Definition, Status, Trend

Von Dr. Horst Walther, Hamburg[1]

erschienen im HMD, Heft 238, August 2004, Seite 92

Inhalt


     1. Zusammenfassung

     2. Die Ausgangslage

     3. Die digitale Identität

     4. Prozesse des Identity Managements

     5 Komponenten des Identity Management

     6. Federation, der nächste Schritt

     7. Ausblick

     8. Literatur

1. Zusammenfassung 

Der Begriff Identity Management scheint sich zu etablieren. Treiber ist die Absicht vieler Unternehmen, automatisierte Geschäftsprozesse mit dem Internet als Trägermedium zu etablieren. Damit entspricht die dualistische Einteilung der Netzwelt in internes Intranet und externes Internet - mit speziellen Extranets als Behelfskonstrukt für die externe Kommunikation - nicht mehr den Anforderungen. Vielmehr bedarf es der Implementierung eines ganzheitlichen Identity Managements, um so eine sichere und feingranulare Zugriffssteuerung zu erreichen. Unternehmensübergreifende Geschäftsprozesse werden am besten durch das Modell des Federated Identity Management unterstützt. Der mit dem Überschreiten der Unternehmensgrenzen erforderliche Austausch standardisierter Sicherheitsinformationen stellt neue Herausforderungen. Aktuelle Bestrebungen zur Ressourcenvirtualisierung wie Web-Services oder Grid-Computing erhöhen den Handlungsdruck weiter. Parallel dazu haben viele Marktangebote eine für einen unternehmensweiten Einsatz hinreichende Reife erlangt. Amortisationsdauern, beispielsweise bei der Einführung von User Provisioning Systemen, die unter zwei Jahren liegen, lassen Investitionen in bestimmte Systeme auch in wirtschaftlich schwierigen Zeit als sinnvoll erscheinen.

2. Die Ausgangslage 

Neue Begriffe kommen und gehen. Daran haben wir uns gewöhnt. Identity Management scheint zu den Kreationen zu gehören, die uns einige Zeit begleiten werden. Vor etwa drei Jahren tauchte diese Bezeichnung für ein Aufgabengebiet auf, das bereits lange zu den notwendigen Verwaltungsaufgaben im Unternehmen zählte, bis dahin jedoch nicht als einheitliche Disziplin gesehen wurde.

Dem Wandel der Wahrnehmung von Unternehmensaufgaben folgend, ist die Dienstleistung der Verwaltung von Zugriffsberechtigungen neuen Anforderungen ausgesetzt:

3. Die digitale Identität 

Wenn diesen fundamentalen Herausforderungen begegnet werden soll muss als Grundlage eine eindeutige und übergreifend gültige digitale Identität verwendet werden.

Abbildung 1: Die Schalen der digitalen Identität

Die digitale Identität lässt sich gut mit einem Schalenmodell beschreiben.

Vergleichbar ist die digitale Identität damit in der uns bekannten, analogen Welt mit einem Reisepass mit darin enthaltenen Visa für den Grenzübertritt in die entsprechenden Staaten.

4. Prozesse des Identity Managements 

In der Fachwelt hat sich zwar noch keine einheitliche Auffassung darüber durchgesetzt, was unter Identity Management zu verstehen ist. In einer "natürlichen" Definition lässt sich darunter jedoch die ganzheitliche Behandlung von digitalen Identitäten verstehen. Das ist die Disziplin, die sich mit den Prozessen einer digitalen Identität im Laufe ihres Lebenszyklus befasst.

Das Identity Management befasst sich also mit dem Erzeugen / Ändern / Registrieren, dem Verteilen / Bereitstellen / Integrieren / Transformieren, der Verwendung und dem Terminieren / Archivieren von digitalen Identitäten (s. Abb. 1).

Abbildung 2: Der Lebenszyklus einer digitalen Identität

Abbildung 3: Unternehmensfunktionen

Die Prozesse des Identity Management lassen sich außer nach dem Lebenszyklus gruppieren:

Eine eigenwillige, aber wegen der Geschlossenheit ihrer Darstellung interessante, fachliche Klassifizierung stammt von der Fa. Microsoft [Microsoft 2000].  Das Identity Management lässt sich danach in drei Gruppen von Prozessen einteilen, die der Bearbeitung der digitalen Personenidentität dienen:

Abbildung 4:  Prozesse des Identity Managements (Quelle: Microsoft)

Die erste Prozessgruppe repräsentiert also dispositive Prozesse, die zweite die operativen Prozesse und die dritte Gruppe die physikalisch erforderlichen, fachlich aber trivialen Integrationsprozesse. Damit spannt diese Definition den maximalen Rahmen für die Prozesse des Identity Management auf.

