Anmelden | 20. May 2004



    VIS-A-VIS

Abo  |  Inhalt


    Aktienmärkte
Dow 9935.79 -0.02%
Dax 3839.32 -0.85%
Nasd 1397.83 +0.11%
Stoxx 2708.55 -0.77%
TecDax 548.40 -1.09%

    VIS-A-VIS

    Ausblicke 2004 Special

  Ausgaben-Archiv

  Factoring-Rechner

  Special

    Special

    Special Factoring

    Special Wachstumsmärkte

    Special IT-Security

    Special Nachhaltigkeit

   www.pfohlmann.de

    Buchbesprechung

    Wissensdatenbank



Das Wissen auf dieser Welt verdoppelt sich innerhalb von sechs bis sieben Jahren. Wie behält man den Überblick?

Thema:
Identity Management

Der Begriff Identity Management scheint sich zu etablieren. Motor der Entwicklung ist die Absicht vieler Unternehmen, automatisierte und unternehmensübergreifende Geschäftsprozesse über Internet abzuwickeln.

Damit bedarf es der Implementierung eines ganzheitlichen Identity Managements, um so eine sichere und feingranulare Zugriffssteuerung zu erreichen.

Der Begriff Identity Management tauchte vor etwa zwei Jahren für ein Gebiet auf, das bereits lange zu den notwendigen Verwaltungsaufgaben im Unternehmen zählte, auch wenn es bis dahin nicht als einheitliche Disziplin gesehen wurde: die Organisation der Zugriffsberechtigungen. Diese ist heute neuen Anforderungen ausgesetzt.

Das Denken in kompletten Geschäftsprozessen verlangt auch von der zugrundegelegten Infrastruktur eine einheitliche Struktur. Isoliert auf der Ebene einzelner Anwendungen definierte Benutzeridentitäten und Zugriffsrechte behindern die Implementierung.
Die unternehmensübergreifende Zusammenarbeit in automatisierten Prozessen lässt sich nicht mehr mit unternehmensweiten technischen Lösungen unterstützen. Nur über standardisierte Formate, Protokolle und Verfahren lässt sich der notwendige minimale Satz an Zugriffsrechten verlässlich über Unternehmensgrenzen hinweg weiter reichen.

Ressourcenvirtualisierung
Grid-Computing, also das temporäre Zusammenschalten heterogener Hardware zu einem einheitlichen Rechnersystem, oder über Web-Services gelieferte Anwendungen erfordern es, digitale Identitäten und ihren Unternehmenskontext effektiv zu verwalten, effizient zu transportieren, transformieren und automatisiert für Rechteprüfungen zu nutzen.

Steigende Dynamik − verschwimmende Grenzen
Der Wechsel wird zum Normalzustand. Mitarbeiter bleiben kürzer als früher mit einer Geschäftsrolle verknüpft. Normal ist auch der zeitweilige Einsatz externer Kräfte, die meist Zugriff auf interne Ressourcen benötigen. Auch die Unternehmensgrenzen verschwimmen: Die logische Vernetzung entstand aus der Reduktion der Fertigungstiefe einzelner Unternehmen zugunsten eines Netzwerkes von Lieferanten und Abnehmern. Ihr folgt nun die elektronische Vernetzung. Die Versprechen des e-Business lassen sich nur erfüllen, wenn die Unternehmen ihr Inneres buchstäblich nach außen kehren und externe Partner direkt an bisher interne Geschäftsprozesse anschließen. Höheres Sicherheitsbewusstsein und externe Auflagen

Erfahrungen mit den Gefahren des Internet, die hohe IT-Abhängigkeit und nicht zuletzt das aktuelle Weltgeschehen haben zu einer erhöhten Security Awareness geführt. Ein "Leih' mir 'mal Dein Passwort!" wird heute nicht mehr akzeptiert. Die elektronische Verkettung von Geschäftsprozessen zu einem Online Business birgt weitere Risiken. Behördliche Regelungen definieren entsprechende Anforderungen. Beispielsweise müssen sich Banken nach den Plänen des Basel Accord II darauf einrichten, für die operativen Risiken ihrer internen Abläufe Rückstellungen zu bilden. Diese lassen sich nur dann reduzieren, wenn nachgewiesen werden kann, dass die internen Abläufe geringere Risiken bergen, als pauschal unterstellt wird.

