Herausgeber: Deutscher Sparkassen und Giroverband, 50. Jahrgang E 1749, Heft 12

Betriebswirtschaftliche Blätter

Fachzeitschrift für Unternehmensführung in der Sparkassen-Finanzgruppe, Dezember 2001, Seite 591

Betriebswirtschaftliche Blätter, 2001 / 12

Thomas Stock[1], Horst Walther[2]

In einem Unternehmen existiert offen oder im Verborgenen eine Vielzahl verschiedener Verzeichnisse nebeneinander, die vom Telephonbuch[3] über den Leitungsplan in klassischer Print-Form bis hin zum elektronischen E-Mail-Verzeichnis oder einer Groupware-Benutzerdatenbank reichen. Daten sind so mitunter mehrfach erfasst. In einem solchen System sind veraltete Daten und Inkonsistenzen nicht auszuschließen, was bei den Unternehmen Insgesamt die Kosten erhöht, In einem Basisprojekt zu Verzeichnisdiensten hat das Informatikzentrum der Sparkassenorganisation (SlZ) den aktuellen Stand sowie Trends herausgearbeitet, den potenziellen Nutzen für die Unternehmen der Sparkassen-Finanzgruppe aufgezeigt und Empfehlungen für ihren Einsatz erarbeitet.

1.1 Informationsbeschaffung und Verzeichnisse

Ursprünglich dienten Verzeichnisse dazu, strukturierte Informationen zu organisieren, zu speichern, zugänglich zu machen und zu verwalten. Diese Ziele werden aber oft durch die vielfältigen Verzeichnisse und die unterschiedlichen eingesetzten Technologien wie Papier, Textdateien, Datenbanken etc, konterkariert. Laut einer Forrester Research-Studie verwaltet das durchschnittliche Fortune 1000-Unternehmen etwa 181 Verzeichnisse (LANline, 2/2000, Seite 56 ff.).Die Probleme, die sich daraus ergeben, werden In den meisten Unternehmen gar nicht wahrgenommen, da ihnen historisch gewachsene Strukturen und Abläufe zugrunde liegen, die ohne äußeren Anlass per se nicht In Frage gestellt werden.

Vor diesem Hintergrund eröffnen die so genannten offenen Verzeichnisdienste und Meta-Verzeichnisse, die in jüngerer Vergangenheit auf den Markt drängen, die Chance, die Situation grundlegend zu verbessern. Durch die Konzentration von Informationen in einem übergreifenden Verzeichnisdienst können logische Redundanzen mit den eingangs erwähnten negativen Folgen vermieden und die Informationsbeschaffung für Mensch und Anwendung signifikant vereinfacht werden. Dies wiederum kann für eine Optimierung der Prozesse im Unternehmen genutzt werden, und damit zu deutlich verbesserten Dienstleistungen und Kosten führen. Die SIZ-Ergebnisse zeigen, dass die Zeit reif ist, nicht nur die technischen Fragen anzugehen, sondern dass auch die organisatorischen Konsequenzen, die daraus erwachsen, verstärkt in Angriff genommen werden sollten.

1.2   Verzeichnisdienste; „proprietär“, „offen“ oder „Meta“

Neben zweckgebundenen, bzw. anwendungsspezifischen Verzeichnissen wie Telefonbüchern setzen sich immer mehr elektronische Systeme durch. Diese sind in der Lage, verschiedene Informationsformate abzubilden und so unterschiedliche Anwendungen gleichzeitig mit konsolidierten Verzeichnisinformationen zu versorgen. Kann darauf mit standardisierten Verfahren zugegriffen werden, spricht man von offenen Verzeichnisdiensten.

In der Vergangenheit waren kaum Verzeichnisse im Einsatz, die anwendungsübergreifend Informationen zur Verfügung gestellt haben. Eine Ausnahme bildet das IBM-Mainframe-Produkt RACF [4], das trotz proprietärer Mechanismen schon seit langem in der Sparkassen-Finanzgruppe auf der Großrechnerplattform OS/390 (früher MVS) eine Ablage (beispielsweise für Zugriffsrechte für Anwendungen und nicht nur für „betriebssysteminterne Zwecke zur Verfügung stellt.

