INNOVATIONEN FUR DEN GESCHÄFTSERFOLG

Die Sparkassen Zeitung, Beilage April 2003[3ü]

Eine Vielzahl von verschiedenen elektronischen Daten wie E-Mail-Adressen, Telefonnummern oder Benutzerberechtigungen existieren in einem Unternehmen nebeneinander. Manche Mitarbeiter, vor allem die international agierender Unternehmen, träumen davon, schnellen Zugriff auf die weltweit abgelegten Daten zu haben. Der Wunsch geht mit dem Einsatz standardisierter Verzeichnisdienste in Erfüllung, die die Anzahl der Datenquellen deutlich reduzieren und im E-Business zu mehr Effizienz und Sicherheit beitragen.

Michael Rogulla[1], Horst Walther[2]

Aus technischen und organisatorischen Gründen ist eine Konsolidierung auf einem einzigen Verzeichnisdienst in der Regel nicht möglich. Daher bieten sich zur übergeordneten Verknüpfung der verbleibenden Datenquellen virtuelle Verzeichnisdienste und Metaverzeichnisse an. Die Hürden bei der Einführung von Verzeichnisdiensten liegen oft nicht in technischen, sondern in organisatorischen Fragestellungen.

Verzeichnisdienste sind spezialisierte Datenbanksysteme und bieten Zugriff auf weltweit verteilt liegende Daten. Mit diesen lassen sich die Informationen zentral verwalten und dezentral nutzen. Überdies sind Verzeichnisdienste auf die Verwaltung von großen Datenmengen optimiert.

Das Informatikzentrum der Sparkassen-Finanzgruppe (SIZ) betrachtet turnusmäßig wichtige Schlüsseltechnologien, zu denen die Verzeichnisdienste gehören. Auch wenn sich der Markt in den letzten Jahren stark weiterentwickelt hat, wird allerdings immer noch eine Zurückhaltung bei dem Einsatz dieser Infrastrukturkomponenten festgestellt. Ursprünglich wurden Verzeichnisdienste als eine rein technische Infrastrukturkomponente betrachtet. Nun werden diese immer öfter als unterstützende Komponenten bei Geschäftsprozessen gesehen.

Die Einführung von Verzeichnisdiensten führt oft zu einem sehr hohen Projektaufwand. Dennoch lohnen sich die Bemühungen, denn solche Dienste können die Sicherheit im Unternehmen erhöhen und die Effizienz steigern. Bisher standen der erfolgreichen Verbreitung von Verzeichnisdiensten die folgenden Hindernisse gegenüber:

In konkreten Einsatzszenarien wird häufig beobachtet, dass mit Verzeichnisdiensten Informationen verwaltet werden, die sich auf Personen wie Telefonnummern oder Zugriffsrechte auf unternehmensinterne Ressourcen beziehen. Folgende Situationen begründen den Vorteil von Verzeichnisdiensten:

Aus diesen typischen Beispielen wird ersichtlich, dass die Verwaltung von Personen ein wichtiges Anwendungsfeld für Verzeichnisdienste ist. Durch diese Erkenntnis haben sich spezialisierte Verzeichnisdienste, die so genannten, Identity-Management-Systeme" entwickelt . Sie stellen umfangreiche Funktionen für die Verwaltung von so genannten "digitalen Personenidentitäten" zur Verfügung.

Sollen einer Person Zugriffsrechte auf IT-Systeme zugeordnet werden, bedient man sich den speziellen "Ressource-Provisioning-Systemen ". Diese können den digitalen Personen entsprechende Rechte erteilen. Mit den Verwaltungstools lässt sich auch eine Analyse erstellen, wie das Profil der Zugriffsrechte aussieht oder an einem zurückliegenden Zeitpunkt aussah.

Einheitliche Sicht auf unterschiedliche Daten

Das SIZ hat in seiner Studie auch die Integrationsfähigkeiten von Verzeichnisdiensten beleuchtet. Diese verfügen bereits über eine eigenständige Integrationskraft, denn

Technisch kann ein zentraler Verzeichnisdienst eingesetzt werden, auch wenn es viele und weit verteilte Standorte gibt. Wenn aus organisatorischen oder rechtlichen Gründen mehr als ein Verzeichnisdienst erforderlich ist, können Integrationskomponenten wie Metaverzeichnisdienste oder virtuelle Verzeichnisdienste eine einheitliche Sicht liefern.