Die digitale Identität
Wenn die gelisteten fundamentalen Anforderungen erfüllt werden sollen, muss als Grundlage eine eindeutige und übergreifend gültige digitale Identität verwendet werden. Die digitale Identität lässt sich gut mit einem Schalenmodell beschreiben.
  • Identifikation - Der Kern ist eine im Gütigkeitsbereich eindeutige Identifikation. Das ist die "ID”, der Name oder eine Nummer einer natürlichen oder juristischen Person, einer Anwendung oder einer Hardwarekomponente. Sie sollte eine mindestens gleiche Gültigkeitsdauer haben wie die Objekte, die sie repräsentiert.
  • Zertifikate - Die erste Schale bilden die Zertifikate, mit je nach Anforderung unterschiedlich starker Aussagefähigkeit bis hin zur qualifizierten digitalen Signatur nach dem Signaturgesetz.
  • Beschreibung - Die zweite Schale machen nach diesem Modell rollenunabhängige gemeinsame Attribute aus, wie etwa die Adressinformationen oder weitere charakteristische Merkmale.
  • Kontext - In der dritten Schale finden sich die volatilsten aber praktisch bedeutsamsten Merkmale wieder: die von der Rolle des Inhabers abhängigen Berechtigungen. Diese sind unterschiedlich je nachdem, ob eine natürliche Person beispielsweise Kunde, Mitarbeiter, Lieferant oder Gesellschafter oder eine Kombination davon ist.
  • Vergleichbar ist die digitale Identität mit einem Reisepass mit darin enthaltenen Visa für die entsprechenden Staaten.

Prozesse des Identity Managements
In der Fachwelt hat sich zwar noch keine einheitliche Auffassung durchgesetzt, was unter Identity Management zu verstehen ist. In einer "natürlichen" Definition lässt sich darunter jedoch die ganzheitliche Behandlung von digitalen Identitäten verstehen. Das ist die Disziplin, die sich mit den Prozessen einer digitalen Identität im Laufe ihres Lebenszyklus befasst, also mit dem Erzeugen / Ändern / Registrieren, dem Verteilen / Bereitstellen / Integrieren / Transformieren, der Verwendung und dem Terminieren / Archivieren von digitalen Identitäten (s. Abb. 1).

Abbildung 1: Der Lebenszyklus einer digitalen Identität

Die Prozesse des Identity Management lassen sich außer nach dem Lebenszyklus gruppieren … · organisatorisch in (dispositive) Prozesse der Verwaltung der Existenz, ihrer Zertifikate, Rollen und Berechtigungen und in die (operativen) Prozesse der Verwendung während der Authentisierung und der Autorisierung.
  • in fachlich erforderliche (verwalten und verwenden) und physisch durch die technische Implementierung notwendige Prozesse (integrieren, transportieren, transformieren und publizieren).
  • nach den "Schalen" der digitalen Identität (Existenz, Zertifikat, Beschreibung und Kontext), die jeweils verwaltet und verwendet oder integriert, transportiert, transformiert und publiziert werden.
Komponenten des Identity Management
So wie fachlich das Identity Management erst seit kurzer Zeit als einheitliche Disziplin betrachtet wird, sind auch die unterstützenden Verwaltungssysteme und operativen Komponenten unabhängig voneinander und ohne Rücksichtnahme aufeinander entwickelt worden. Historisch lassen sich drei große Entwicklungen identifizieren:
  • Die Idee einer public key infrastructure (PKI) für eine auf Zertifikaten basierende starke Authentisierung lässt sich bis in das Jahr 1976 zurück verfolgen,
  • Die CCITT und heutige ITU-T kam schon 1988 mit der ersten Spezifikation eines Verzeichnisdienstes nach dem X.500- Standard heraus. Noch heute sind die gängigen Verzeichnisdienste von diesen Entwicklungen geprägt.
  • Etwa fünf Jahre später begann das NIST mit seinen Arbeiten über rollenbasierte Zugriffssteuerung . Darauf basieren alle späteren Zugriffsverfahren über Rollen-Mechanismen. Dadurch weisen die so entstandenen Systeme eine hohe funktionale Überlappung auf und lassen sich nicht problemlos zu einer vollständigen Infrastruktur für das Identity Management zusammen stellen.