Die in der Sparkassen-Finanzgruppe üblichen Betriebsysteme aus dem Client- / Server-Umfeld werden ebenfalls zunehmend mit eigenen integrierten Verzeichnisdiensten ausgeliefert (Active Directory mit Windows 2000, iPlanet mit Solaris etc). Auch sie verfügen über offene Schnittstellen. Für systemnahe Zwecke sollte man auf diese mit der Plattform ausgelieferten Verzeichnisdienste zurückgreifen. Zu erwarten ist, dass plattformspezifische Anwendungen diese Verzeichnisdienste künftig intensiv nutzen werden. Dies dürfte einerseits dazu führen, dass sich die Verzeichnis-Strukturen innerhalb von Unternehmen deutlich konsolidieren- Andererseits setzen auch plattformübergreifend verfügbare Anwendungen zunehmend auf offene Verzeichnisdienste oder nutzen diese über die standardisierte LDAP-Schnittstelle alternativ zur eigenen Ablage (SAP R/3 etc).

Ein einziges, unternehmensweites und allumfassendes physisches Verzeichnis dürfte dennoch bis auf weiteres eine Utopie bleiben. Allerdings kann der nach wie vor vorhandene Bedarf nach automatisierter Koordination und Synchronisation der verschiedenen Verzeichnisse durch den Einsatz eines Meta-Verzeichnisdienstes abgedeckt werden. Er verknüpft die wenigen verbleibenden plattform- bzw. anwendungsspezifischen Verzeichnisdienste miteinander und liefert eine logisch einheitliche Sicht (s. Abb. 1.).  Zu den charakteristischen Merkmalen eines Meta-Verzeichnisses gehören, …

Das Meta-Verzeichnis wird künftig zunehmend auch selbst als primäre Ablage für System- und Verzeichnisdienstübergreifende Informationen dienen. Gemeint sind beispielsweise Teile der personenbezogenen Daten (Name, Telefonnummer, E-Mail, Zertifikate) vor allem für plattformübergreifende Anwendungen.

1.3 Die Standards X.500 und LDAP - das ungleiche Paar

Die Protokollstandards der X.500-Serie wurden ursprünglich von der ITU-T[5] geschaffen, um auf global verteilte elektronische Telefonbücher einheitlich zugreifen und zwischen ihnen interagieren zu können. Die in einem langwierigen Standardisierungsprozess gefundenen Lösungen sind auch aus heutiger Sicht funktional vollständig. Allerdings gerieten sie derart umfangreich und anspruchsvoll, dass nur wenige Softwarehersteller sie implementieren. Dieser Aufwand, der für die damals verfügbaren PC hohe Ressourcenbedarf der resultierenden Produkte sowie die Entscheidung, OSI- anstelle von TCP/IP-basierten Protokollen einzusetzen, bescherten den reinen X.500-Verzeichnisdiensten nur eine Nischenexistenz.

Mit dem Wachstum des Internet über die Grenzen von Forschung und Industrie hinaus und dem damit verbundenen wachsenden Einsatz TCP/IP-basierterAnwendungen wuchs auch der Bedarf nach Verzeichnisdiensten, die von Internet-Endgeräten, also auch vom PC, aus genutzt werden konnten. LDAP (Lightweight Directory Access Protocol) wurde ursprünglich allein deshalb entwickelt, um über TCP/IP einen „abgespeckten“ Zugang zu X.500-Verzeichnisdiensten zu ermöglichen.

Inzwischen sind zahlreiche LDAP-Verzeichnisdienste auf dem Markt, die ganz auf ein X.500 -Innenleben verzichten. Aufgrund steigender Ansprüche wurden aber mehr und mehr X.500 -Funktionen in der Internet-Welt nachgebildet und in die LDAP-Protokollfamilie integriert. Vor diesem Hintergrund erklärten die entsprechenden Hersteller zum Jahrtausendwechsel unisono „X.500 ist tot - es lebe LDAP“.