5. Komponenten des Identity Management 

So wie fachlich das Identity Management erst seit kurzer Zeit als einheitliche Disziplin betrachtet wird, sind auch die unterstützenden Verwaltungssysteme und operativen Komponenten unabhängig voneinander und ohne Rücksichtnahme aufeinander entwickelt worden. Historisch lassen sich drei große Entwicklungen ausmachen:

Dadurch weisen die so entstandenen Systeme eine hohe funktionale Überlappung auf und lassen sich nicht problemlos zu einer vollständigen Identity Management Infrastruktur zusammenstellen.

Die wichtigsten dieser Komponenten einer Identity Management Infrastruktur sind:

Um aus diesen Teil-Systemen und Einzelkomponenten ein reibungslos zusammen arbeitendes System für das unternehmensweite Identity Management zusammenstellen zukönnen, beginnen die Anbieter mit jeweils unterschiedlichen Ausgangspositionen ihr Portfolio zu erweitern, um sich, über Eigenentwicklungen, Akquisitionen oder Partnerschaften als Komplettanbieter im Identity Management-Markt zu positionieren.

Die anwendenden Unternehmen verlangen hingegen zunehmend danach, sich eine Infrastruktur für das Identity Management aus best-of-breed-Komponenten zusammenstellen zu können.

Dadurch erhalten die vielfältigen Bemühungen über SPML[7], SAML[8], DSML[9] oder XCAML[10], einen standardisierten Informationsaustausch von Identity Informationen zu ermöglichen, eine Schlüsselrolle für die erfolgreiche Etablierung eines unternehmensweiten Identity Management.

6. Federation, der nächste Schritt 

Da das Wesen wirtschaftlichen Handelns in der geschäftlichen Interaktion zwischen Partnern liegt, enden viele Geschäftsprozesse nicht an der Unternehmensgrenze. Diese unternehmensübergreifenden Beziehungen laufen heute bereits großenteils über direkte elektronische Kommunikation. So ist es auch nur folgerichtig, dass die von den Unternehmen festgelegten Identitäten, Rollen und Berechtigungen auch für unternehmensübergreifende Prozesse verwendet werden.

Schon in großen Unternehmen mit wirtschaftlich selbständig agierenden Substrukturen oder räumlich getrennten Niederlassungen ist es jedoch häufig schwierig, eine einzige zentrale Stelle führend mit der Definition von unternehmensweit gültigen Identitäten zu betrauen. Leichter durchsetzbar und flexibler in der Abwicklung ist hingegen die wechselseitige Anerkennung autonom in selbständigen Geschäftsbereichen definierter Identitäten, sogenannter föderierter Identitäten (Federated Identities).  Im unternehmensübergreifenden Geschäftsverkehr bildet sich diese Form der Zusammenarbeit immer mehr als Methode der Wahl heraus.

Dennoch beginnt hier technologisches, organisatorisches und rechtliches Neuland. Für den Schritt des Identity Management über die Unternehmensgrenze hinaus, sind einige zusätzliche Vorkehrungen zu treffen.

Abbildung 5: Quelle: Andre Durand [Durand 2002]

Interessanterweise ist der Anstoß zur Entwicklung dieser Federated Identity Management genannten Disziplin nicht aus dem Unternehmens-Identity Management gekommen, sondern durch das Erscheinen von Microsofts Web-Authentisierungs-Tools Passport ausgelöst worden.

Der Vorstoß von Microsoft, mit dem Produkt Passport eine portable Identity-Definition und -Implementierung auszuliefern, die das Single Sign On speziell für B2C-Anwendungen im Web (Web-SSO) ermöglicht, hat nach anfänglicher "Schreckstarre" zu erheblichen Diskussionen im Markt und auf der politischen Ebene geführt. Vom Konkurrenten SUN Microsystems initialisiert, hat sich daraufhin die Liberty Alliance mit heute über 150 Mitgliedsunternehmen geformt, die mit Gegenspezifikationen für alternative Produkte der übrigen Hersteller begann.

Trust (Vertrauen) ist das Schlüsselwort des Federated Identity Management. Im Deutschen Sprachgebrauch treffen die Begriffe "Verlässlichkeit" oder "Zuverlässigkeit" die geforderten Qualität der Information besser, als die direkte Übersetzung als "Vertrauen". Hier ist den im Unternehmenskontext üblichen Prüfprozessen noch die Überprüfung der Zuverlässigkeit der zugrunde liegenden Informationen vorgeschaltet:

Trust → Identify → Authenticate → Authorize → Access.

In den Umsetzungskonzepten wird die Bereitstellung des fachlichen Dienstes durch einen Service Provider von der des davon unabhängigen Identitätsdienstes durch einen Identity Provider unterschieden. In sogenannten Circles of Trust werden die Identitäten, begleitet von Verlässlichkeitsaussagen (trust) und Anwendungsregeln (policies), unter diesen Partnern weitergegeben.

