Identitätsdaten als Service

von Jürgen Höfling

Share
25.06.2009

Identitätsdaten als Service Benutzername und Passwort sind uns als Identifizierungsmerkmale und Voraussetzung für die Nutzung von IT-Systemen vertraut geworden. Gleichwohl sind diese beiden Identitätsattribute in den Zeiten der globalisierten Internet-IT weder ausreichend sicher noch ausreichend flexibel.

Für eine globalisierte IT sind Identifizierungsmechanismen notwendig, die einen umfassenden Raum des Vertrauens möglich machen. Dieser neue Typus von Identifizierung beruht dann nicht mehr nur – wie meist bisher – auf Selbstauskunft, sondern auf einem Rating unabhängiger Provider. Ein solches Konzept verfolgt zum Beispiel Microsoft mit seiner »Claims-based Identity«, die die theoretische Basis des sogenannten Geneva-Projekts ist. »Claims-Based Identity« bedeutet nichts anderes als eine Art »Lego-Identität«, die sich aus verschiedenen »verbürgten Attributen« zusammensetzt, die vom Inhaber je nach Granularitäts-Bedarf aktiviert oder auch deaktiviert werden können. Ein ähnliches Prinzip wird übrigens auch bei der Deutschen Gesundheitskarte verfolgt, dort allerdings für einen genau spezifizierten Zweck. Identitätsmanagement in der eben dargestellten globalen Perspektive macht letztlich eine eigene (Middleware-)Schicht notwendig, bei der die jeweiligen Anwendungen die Identitätsdaten, die sie jeweils benötigen, als Service abrufen können. »Es ist interessant zu beobachten, dass Oracle, SAP und Microsoft bei ihren Konzepten auf die Externalisierung von Administration, Authentifizierung und zunehmend auch Autorisierung aus der jeweiligen Anwendung heraus setzen«, konstatiert deshalb Martin Kuppinger, Analyst bei Kuppinger Cole. Technisch umgesetzt werden soll eine solche Externalisierung, so Martin Kuppinger weiter, durch eine »Standardisierung des Identitätsmanagements mittels sogenannter Identity Services«.

Drehscheibe für Sicherheits- und Servicemanagement

Eine eigene Schicht für das Identitätsmanagement lässt sich nicht nur als ein Passepartout für die diversen Internetaktivitäten eines Nutzers einsetzen, sondern auch als Drehscheibe für das Sicherheits- und Servicemanagement des gesamten IT-Systems. Dale Olds, Distinguished Engineer bei Novell, spricht deshalb folgerichtig von der »Identity-aware« CMDB. Schließlich ist eine solche Datenbank für Systemeinstellungen und deren Änderungsprozesse nur dann sinnvoll, wenn klar geregelt ist, wer wann etwas geändert hat und vor allem auch, wer überhaupt welche Einstellungen ändern darf. Gleiches gilt für Sicherheits-Leitstände (Security Information and Event Management, SIEM). Auch hier ist es entscheidend, dass die gesammelten Daten im Konfliktfall einer Person oder Rolle zugeordnet werden können beziehungsweise dass privilegierte Nutzer, zum Beispiel System-Administratoren, Protokolldaten nicht manipulieren können, ohne dass sie Spuren hinterlassen. Dementsprechend werden solche Systeme immer mehr mit Identitätsmanagement-Komponenten verknüpft. Beispiele sind das neue »Tivoli Identity and Access Assurance«-Paket von IBM oder die »Compliance Management Platform« von Novell. Letztere wird zusammen mit dem SIEM-Werkzeug Sentinel als Paketlösung angeboten.

Über die Provisionierung hinaus

Spezialhersteller im Markt der Provisonierungswerkzeuge wie die Berliner Völcker müssen sich angesichts dieser Bündelungsaktivitäten starke Kristalli­sationskerne sichern, an denen sie wachsen können. Als starke Schulter zum Anlehnen bietet sich dazu nicht zuletzt Microsoft mit seinem Identity Lifecycle Manager an. Dieser kombiniert Identitätssynchronisierung, Zertifikats- und Kennwortverwaltung sowie Benutzerprovisionierung in einer Lösung, die systemübergreifend auf Microsoft Windows- und anderen Unternehmenssystemen eingesetzt werden kann (das oben erwähnte Geneva-Projekt ist ja noch deutlich »Beta«). Ebenfalls stark im Fahrwasser von Microsoft segelt die aus Dänemark stammende Omada A/S, die durch ein template-orientiertes Produkt den Nutzern möglichst viel Arbeit abnehmen will. Dr. Martin Kuhlmann, der vor knapp zwei Jahren von Beta Systems als Berater zu Omada gestoßen ist, weist vor allem auf die Prozess-Orientierung des Angebots hin, welche durch Grafik-Workflows noch einmal anwenderfreundlicher werde. Wie Microsoft betont auch Oracle den »Middleware-Charakter« von Identitätsmanagement-Systemen. John Aisien, Vice President Product Management EMEA, verweist in einem Gespräch auf der European Identity Conference (EIC) in München dazu demonstrativ auf seine Visitenkarte, durch die er als Manager für »Fusion Middleware« ausgewiesen wird. Aisien ­betont, dass »moderne Applikationen ohne eine starke Identitätsmanagement-Komponente als »shareable middleware service« nicht mehr denkbar seien«.

GRC und Identitätsmanagement

Nicht zuletzt werden durch eine eigene »Identitäts-Schicht« auch die Karten im Zusammenspiel mit GRC (Governance, Risk, Compliance)-Funktionen neu verteilt. »Generell gilt ja, dass GRC-Elemente, also unter anderem Business-Rollen und Business-Richtlinien zur Steuerung dessen, was Provisioning-Werkzeuge umsetzen, immer mehr an Bedeutung gewinnen«, umreißt Martin Kuppinger die Situation im Blick auf das klassische Identitätsmanagement. In dieser Sichtweise sei GRC eine Steuerung- und Kontrollschicht für Provisioning. Die oben dargestellte Definition von Identitätsmanagement als spezieller Service für Anwendungen dürfte indes, so möchte der Autor ergänzen, das Gefüge GRC und Identitätsmanagement neu ordnen.