Mittlerweile ist diese Zuversicht jedoch einer Nachdenklichkeit gewichen. Einige Anläufe, die LDAP-Protokollfamilie zu vervollständigen, sind zwischenzeitlich gescheitert. Die Vollständigkeit der X.500-Standards konnte bisher in der LDAP-Welt nicht erreicht werden. Eine LDAP-Schnittstelle ist für X.500-Verzeichnisprodukte obligatorisch und für den Verzeichniszugriff auf Client- Seite quasi verbindlich. Welche Verfahren zwischen Verzeichnis-Servern zum Einsatz kommen, ist für deren Nutzer meist unerheblich. Optimiert für die Server-zu-Server-Kommunikation sind das entsprechende X.500-ProtokoIl DISP[6]; oder proprietäre Verfahren der Hersteller von LDAP-Verzeichnissen. Eingesetzt werden aber auch Verfahren auf Basis der Client-Schnittstelle LDAP, die nicht für umfangreiche Datentransfers konzipiert ist, sowie LDIF[7]-basierter Batch-Datenaustausch, der aber wiederum Echtzeit-Erfordernissen nicht genügt.

1.4 Die Infrastruktur - zentral versus dezentral

Bestehende Verzeichnissysteme in einem logischen Verzeichnisdienst zusammen zu fassen, eröffnet die Möglichkeit für eine zentrale Administration. Denn die Informationen können, auch wenn sie sich in angeschlossenen Datenquellen befinden, in vielen Fällen über den Verzeichnisdienst verwaltet werden. Oft ist es zweckmäßig, die Informationen dort zu pflegen, wo sie tatsächlich anfallen. Nicht sinnvoll ist es dagegen, etwa die Telefonnummernpflege von der  Telefonabteilung auf die Administratoren des Verzeichnisdiensts zu verlagern, da die Abteilungsmitarbeiter meist einen aktuelleren und korrekteren Überblick über den tatsächlichen Stand der verwendeten Nummern haben. Aus organisatorischer und geografischer Sicht muss eine dezentrale Administration deshalb unter der Voraussetzung möglich sein, dass die entsprechenden Zuständigkeiten sauber definiert und im Verzeichnisdienst abgebildet werden.

Oft soll oder muss aufgrund vielfältiger Ursachen die dezentrale Pflege bestehender Verzeichnisdienste beibehalten werden. Innerhalb des logischen, gesamtunternehmerischen Verzeichnisdiensts ist es möglich, diese Anforderungen zu erfüllen und dennoch einen einheitlichen Informationsbestand zur Verfügung zu stellen. Die technischen Voraussetzungen sind bei allen modernen Technologien und Produkten gegeben. Die organisatorischen Regelungen müssen individuell festgelegt werden.

Auch das physische Speichern der Verzeichnisinhalte muss nicht notwendigerweise und ausschließlich zentral erfolgen. Vielmehr lässt das Verzeichnisdienstkonzept mit gesteigerter Verfügbarkeit und Performance sehr wohl eine redundante Speicherung von Daten zu. Allerdings ist diese Redundanz im Gegensatz zur bisherigen Praxis streng kontrolliert, so dass Inkonsistenzen und Mehrfacherfassung von Daten ausgeschlossen werden. Grundsätzlich sollte die Verteilung aber nicht zu weit getrieben werden, da damit auch ein erheblich erhöhter Konfigurationsaufwand und ein höheres Datenkommunikationsaufkommen für Synchronisierungszwecke erforderlich werden könnte. Es empfiehlt sich, die Administration von Verzeichnisdiensten sinnvoll aufzuteilen.

