Es ist ein Top-Thema der IT: Identity Management, also der Umgang mit digitalen Identitäten und ihr Einsatz in verschiedenen Applikationen. Im Mittelpunkt stehen Sicherheitsfragen, die Managementaufgabe geht darüber hinaus. Ein Leitfaden durch das Labyrinth der Techniken, Produkte und Verfahren.
Umfragen zu IT-Investitionen listen das Thema Sicherheit an erster Stelle und erkennen dabei Identity Management als zentrale Aufgabe. Nachdem der Begriff lange Zeit für hohles Marketing stand, bildet sich jetzt eine einheitliche Definition heraus: Identity Management umfasst die Speicherung, Verwaltung und Nutzung von digitalen Identitätsinformationen. Das beginnt beim Speichern in zentralen Verzeichnissen oder auf Smartcards und geht über Authentifizierung und Autorisierung bis hin zu automatisierten Prozessen für das Management von Identitäten.
Eine viel versprechende Anwendung ist E-Government, das ohne digitale Identitäten nicht funktioniert. Zu ihm gehören auch heikle Dinge wie die Gesundheitskarte. Weitere Beispiele sind das umstrittene Digital Rights Management (DRM) sowie automatisierte Geschäftsprozesse, bei denen digitale Identitäten über Unternehmensgrenzen hinweg gelten. Auch immer mehr Business-Themen, von der so genannten Prozessorientierung bis hin zur Compliance, setzen ein funktionierendes Identity Management voraus.
Beim Identity Management sind so viele Technologien anzutreffen, dass jeder Versuch, sie in einer detaillierten Grafik unterzubringen, zum Scheitern verurteilt ist. Ein einfaches Ringmodell wie in Abbildung 1 ordnet die Technologien besser. Basis ist die digitale Identität, also die Repräsentation von Personen oder Gütern in digitaler Form. Jede Person erhält mehrere Identitäten in unterschiedlichen Anwendungen, aber auch in unterschiedlichen Rollen.
Abbildung 1: Dieses einfache Grundmodell gliedert die Aufgaben des Identity Management in fünf Ringe, von der logischen Funktion digitaler Identitäten über ihre Speicherung bis zur Nutzung.
Identitätsinformationen müssen gespeichert werden, zum Beispiel lokal auf Smartcards oder (vor allem bei Gütern) auf RFID-Tags. Die meisten Identitätsdaten liegen aber auf Servern in Verzeichnisdiensten. Dort kommen dedizierte Dienste wie Novells E-Directory, OpenLDAP oder Microsofts Active Directory zum Einsatz, teilweise sind die Verzeichnisse aber auch in Anwendungs-Datenbanken integriert oder in flachen Dateistrukturen gespeichert.
Unabhängig von der technischen Umsetzung darf jede Form, in der Identitätsinformationen abgelegt sind, als Verzeichnisdienst gelten. Aus Sicht der Identity-Managementanwendung erfüllen alle die gleiche Funktion, egal ob die Applikation über JDBC auf eine Oracle-Datenbank oder per LDAP auf einen Sun-Directory-Server zugreift.
Oberhalb der logischen Ebene liegen die technisch orientierten Funktionen des Identity Management. Dazu zählen insbesondere die Synchronisation von Verzeichnisinformationen, aber auch virtuelle Verzeichnisdienste, Anwendungen für das Management von Informationen in verschiedenen Verzeichnissen und letztlich auch technische Lösungen für die Authentifizierung. Selbst Anwendungen wie das Web Access Management sind hier einzuordnen sowie die meisten Passwort-Managementtechniken.
Auf der darüber liegenden Ebene entstanden in den vergangenen Jahren vermehrt Prozess-orientierte Ansätze. Von besonderer Bedeutung sind Provisioning und Identity Federation.
Die Relevanz von Identity Management und die Vielzahl der Technologien in diesem Umfeld haben eine einfache Ursache: Zu viele Dienste, Anwendungen und Systeme speichern Identitätsinformationen an zu vielen Stellen, ohne die Daten zu integrieren oder wenigstens zu synchronisieren. Das führt zu vielen Problemen. Ein einheitliches, anwendungsübergreifendes Sicherheitsmanagement ist kaum umzusetzen, ebenso wenig wie eine effiziente Kontrolle darüber, wer wann welche Informationen genutzt oder geändert hat.
Ein Individuum in verschiedenen Verzeichnissen mit entsprechend vielen digitalen Repräsentationen (Identitäten) zu administrieren führt zu hohem Aufwand. Schlimmer noch: Die Informationen sind nicht immer überall auf dem neuesten Stand. In fast jedem produktiv genutzten Verzeichnis findet sich heute ein erschreckend hoher Anteil an Dateileichen, also Benutzern, die schon längst nicht mehr darin gespeichert sein dürften. Beispielsweise weil sie das Unternehmen verlassen haben.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