Wesentliche Komponenten einer Identity Management Infrastruktur sind …
  • Verzeichnisdienste − (Directory Services) sind das Kernelement jeder Identity Management Infrastruktur. Auf die Speicherung großer Mengen kurzer Datensätze und häufige Lesezugriffe optimiert, organisiert nach einem hierarchischen Schema und mit einem standardisierten (LDAP -) Zugriff versehen, dienen sie heute im Regelfalle als Identitätsspeicher.
  • Metaverzeichnisd
  • ienste − sind Integrationskomponenten, die digitale Identitäten aus Verzeichnissen und anderen Informationsquellen auslesen, regelbasiert konsolidieren und in einem Zielverzeichnis ablegen. Sie werden erforderlich, wenn die Vielzahl an verteilten Identity-Informationen heutiger Großunternehmen vereinheitlicht werden soll.
  • Virtuelle Verzeichnisdienste − positionieren sich als leichtgewichtige Alternative zu Metaverzeichnisdiensten, um unterschiedliche Verzeichnisse konsolidieren. Sie liefern jedoch, im Unterschied zu diesen, zur Laufzeit typischerweise die Ergebnismenge an eine Anwendung zurück, die eigentlich einen LDAP-Verzeichnisdienst erwartet.
  • PKI-Komponenten − dienen als Werkzeuge, wenn eine starke Authentisierung gefordert wird. Die Verwaltungsprozesse, die für den Betrieb einer PKI notwendig sind, gelten als aufwändig und haben einen breiten Durchbruch bisher verhindert.
  • EAM-Komponenten − Extranet Access Management −Tools sind ursprünglich für Web-Applikationen entwickelte Autorisierungs-Komponenten. Häufig bieten sie weitere Funktionen des Identity Managements, um so als isolierte Tools einsetzbar zu sein.
  • SSO-Tools − Single Sign On-Systeme sind eher eine Hilfskonstruktion. Sie dienen der Synchronisation der Passwörter unterschiedlicher Systeme und deren Weiterleitung, so dass ein Anwender sich idealerweise nur einmal anmelden muss, um auf alle für ihn freigeschalteten Systeme zugreifen zu können. Da SSO in sich neue Sicherheitsrisiken birgt, stellt Reduced Sign On einen vernünftigen Kompromiss dar.
  • User Provisioning-Systeme sind die jüngste Entwicklung. Sie automatisieren die Prozesse der Beantragung, Vergabe und des Entzugs von Berechtigungen. Sie bieten Reporting Funktionen, um den Berechtigungszustand zu einen beliebigen Zeitpunkt revisionssicher zu dokumentieren. Über Konnektoren können sie die Benutzerberechtigungen direkt in die zu versorgenden Zielsysteme einspeisen.

Ausblick
Systeme wie Metaverzeichnisdienste, virtuelle Verzeichnisdienste und User Provisioning Systeme wurden zu unterschiedlichen Zwecken entwickelt, ihre Funktionen überlappen sich jedoch zunehmend. Entsprechend beginnen die Anbieter mit jeweils unterschiedlichen Ausgangspositionen ihr Portfolio zu erweitern, um sich, teilweise über Eigenentwicklungen, Akquisitionen oder Partnerschaften als Komplettanbieter im Identity Management-Markt zu positionieren. Die anwendenden Unternehmen verlangen hingegen zunehmend danach, sich eine Infrastruktur für das Identity Management aus best-of-breed-Komponenten zusammenstellen zu können.

Dadurch erhalten die vielfältigen Bemühungen über SPML , SAML , DSML oder XCAML , einen standardisierten Informationsaustausch von Identity Informationen zu ermöglichen, eine Schlüsselrolle für die erfolgreiche Etablierung eines Unternehmens Identity Management. Für Unternehmen, die effiziente internetbasierte Unternehmensprozesse einführen wollen, wird die effektive Beherrschung der Infrastrukturdisziplin Identity Management zu einem erfolgskritischen Schlüsselfaktor werden.
Zusätzlich lassen Amortisationsdauern die, beispielsweise bei der Einführung von User Provisioning Systemen, unter zwei Jahren liegen, Investitionen in derartige Systeme auch in wirtschaftlich schwierigen Zeit als sinnvoll erscheinen. Dennoch ist es ratsam, v.a. vor dem Hintergrund der Unterstützung künftiger Entwicklungen, wie z.B. Webservices, die Implementierung einzelner Lösungen in eine Gesamtarchitektur einzubetten.

Aktueller Bezug: The Burton Group seit Beginn 2003 in D vertreten und will deutschen Markt aufrollen − der Spezialist für Identity Management weltweit, beheimatet in USA (https://www.tbg.com/). Frankfurt Strategische Partnerschaft mit SIG. Dr. Horst Walther und Manfred Härtel [25.07.2003]


 
    Login
Benutzername

Passwort

Kostenlos registrieren!


    Verwandte Links



Der meistgelesene Artikel zu dem Thema Collaboration:
Identity Management


    Suchen


    Einstellungen
Druckbare Version    Druckbare Version
Diesen Artikel an einen Freund senden    Artikel versenden


Horst Walther, Hamburg