Gastbeitrag: Welcher Identity Provider für was?:
Es gibt mehr als nur die interne IT

von Martin Kuppinger

Share
11.06.2010

Es ist kein neues Thema, dass man sein Identity und Access Management in Unternehmen nicht nur für die Mitarbeiter gestalten sollte. Kunden und Lieferanten gehören auch dazu, denn diese greifen immer mehr auf interne Anwendungen und Informationen zu. Doch interne Verzeichnisse reichen hier nicht unbedingt aus - die Frage, was man mit welchem Identity Provider macht, stellt sich immer mehr.

Martin Kuppinger

Der Identity Provider ist dabei der Dienstanbieter, der Benutzer authentifiziert und Informationen rund um diese Benutzer wie ihre Rolle, ihren Namen und andere Identitätsinformationen bereitstellt. Derzeit beschäftigen sich die meisten Unternehmen dabei mit internen Verzeichnisdiensten. Das Active Directory für die primäre Authentifizierung, Corporate Directories für eine Gesamtsicht auf interne Benutzer, neue Verzeichnisdienste für die Kunden oder Geschäftspartner, die über das Web zugreifen und dergleichen mehr sind die wichtigsten Bausteine.

Diese Innensicht hat aber einen Haken: Externe Benutzer müssen sich bei jedem Unternehmen, mit dem sie zu tun haben, neu registrieren und authentifizieren. Das schafft Probleme, sowohl in Industrien mit einer starken Vernetzung und komplexen Supply Chains als auch für jeden einzelnen als Kunde von eCommerce-Sites und als Nutzer im Internet.

In einigen Branchen wie der Luftfahrt, der Verteidigungsindustrie oder auch der Automobilindustrie gibt es mit Anbietern wie Exostar und Covisint bereits etablierte externe Identity Provider. Auf der anderen Seite gewinnen auch Ansätze wie OpenID und Information Cards zunehmend an Bedeutung. Und auch der nPA (Neuer Personalausweis) arbeitet letztlich mit einem externen Identity Provider. Dass man nicht alles selbst macht, ist also zunehmend die Realität. Und diese Entwicklung wird sich fortsetzen – mit neuen Technologien, mit neuen Standards, mit einer zunehmenden Verbreitung von Federation und darauf basierenden Konzepten wie der claims-basierenden Authentifizierung, die beispielsweise schon in der neuen Microsoft Sharepoint-Version unterstützt wird.

Externe Alternativen prüfen

An einigen Stellen lohnt es sich durchaus, externe Identity Provider zu betrauen. (Bild: Nataliya Hora, fotolia.com)

Für die interne IT bedeutet das, dass man sich heute damit beschäftigen muss, für welche Transaktionen und Interaktionen und damit eben auch System- und Informationszugriffe welche Identity Provider genutzt werden können. Dort, wo es bessere etablierte externe Alternativen gibt oder geben wird, spricht viel für diese statt der internen Verzeichnisse. Das bedeutet aber, dass man sich mit der technischen Anbindung und damit Federation-Konzepten ebenso intensiv beschäftigen muss wie mit einem abgestuften Konzept der Informationssicherheit, das unterschiedliche Identity Provider zulässt.

Dabei gibt es eine große Bandbreite. Werthaltige und sensitive Informationen und Transaktionen müssen anders abgesichert werden als die einfache Registrierung von Interessenten auf einer Website – für letzteres könnte auch Facebook als Identity Provider ausreichen. Nur mit klaren Konzepten wird man aber den Zielkonflikt zwischen einer einfachen und dennoch sicheren Nutzung lösen können. Und diesen muss man lösen, um optimal mit allen relevanten Benutzergruppen zusammenarbeiten zu können.

*Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole [1], das sich im Schwerpunkt mit den Themenbereichen Identity und Access Management, Governance, Risk Management, Compliance sowie Cloud Computing und Virtualisierung beschäftigt.

[1] http://www.kuppingercole.com/

Verwandte Artikel