Identity Management

Was ist eigentlich Identity Management ?

Dafür gibt es viele hochtrabende und komplizierte Erklärungen.
Eine recht gute Zusammenfassung haben wir in Wikipedia gefunden:

Einer der Gründe, warum man sich in Unternehmen mit Identitätsmanagement (im anglisierten Sprachgebrauch Identity-Management) beschäftigt, ist die Anforderung, personenbezogene Daten konsistent, ständig verfügbar und verlässlich bereitzuhalten. Dienste wie ein Mail-System oder eine Personalbuchhaltung sind auf diese Daten angewiesen, ohne sie wäre kein individualisierter Betrieb möglich.

Beispiel: Ein Mitarbeiter hat ein Mail-Konto, das nur ihm selbst zugeordnet ist. Hierfür benötigt er eine individuelle Mailadresse, einen sogenannten Account mit dem dazugehörigen Passwort. Diese Daten sind nur für ihn und nicht für die Allgemeinheit.

Gegenbeispiel: Eine Firmenpräsentation ist für alle Mitarbeiter einheitlich und bedarf keiner Individualisierung.

Viele solcher individualisierter Dienste hatten nun ihre eigenen Datenstammsätze der Personen: Der Mailserver hatte eine Konfigurationsdatei mit allen teilnehmenden Mailanwendern, die Personalbuchhaltung ihre eigene Stammdatenbank. Diese und die Vielzahl aller anderen Services zusammen mit deren Daten untereinander abzugleichen war eine hohe administrative Herausforderung: Änderten beispielsweise Mitarbeiter aufgrund einer Heirat ihren Namen, mussten in allen beteiligten Systemen Anpassungen durchgeführt werden.

In den Neunzigern war der erste Schritt in Richtung Vereinheitlichung dieser Daten die Einführung eines Verzeichnisdienstes. Diese sammelten die personenbezogenen Daten und stellten sie beispielsweise über ein standardisiertes Verfahren zur Verfügung.

Nun erkannte man allerdings, dass sich zwar viele, aber längst nicht alle Services unter einem solchen Verzeichnis versammeln konnten. Gerade im Bereich des Personalwesens erwies es sich als ausgesprochen kritisch, Personaldaten einem solchen Verzeichnis zu überlassen. Solche Dienste behielten sich ihre eigenen Daten vor und konnten nicht gegenüber Verzeichnissen synchronisiert werden.

Mit dem Aufkommen eines Identity Managements wurden diese Schranken zum ersten Mal durchbrochen: Die Personaldatenbanken konnte die Hoheit über ihre Daten behalten, Datenänderungen wie beispielsweise der eines Namens wurde aber nun über Synchronisations-Mechanismen zum Identity Management hin übermittelt, das seinerseits diese Datenänderung an alle anderen beteiligten Systeme mitteilte.

Identitätsmanagement von Unternehmen

Je größer ein Unternehmen ist, desto mehr müssen Identitäten und Berechtigungen verwaltet werden. Dazu werden sogenannte Identity Management Architekturen eingesetzt. Dabei handelt es sich um Software-Komponenten, die die Identitäten und deren Zugriffsrechte verwalten.

Der Begriff Identity Management im Software-Umfeld umfasst keinen genau definierten Funktionsumfang. So fokussieren sich beispielsweise einfache Systeme ausschließlich auf die Synchronisation von personenbezogenen Daten, während umfassendere Architekturen dagegen Workflow-Prozesse einbeziehen, die ein hierarchisches Genehmigungs-Modell von Vorgesetzten involviert, um Datenänderungen umzusetzen.

Eine Identity Management Architektur sollte über ein Provisionierungsmodul verfügen, das es erlaubt, den Benutzern automatisch aufgrund ihrer jeweiligen Rolle (und auch Aufgaben) in der Organisation individuelle Berechtigungen zu erteilen. Hier stellt sich aber bereits die Frage, wie weit Identity Management über die ausschließliche Verwaltung personenbezogener Daten hinweg Applikations-Funktionalitäten integrieren soll (z.B. ist die "Quota" auf einem Mailserver kein personenbezogenes Datum, sondern eine Applikations-Information).

Identity Management in einem Unternehmen hat vielfach Schnittstellen zum sogenannten Access-Management, das beispielsweise für Portale die Zugriffsrechte verwaltet, Single Sign On (SSO) ermöglicht oder Security Policies verwaltet. Für Identity Management und Access-Management wurde in der Informationstechnik (IT) daher mittlerweile der Begriff "Identity and Access Management" (IAM) geprägt.

Komponenten einer Identity Management Architektur können vielfältig sein. Gängige Basis ist der sogenannte Verzeichnisdienst, in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind, die am häufigsten und von den meisten Systemen abgefragt werden (Name, Mailadresse, Telefonnummer usw.). Dieser Verzeichnisdienst kann einerseits ein Metadirectory sein oder einfach nur ein dedizierter Verzeichnisdienst für eine solche Sicherheitsarchitektur. Weitere Komponenten können sein: SAP-Systeme, Active-Directories, applikations-spezifische Datenbanken. In all diesen Systemen werden personenbezogene Daten gespeichert, die über Identity Management miteinander abgeglichen werden. Die eigentliche Software eines Identity Managements operiert als Broker zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard/Software (bsp. Applikation innerhalb eines Application Servers). Diese Software bezeichnet man als Meta-Directory.

Hier wird auch die Funktionsweise des Provisioning deutlich: Über das Meta-Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt (im günstigsten Fall alle im Unternehmen eingesetzten Systeme). So kann das Identitätsmanagement zentralisiert werden.

Wir bevorzugen die Identity Management Lösung von Novell (IDM), die wir bei unseren Kunden aktiv betreuen.
Novell unterstützt hier ein große Anzahl von Fremdsystemen, die sich auf Basis der sehr soliden und stabilen eDirectory zusammenführen lassen.

Infos finden Sie z.B. unter
http://www.novell.com/de-de/products/identitymanager/

Eine Screen-Cam Demo (Flash-basiert) finden Sie unter
http://www.novell.com/products/identitymanager/idm3_demo.html