Beispielhafte Integration individueller Verzeichnisse über ein Metaverzeichnis

1.5 Das Schema - Basis für das Design eines Verzeichnisdienstes

Die logische Struktur eines Verzeichnisdienstes wird im so genannten Verzeichnisdienstschema analog einem Datenbankschema beschrieben. Im wesentlichen werden hier die im Verzeichnis enthaltenen Objektklassen (Personen etc) und deren Attribute Vorname, Telefonnummer, E-Mail-Adresse etc) dargestellt. Mit den Attributen werden jeweils auch Regeln assoziiert, um entsprechende Namen zu bilden. Bei Telefonnummern könnte dies etwa eine beliebige Kombination von Ziffern, unter Umständen getrennt durch einzelne Punkte und angeführt von einem „+“ sein (s. Abb. 2).

Beim Entwurf des Schemas für den Verzeichnisdienst, das heißt bei der Definition von Objekten. Attributen und Namensregeln, sind eine Reihe von Design-Regeln zu beachten, die in ihrer Wirkung konkurrieren können. Das SIZ empfiehlt, sich am Verzeichnisstandard X.500 (ISO 9594) zu orientieren. Auch Nicht-X.500- Produkte wie Active Directory von Microsoft oder LDAP-Verzeichnisse haben Grundkonzepte wie den hierarchischen Verzeichnisbaum oder das so genannte attributed naming („c=de“ etc.) von X.500 übernommen,

Das empfohlene generische Schema für offene Verzeichnisdienste innerhalb der Sparkassen-Finanzgruppe ist gekennzeichnet durch eine Zweischichtenstruktur mit einer Instituts- und einer überregionalen Ebene. So müssen nur solche Elemente, die übergreifend relevant sind, auch zwingend in die übergreifende Meta-Verzeichnisstruktur eingebracht werden. Den Instituten kann der gewachsene Gestaltungsspielraum grundsätzlich belassen werden. Auf der Basis von Alias-Verweisen kann danach, sofern erforderlich, weiter strukturiert werden.

Grundsätzlich empfiehlt es sich aber, aufgrund der zu beobachtenden, zunehmenden Integration innerhalb der Sparkassen-Finanzgruppe, auch auf Institutsebene eine abgestimmte einheitliche Verzeichnisstruktur zu entwickeln. Die jeweiligen Infrastrukturen zweier Institute lassen sich dann für den Fall einer Fusion leichter zusammenführen, Darüber hinaus können große und sehr heterogene „Software-Landschaften“ leichter verwaltet werden.

Beispielhaftes Verzeichnisschema und Verzeichniseintrag

Zeitlich überlappend und in enger Abstimmung mit dem vorliegenden SIZ-Projekt wurde das Projekt „Windows 2000: Active Directory“ durchgeführt. Es greift die Ergebnisse des Basisprojektes auf und konkretisiert sie am Beispiel des Microsoft-Active-Directory-Umfelds. Die obigen Empfehlungen enthalten die wesentlichen Rahmenbedingungen für die dortigen Untersuchungen. Über die Ergebnisse dieses Projekts ist in den B.Bl. 11/01 (S. 513 ff.) berichtet worden.

Um die Schemadefinition auszugestalten, empfiehlt das SIZ, nur primär registrierte und publizierte Standard-Objektklassen und -Attributtypen zuzulassen, z.B. die In den X.500-Standards X.520 und X.521 gelisteten und die über autorisierte Organisationen wie IANA[8]; oder DIN[9]-Certco eingetragenen).

