, Begründer des kleinen Softwareherstellers Sxip und eine der treibenden Kräfte hinter der Entwicklung, beschreibt den Unterschied zwischen dem heutigen, unternehmensorientierten Identity 1.0 und Identity 2.0 als eine Entwicklung weg von einer Directory-zentrischen Weltschau hin zu einer, in der die Benutzer im Mittelpunkt stehen. «In Identity 1.0 weiss das System nur, dass ich ein Eintrag in einem Verzeichnis bin», sagt er, «aber es hat keine Ahnung, WER ich bin.»
In der abgeriegelten Welt geschlossener Firmennetze mag das ja noch genügt haben, zumal der Arbeitgeber der «Besitzer» der meisten Identitätsdaten der Mitarbeiter war. Im offenen Kontext des Internet funktionieren solche Systeme seiner Meinung nach nicht, und die Folge ist Mehraufwand für den User (der immer wieder Benutzernamen und Passwörter und viele Informationen über sich selbst ein-tippen muss) sowie Unsicherheit beziehungsweise mangelnde Flexibilität des Systems als
Ganzes.
Beides aber steht dem Geschäftserfolg von Online-Anbietern im Weg. Und – da mag der Zusammenhang zum Web 2.0 sogar noch passen – es verhindert, dass die User die Kontrolle über von ihnen selbst generierte Inhalte verlieren, etwa ihre Online-Poesiealben in MySpace, ihre Fotosammlungen bei Flickr oder ihre Videoclips in YouTube – alles explosionsartig wachsende «Mitmach-Börsen», die alle unter einem riesigen Identity-Problem zu leiden haben.
Hinter Identity 2.0 stehen also durchaus konkrete Business-Interessen, und zwar mit gleich vier verschiedenen Märkten.
Da ist zunächst der Softwaremarkt: Kleine Softwareschmieden wie eben Sxip, aber auch grosse Anbieter wie Novell und Microsoft – letztere mit Kim Cameron in den Diskussionen über die Zukunft des Identity Management ebenfalls führend vertreten – sehen hier einen Markt für ihre Produkte. Windows Vista wird mit CardSpace sogar eine Anwendung für das User-centric Identity Management enthalten – und viele weitere Anbieter arbeiten ebenfalls an Produkten, die CardSpace-kompatibel sind.Der zweite Markt ist der Identity-Provider-Markt. Identity Provider sind diejenigen, die Benutzer authentifizieren und Identitätsinformationen bereitstellen. Das kann der Benutzer auf seinem Rechner selbst machen – nur wer wird ihm vertrauen?
Es wird also ein Markt für Unternehmen entstehen, denen mehr oder weniger vertraut wird und die solche Aufgaben übernehmen. Das können die grossen Player von heute wie Yahoo, eBay oder Google sein, das können die Sicherheitsspezialisten wie Verisign werden, das können aber auch Banken, Telekommunikationsunternehmen oder andere werden, die Kontakt mit vielen Personen haben oder mit spezialisierten Interessensgruppen.
Die andere Seite sind die Service Provider, die ebenfalls geschäftliche Interessen haben. Jeder, der in Zukunft Geschäfte über das Netz machen möchte, wird zum Service Provider in solchen Beziehungen werden – weil er Identitäten akzeptieren muss, die von Identity-Providern zur Verfügung gestellt werden.
Schliesslich wird auch ein Identitätsmarkt entstehen. Durch den einfacheren Austausch der Identitätsinformationen zwischen verschiedenen Beteiligten kann man diese einfacher nutzen. Und die Frage wird immer sein, ob Benutzer wirklich Wert auf Privacy legen und restriktiv kontrollieren, wer welche Identitätsdaten in welcher Form nutzen darf (was Identity 2.0 ermöglicht), oder ob sie nicht für mehr oder minder grossen Gegenwert diese Daten «verkaufen» – beispielsweise für ein Softwarepaket, ein paar Monate kostenloser Nutzung eines Online-Dienstes oder andere Werte.
In jedem Fall ist es nicht so, dass User-centric Identity Management und Identity 2.0 aus dem Nichts entstanden wären. Es geht vielmehr darum, konkrete Business-Probleme zu lösen, die entstehen, wenn man sich nicht mehr nur um relativ wenige Mitarbeiter des eigenen Unternehmens und von Geschäftspartnern, sondern um unzählige Kunden und Interessenten kümmern muss.
Wenn man sich Identity 2.0 näher betrachtet, wird deutlich, dass es sich dabei keineswegs um etwas völlig anderes handelt als bei den bisherigen Ansätzen des Identity Management. Technisch gesehen wird hier wie dort auf Federation gesetzt. Und Identity 2.0 benötigt Verzeichnisdienste bei Identity-Providern. Letztlich geht es bei der Diskussion über Identity 2.0 oder das User-centric Identity Management vor allem um zwei Hauptthemen: Wie kann man den Benutzer stärker einbeziehen, ihm den Umgang vereinfachen und die Kontrolle über die Identität wieder geben? Und wie lassen sich die Systeme für den Kunden öffnen und wie bezieht man diesen in den Prozess ein?
Es geht also letztlich darum, die Unternehmensnetzwerke zu erweitern. Hier braucht es eine starke Basis durch «klassische» Identity-Management-Technologien – und eben neue Ansätze, mit denen man dem Kunden auch gerecht wird, der sich nicht bei jedem seiner Lieferanten neu registrieren und authentifizieren möchte. Identity 2.0 ist also ein sehr konkretes Business-Thema – viel konkreter als vieles, was rund um das Web 2.0 diskutiert wird. Letztlich geht es hier sogar um die Basis dafür, mit Web-2.0-Ansätzen (ebenso wie mit Web-1.0-Ansätzen) wirklich Geld verdienen zu können.