Heute sind vier wesentliche Organisationen damit befasst, Konzepte für Federation-Standards auszuarbeiten:

Das OASIS Security Services Technical Committee (SSTC[15]) hat die Security Assertion Markup Language (SAML) in der Version 1.1 als Standard publiziert und seine Pläne zur Definition von SAML 2.0 vorgelegt. SAML bietet einen grundlegenden Austauschmechanismus für Authentisierungs- und Autorisierungsinformationen. SAML 2.0 soll vor allem die Lücken in SAML 1.1 füllen, wie das fehlende Session Management und Single Logout und darüber hinaus SAML mit dem Liberty Alliance Identity Federation Framework [Wason2003], für das anwendergesteuerte ("opt-in") Verknüpfen von Benutzerkonten über Standorte und Unternehmen hinweg verschmelzen.

Derweil arbeitet ein anderes Technical Committee, das OASIS eXtensible Access Control Markup Language TC an der eXtensible Access Control Markup Language (XACML)[16]. Dieses TC hat die Aufgabe übernommen, ein XML-Schema und einen entsprechenden Namensraum für die Abbildung von Berechtigungsregeln zu definieren. Die XACML-Version 1.0 ist OASIS-Standard, Version 1.1 liegt als Entwurf (draft) vor. An Version 2.0 wird bereits gearbeitet.

Die Liberty Alliance ist mit ihren Spezifikationen am weitesten fortgeschritten. Sie hat kürzlich ihre Phase 2 Spezifikationen [Fontana 2003] für den zustimmungsgesteuerten Zugriff auf Benutzerattribute veröffentlicht. Phase 3 soll sich mit identitätsabhängigen Diensten befassen wie der Ermittlung des Anwesenheitsstatus oder Kalenderfunktionen.

Das von Microsoft und IBM angeführte Hersteller-Konsortium konzentriert sich zwar darauf Web-Services operativ nutzbar zu machen. Der Ansatz erscheint in seiner Breite jedoch sehr umfassend zu sein. Es arbeitet an einem verbesserten Web Services Framework (WS-*). Die darin enthaltenen Konzepte WS-Trust und WS-Federation basieren ebenfalls auf SAML, sind aber vorerst nicht mit den Arbeiten der Liberty Alliance vereinbar [Kearns 2003].

Dem Shibboleth-Projekt der Internet2-Gemeinde (Internet2/MACE), das seine Spezifikationen und auch bereits Implementierungen in der Version 1.1 vorgestellt hat, wird von Beobachtern der Bewegung eine Marktwirkung noch abgesprochen. Von Datenschützern hervorgehoben wird dessen vorbildliche Steuerungsmöglichkeit der persönlichen Informationen durch die betroffene Person selber.

Ungeachtet aller immer wieder aufkommenden Unstimmigkeiten dieser unterschiedlichen Organisationen scheint sich SAML 2.0 als solide Basis für die Implementierung von Identity Management Verfahren, ob federated oder nicht, zu empfehlen. Weiter findet die zur Abbildung von Policies entwickelte Darstellungssprache XACML immer mehr Zuspruch.

Damit die portable digitale Identity verwendet werden kann, sind neben der Spezifikation technischer und organisatorischer Lösungen, drei weitere Voraussetzungen zu erfüllen: Es ist eine multiprotokollfähige, robuste Referenzimplementierung einer Zugangssoftware bereit zu stellen, ein rechtlicher Rahmen und eine verteilte Infrastruktur zu schaffen, die von den Beteiligten genutzt werden kann.

Es ist bemerkenswert und möglicherweise für den Erfolg entscheidend, dass sich dieser Aufgabenstellungen keines der großen und etablierten Unternehmen, sondern eine kleine Neugründung, die Ping Identity Corporation (PingID), aus Denver, CO, USA (www.pingID.com)angenommen hat.

Abbildung 6: Die zunehmende Bedeutung des Identity Management

PingID vertreibt die entsprechende Federation-Software SourceID und stellt sie gleichzeitig als Open-Source über die non-profit Organisation SourceID (www.sourceid.org) zum kostenlosen Download bereit. Das Open-Source Toolkit SourceID v1.1 unterstützt SAML und Liberty Alliance Protokoll 1.1, ist für Java & .NET erhältlich und soll über Identity Federation eine unternehmensübergreifende Sicherheitslösung unter Partnern bereitstellen.

Um der Forderung nach einem rechtlichen Rahmen zu begegnen, hat PingID das PingID Network ins Leben gerufen. Es soll durch seine Mitglieder getragen werden, sich technologieneutral verhalten und das Regelwerk für die mit der Föderierung von Identitäten verbundenen rechtlichen Fragen erarbeiten. Ausdrücklich ist auch der für jegliche Akzeptanz wichtige Schutz personenbezogener Daten in den Geschäftszielen genannt.