Um darüber hinaus, falls erforderlich, eigene Objektklassen und Attribute definieren, registrieren und publizieren zu können, sollte innerhalb des Abdeckungsbereichs eines übergreifenden Meta-Verzeichnisses ein Verfahren eingeführt werden, mit dem noch nicht standardisierte Attributtypen und Objektklassen definiert werden können. Diese Maßnahme stellt die Einheitlichkeit der Schemata sicher. Dies gilt auch dann, wenn In der Sparkassen-Finanzgruppe mehrere Verzeichnisse parallel betrieben werden. Hierzu empfiehlt sich die Installation einer - zumindest logisch - zentralen Schema-Koordinierungsstelle Sie sollte dafür verantwortlich sein, dass neue Objektklassen und Attribute bei den entsprechenden Stellen registriert werden,

1.6 Verzeichnisdienste - Infrastrukturkomponente mit Zukunft

Inzwischen ist mittlerweile für alle in der Sparkassen-Finanzgruppe relevanten Plattformen ein systemnaher Verzeichnisdienst verfügbar. Anwendungen stützen sich zunehmend auf offene Verzeichnisdienste. Wo dies noch nicht der Fall ist, wird dies künftig durch eine stärkere Verbreitung system- naher Verzeichnisdienste gefördert werden, Meta-Verzeichnisse haben dabei eine Funktionalität erreicht, die eine umfassende Integration der wesentlichen Plattformen und Anwendungen unter einem Dach erlaubt.

Der Zeitpunkt für erste Umsetzungsmaßnahmen scheint den Autoren daher erreicht. Allerdings wird dringend davon abgeraten, im ersten Schritt gleich das universelle, alles umfassende Unternehmensverzeichnis schaffen zu wollen. Die Erfahrung zeigt, dass das Prinzip „think big - start small“ sehr viel mehr Erfolg verspricht.

Im Projekt des SIZ konnte exemplarisch gezeigt werden. wie man auf der Basis allgemeiner Prozessbeschreibungen vorgehen sollte. Diese wurden für systemnahe Verzeichnisdienste wie das Active Directory von Windows 2000 und für zwei Beispiele von anwendungsgetriebenem Einsatz von Verzeichnisdiensten (Public Key lnfrastructure /  PKI, Mitarbeiterinformationssystem) konkretisiert. Die Beispiele reflektieren die Felder, in denen die im Projekt beteiligten IT-Dienstleister der Sparkassen-Finanzgruppe den größten Handlungsbedarf sahen.

Abschließend muss noch auf einen wesentlichen Aspekt hingewiesen werden: Werden übergreifende Verzeichnisdienste eingeführt, sind zwar wie bei anderen EDV-Projekten auch zunächst technische Probleme zu lösen. Die eigentlichen Herausforderungen dürften aber eher auf der organisatorischen Seite liegen. Wenn Verzeichnisdaten in größerem Stil mit einem entsprechendem Nutzwert zusammengeführt werden, müssen sich zwangsläufig historisch gewachsene Zuständigkeiten und langjährig geübte Prozesse ändern. Die Unternehmenspolitik ist insgesamt tangiert Es ist daher unabdingbar, dass hochrangige Sponsoren im Unternehmen diese Maßnahmen unterstützen und die Vorteile für das Unternehmen wie für die betroffenen Mitarbeiter deutlich machen.



[1] Dr. Thomas Stock ist Produktmanager im Ressort Grundla­gen im Informatikzentrum der Sparkassenorganisation (SlZ) in Bonn.

[2] Dr. Horst Walther ist Geschäftsführer der SiG Software Inte­gration GmbH in Hamburg

[3] Dessen Inhalte im übrigen praktisch 1 zu 1 auch in der Konfigurationsdatenbank der Telefonanlage des Unternehmens abgelegt sind.

[4] Resource Access Control Facility

[5] International Telecommunication Union - Telecommunication Sector, früher CCITT, Gremium der Mitgliedsstaaten zur Standardisierung (sogenannte Empfehlungen - Recommendations) von Schnittstellen Protokollen und Verfahren im Telekommunikationsumfeld. Zum Entstehungszeitpunkt der X .500-Standards bestimmt von den früheren, Telefon-Monopolgesellschaften.

[6] Directory Information Shadowing Protocol

[7] LDAP Data Interchange Format, Import- / Export­ Datenformat für LDAP-Verzeichnisse.

[8] Internet Assigned Numbers Authority

[9] Deutsches Institut für Normung

Horst Walther, Hamburg