Mehr Effizienz und Sicherheit durch Verzeichnisdienste

erscheinen in "NET - Zeitschrift für Kommunikationsmanagement", 11 / 2003, Seite 13

Michael Rogulla[1], Horst Walther[2]

In einem Unternehmen existiert offen oder im Verborgenen eine Vielzahl von verschiedenen elektronischen und papierbasierten Verzeichnissen nebeneinander.

Standardisierte Verzeichnisdienste führen diese Informationen strukturiert zusammen und erlauben einen schnellen Zugriff auf benötigte Daten wie beispielsweise E-Mail-Adressen Telefonnummern oder Benutzerberechtigungen.

Richtig eingesetzt, können Verzeichnisdienste die Anzahl der Datenquellen in einem Unternehmen deutlich reduzieren und im E-Business zu mehr Effizienz und Sicherheit beitragen.

In der Regel ist sowohl aus technischen als auch aus organisatorischen Gründen eine Konsolidierung auf einen einzigen Verzeichnisdienst nicht möglich. Daher bieten sich zur übergeordneten Verknüpfung der verbleibenden Datenquellen virtuelle Verzeichnisdienste und Metaverzeichnisse an. Die Hürden bei der Einführung von Verzeichnisdiensten liegen oft in der Organisation verborgen.

Die Ausgangslage

Verzeichnisdienste sind spezialisierte Datenbanksysteme. Sie bieten über eine normierte Schnittstelle Zugriff auf Daten, die weit verteilt liegen können. In einem Unternehmen richtig eingesetzt, hat man mit ihnen die Möglichkeit, Informationen zentral zu verwalten und dezentral zu nutzen Zudem sind sie auf die Verwaltung von großen Datenmengen optimiert und können große Mengen an Objekten und dazugehörige Informationen verwalten. In den letzten Jahren beobachtete das Informatikzentrum der Sparkassen-Finanzgruppe (SIZ), dass sich Produkte und Markt stark weiterentwickelt haben. Es wird jedoch immer noch eine Zurückhaltung beim Einsatz dieser Infrastrukturkomponenten festgestellt. Besonders weitreichend scheint dabei der Wandel in der Betrachtungsweise zu sein: Ursprünglich wurden Verzeichnisdienste als eine rein technische Infrastrukturkomponente betrachtet, nun werden sie immer öfter als unterstützende Komponenten bei Geschäftsprozessen gesehen. Weil diese aber das gesamte Unternehmen durchlaufen können, berühren Verzeichnisdienste sehr viele Zuständigkeitsbereiche und sind daher als Querschnittskomponente zu betrachten Die Einführung von Verzeichnisdiensten führt aufgrund der vielen notwendigen Abstimmungen innerhalb des Unternehmens oft zu einem sehr hohen Projektaufwand. Er lohnt sich dennoch, denn eine richtig implementierte Verzeichnisdienststruktur kann die Sicherheit erhöhen und die Effizienz durch ein mögliches Automatisieren der Geschäftsprozesse und Bilden von Workflows steigern.

Das Thema in Kürze

Das Informatikzentrum der Sparkassen-Finanzgruppe betrachtet turnusmäßig die Entwicklung wichtiger Schlüsseltechniken wie beispielsweise Verzeichnisdienste, deren unternehmensweiter Einsatz zur Sicherheit im Unternehmen und zur Steigerung der Effizienz der Geschäftsprozesse beitragen kann. Der Beitrag gibt neben einer Auswertung der SIZ-Studie Empfehlungen für die Einführung von Verzeichnisdiensten.

Die Hindernisse

Bisher standen der erfolgreichen Verbreitung von Verzeichnisdiensten wesentliche Hindernisse gegenüber:

Beispiele für den Einsatz

In konkreten Einsatzszenarien beobachtet man häufig, dass mit Verzeichnisdiensten Informationen verwaltet werden, die sich auf Personen beziehen, z.B. Telefonnummern oder Zugriffsrechte auf unternehmensinterne Ressourcen. Betrachten wir dazu folgende aktuelle Beispiele:

Identity Management

Hieraus ist ersichtlich, dass die Verwaltung von Personen ein wichtiges Anwendungsfeld für Verzeichnisdienste ist. Daher haben sich als Spezialisierung aus Verzeichnisdiensten sog. Identity-Management-Systeme als eigenständige Anwendungsklasse entwickelt, die umfangreiche Funktionen für die Verwaltung der Eigenschaften einer realen Person zur Verfügung stellen; man spricht auch von digitalen Personenidentitäten. Die physische Speicherung der Daten kann in Verzeichnisdiensten erfolgen, es gibt aber auch Produkte, die auf relationalen Datenbanken aufsetzen und die Replikationsmechanismen selbst implementieren. Für das Zuordnen von Zugriffsrechten auf IT Systeme bedient man sich spezieller Verwaltungstools, der Resource-Provisioning-Systeme, oft auch Provisioning-Systeme genannt. Diese erteilen und entziehen den digitalen Personen Rechte und sind in der Lage, eine Analyse zu erstellen, wie das Profil der Zugriffsrechte aussieht oder an einem zurückliegenden Zeitpunkt aussah.