Für die reine Bereitstellung konsolidierter Verzeichnisinformationen gewinnen die "leichtgewichtigeren" virtuellen Verzeichnisdienste an Bedeutung. Sie stellen lediglich eine einheitliche Sicht auf unterschiedliche Datenquellen dar, ohne die Daten selber zu verändern. Sie haben einen nur-lesenden Zugriff auf die Daten. Metaverzeichnisdienste hingegen verzichten zunehmend auf eine eigene Speicherung. Statt dessen können sie in anderen Verzeichnissen oder sogar in allgemeinen Datenbanken speichern und für einen Datenabgleich zwischen verschiedenen Quellen sorgen. Sie können in den Datenquellen lesen und schreiben. Die folgenden Trends geben einen Aufschluss über die Wichtigkeit von Verzeichnungsdiensten:

Technisch gesehen ist das Inter-ServerReplizierungsprotokoll LDUP, dessen baldige Verabschiedung als Standard vor zwei Jahren noch erwartet wurde, nicht gescheitert. Allerdings ist die Spezifikation offenbar erschienen, als die wichtigsten Anbieter bereits eigenentwickelte Mechanismen auf den Markt gebracht hatten. LDUP steht damit jedoch nicht allein, auch die Weiterentwicklung von LDAP stagniert.

Es scheint kein Zufall zu sein, dass diese Zeit mit dem Erstarken der Anwendung von XML als lingua franca zusammenfällt. Mit XML ist LDAP ein veritabler Konkurrent als Zugriffstechnologie erwachsen. Die Definition der Directory Services Markup Language (DSML), eines XML-Dialektes zur Abbildung von LDAPv3, liegt in der Version 2.0 vor. Sie soll LDAP eine Brücke zu XML schlagen. Die Leistungen von LDAP könnten von XML und dem Simple Object Access Protocol (SOAP) übernommen werden. Marktbeobachter gehen davon aus, dass auch die Kommunikation der Verzeichnisdienste untereinander über eine XMLSchicht laufen wird. Damit würde eine direkte, standardisierte Kommunikation zwischen den Verzeichnisdiensten über LDUP nicht mehr zwangsläufig erforderlich sein.

Grundsätzlich kann die Einführung von LDAP-fähigen Verzeichnisdiensten empfohlen werden, um die Vielzahl an Datenquellen in einem Unternehmen zu reduzieren. Zudem kann auf die Daten mittels eines standardisierten und vom Hersteller unabhängigen Protokolls zugegriffen werden. Virtuelle und Meta-Verzeichnisdienste sind wichtige Integrationswerkzeuge und ihr Einsatz kann empfohlen werden, wenn auf mehrere Verzeichnisdienste eine einheitliche Sicht gebildet werden soll.

Komplexe Aufgabe erfordert genaue Analyse

Uneinigkeit herrscht in der Fachwelt noch über Definition und Abgrenzung der Prozesse des Identity-Management. Die weitere Entwicklung unternehmensübergreifender Identity-Management-Systeme wie Microsoft Passport oder auf der Spezifikation der Liberty Alliance aufbauender Produkte sollte beobachtet werden. Die Einführung dieser Technologie sollte erst nach einer Stabilisierung der Definitionen und der darauf aufsetzenden Produkte erfolgen.

Die Einführung einer zentralen Verzeichnisdienststruktur kann je nach Größe des Unternehmens und dem Wissens- und Dokumentationsstand über die Unternehmensprozesse eine komplexe Aufgabe sein. Neben den technischen Fragestellungen ist die Analyse der Prozesse und Rollen im Unternehmen sehr aufwändig. Es wird empfohlen, vor der Einführung von Verzeichnisdiensten eine detaillierte Aufwandsabschätzung und eine Kosten/Nutzen-Analyse durchzuführen.

[1] Michael Rogulla ist Produktmanager im Ressort Grundla­gen im Informatikzentrum der Sparkassenorganisation (SlZ) in Bonn.

[2] Dr. Horst Walther ist Geschäftsführer der SiG Software Inte­gration GmbH in Hamburg

[3] Eine ausführliche Betrachtung fikndet sich in der Studie des Informatikzentrums der Sparkassen-Finanzgruppe: "Verzeichnisdienste im Wandel".

Horst Walther, Hamburg