Bewusst sollen die aus dem Interbankenverkehr bekannten Clearing-Häuser wie Plus, Star und Cirrus oder auch Visa als Vorbild dienen. Wenn auch nur bedingt vergleichbar, soll doch von der Analogie gelernt werden. Schließlich kann hier ein Kunde über einen beliebigen Bankautomaten das Geld von einer beliebigen Bank abheben. Noch keine befriedigende Lösung ist allerdings für die Verteilung der Verantwortung im Schadensfalle in Sicht, ein Umstand der für kritische Transaktionen nicht tolerierbar ist. Kritiker eines Weiterreichens der Verantwortung im Schadensfalle[Benson 2003] über eine Prozesskette hinweg sind jedenfalls noch nicht glaubhaft widerlegt worden.

Über das PingID Network soll auch der dritten Forderung begegnet werden, der Schaffung einer Clearing-Infrastruktur für die engagierten Parteien.

7. Ausblick 

Steigender Aufwand bei der Verwaltung von Benutzern und Zugriffsrechten bei weiter anhaltendem Druck zu Senkung von Verwaltungskosten unter gleichzeitiger Wahrung eines angemessenen Sicherheitsniveaus, werden weiterhin gute Gründe für die Beschäftigung mit Identity Management Systemen liefern.

Dabei lassen Amortisationsdauern die, beispielsweise bei der Einführung von User Provisioning Systemen, unter zwei Jahren liegen, Investitionen in derartige Systeme auch in wirtschaftlich schwierigen Zeit als sinnvoll erscheinen.

Für Unternehmen, die planen, effiziente und sichere Internet basierte Unternehmensprozesse einzuführen, wird darüber hinaus die effektive Beherrschung der Infrastrukturdisziplin Identity Management zu einem erfolgskritischen Schlüsselfaktor werden.

Um technisch auf eine systemgestützte unternehmensübergreifende Zusammenarbeit, z.B. über Webservices, vorbereitet zu sein, empfiehlt es sich, die Implementierung einzelner Lösungen in eine offene und an Standards orientierte Gesamtarchitektur einzubetten und in Risiko begrenzenden Stufen zu realisieren. Denn in Form der Beherrschung des Federated Identity Management wartet die nächste Aufgabe auf ihre Bewältigung.

Wichtiger noch als die technischen und organisatorischen Ansätze, wird hierbei, der Weg sein, über den die ersten anwendenden Unternehmen in der Öffentlichkeit, ob Unternehmen oder private Konsumenten, ein angemessenes Vertrauen in die Verlässlichkeit der Prozesse aufbauen und pflegen. Das Teilnehmervertrauen der privaten Verbraucher im B2C-Bereich wird sich möglicherweise über einen Wettbewerb konkurrierender Systeme in einem allmählichen Gewöhnungsprozess bei langsam steigender Bedeutung der Transaktionen herausbilden.

Von den Unternehmen erfordert das eine explizite Marktkommunikation in Sachen Schutz der persönlichen Daten (Privacy) und ein glaubwürdiges, schlüssiges und mit dem globalen Markenimage harmonisiertes Handeln. Wenn das gelingt, wird das Identity Management endgültig die Hinterzimmer der Systemadministratoren verlassen und seinen Platz auf Unternehmensführungsebene eingenommen haben.

Ob es gelingen wird, werden die nächsten 2 - 3 Jahre zeigen.

8. Literatur 


[1]Dr. Horst Walther ist Geschäftsführer der SiG Software Integration GmbH in Hamburg.

[2]Comite Consultatif Internationale de Télégraphie et Téléphonie

[3]International Telecommunications Union-Telecommunication

[4]National Institute of Standards & Technology

[5]RABC: Role Based Access Control

[6]Lightweight Directory Access Protocol

[7]Service Provisioning Markup Language, eine XML Spezifikation fürden Austausch von User provisioning Informationen

[8]Security Assertion Markup Language, eine XML Spezifikation für den Austausch von Authentisierungs- und Autorisierungsinformationen

[9]Directory Services Markup Language, eine XML Spezifikation für die Darstellung von Verzeichnisdienstinformationen

[10]eXtensible Access Control Markup Language, eine XML Spezifikation für die Darstellung von Unternehmensregelungen für den Informationszugriff über das Internet

[11]https://www.oasis-open.org

[12]https://www.projectliberty.org/

[13]https://www-106.ibm.com/developerworks/webservices/library/ws-fedworld/

[14]https://shibboleth.internet2.edu/

[15]https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security

[16]https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

Horst Walther, Hamburg