Setzt das Identity-Management-System auf einen Verzeichnisdienst auf, der im gesamten Unternehmen verfügbar ist, wird der Nutzen noch gesteigert: Man hat die Möglichkeit, an einer zentralen Stelle die Personen mit ihren zugeordneten Rollen und Rechten zu überwachen und zu steuern.

Empfehlung

Grundsätzlich kann die Einführung von LDAP-fähigen Verzeichnisdiensten empfohlen werden, um die Vielzahl an Datenquellen in einem Unternehmen zu reduzieren. Zudem kann auf die Daten mit Hilfe eines standardisierten und herstellerunabhängigen Protokolls zugegriffen werden. Virtuelle und Metaverzeichnisdienste sind wichtige Integrationswerkzeuge und ihr Einsatz kann empfohlen werden, wenn auf mehrere Verzeichnisdienste eine einheitliche Sicht gebildet werden soll.

Uneinigkeit herrscht noch über Definition und Abgrenzung der Prozesse des Identity Management. Die weitere Entwicklung unternehmensübergreifender Identity-Management-Systeme wie Microsoft Passport oder auf der Spezifikation der Liberty Alliance aufbauender Produkte sollte beobachtet werden. Die Einführung dieser Technik sollte erst nach Stabilisierung der Definitionen und der darauf aufsetzenden Produkte erfolgen.

Innerhalb eines Unternehmens können Identity-Management-Systeme derzeit schon nutzbringend eingesetzt werden, um die Sicherheit und Effizienz im Workflow zu steigern.

Die Einführung einer zentralen Verzeichnisdienststruktur kann je nach Größe des Unternehmens und dem Wissens und Dokumentationsstand über die Unternehmensprozesse eine komplexe Aufgabe sein. Neben den technischen Fragestellungen ist die Analyse der Prozesse und Rollen im Unternehmen sehr aufwendig. Es wird empfohlen, vor der Einführung von Verzeichnisdiensten eine detaillierte Aufwandsabschätzung und Kosten-Nutzen-Analyse durchzuführen.

Weitere Details der SIZ-Studie

Integrationsfähigkeiten

Das SIZ hat in seiner Studie auch die Integrationsfähigkeiten von Verzeichnisdiensten beleuchtet. Diese verfügen bereits über eine eigenständige Integrationskraft, denn

Technisch gesehen kann in einem Unternehmen ein einziger, zentraler Verzeichnisdienst eingesetzt werden, auch wenn es viele und weit verteilte Standorte gibt. Es sind eher organisatorische oder auch rechtliche Gründe, die mehr als einen Verzeichnisdienst erforderlich machen. Hierbei können Integrationskomponenten wie Meta- oder virtuelle Verzeichnisdienste eine einheitliche Sicht liefern:

Anbieter und ihre Positionierung

Anbei sollen die aus unserer Sicht wichtigsten Trends genannt werden; für Details wird auf die komplette Studie des SIZ verwiesen (Michael.Rogulla@siz.de, Horst.Walther@Si-G.com). Mit XML ist LDAP ein potentieller Konkurrent erwachsen.

Folgende Bewegung gab es bei den Unternehmen:

Standards

Technisch gesehen ist das Inter-Server-Replizierungsprotokoll LDUP, dessen Verabschiedung als Standard vor zwei Jahren noch erwartet wurde, nicht gescheitert. Allerdings ist die Spezifikation offenbar erschienen, als die wichtigsten Anbieter bereits eigenentwickelte Mechanismen auf den Markt gebracht hatten. LDUP steht damit jedoch nicht allein, auch die Weiterentwicklung von LDAP stagniert Es scheint kein Zufall zu sein, dass diese Zeit mit dem Erstarken der Anwendung von XML als lingua franca zusammenfällt. Mit XML ist LDAP ein veritabler Konkurrent als Zugriffstechnik erwachsen. Die Definition der Directory Services Markup Language (DSML), eines XML-Dialektes zur Abbildung von LDAPv3, liegt in der Version 2.0 vor. Sie soll LDAP eine Brücke zu XML schlagen.

Ausblick

Die Leistungen von LDAP könnten von XML und dem Simple Object Access Protocol (SOAP) übernommen werden Marktbeobachter gehen davon aus, dass auch die Kommunikation der Verzeichnisdienste untereinander über eine XML-Schicht laufen wird. Damit würde eine direkte, standardisierte Kommunikation zwischen den Verzeichnisdiensten über LDUP nicht mehr zwangsläufig erforderlich sein.

(bk)

[1] Herr Michael Rogulla ist Produktmanager im Ressort Sicherheitstechnologie des Informatikzentrums der Sparkassenorganisation GmbH (SIZ) in Bonn

[2] Herr Dr. Horst Walther ist Geschäftsführer der SiG Software Integration GmbH in Hamburg

Horst Walther, Hamburg