Aus Linux-Magazin 05/2005

Die digitale Identität - eine Herausforderung für das IT-Management

Es ist ein Top-Thema der IT: Identity Management, also der Umgang mit digitalen Identitäten und ihr Einsatz in verschiedenen Applikationen. Im Mittelpunkt stehen Sicherheitsfragen, die Managementaufgabe geht darüber hinaus. Ein Leitfaden durch das Labyrinth der Techniken, Produkte und Verfahren.

Umfragen zu IT-Investitionen listen das Thema Sicherheit an erster Stelle und erkennen dabei Identity Management als zentrale Aufgabe. Nachdem der Begriff lange Zeit für hohles Marketing stand, bildet sich jetzt eine einheitliche Definition heraus: Identity Management umfasst die Speicherung, Verwaltung und Nutzung von digitalen Identitätsinformationen. Das beginnt beim Speichern in zentralen Verzeichnissen oder auf Smartcards und geht über Authentifizierung und Autorisierung bis hin zu automatisierten Prozessen für das Management von Identitäten.

Eine viel versprechende Anwendung ist E-Government, das ohne digitale Identitäten nicht funktioniert. Zu ihm gehören auch heikle Dinge wie die Gesundheitskarte. Weitere Beispiele sind das umstrittene Digital Rights Management (DRM) sowie automatisierte Geschäftsprozesse, bei denen digitale Identitäten über Unternehmensgrenzen hinweg gelten. Auch immer mehr Business-Themen, von der so genannten Prozessorientierung bis hin zur Compliance, setzen ein funktionierendes Identity Management voraus.

Bereiche

Beim Identity Management sind so viele Technologien anzutreffen, dass jeder Versuch, sie in einer detaillierten Grafik unterzubringen, zum Scheitern verurteilt ist. Ein einfaches Ringmodell wie in Abbildung 1 ordnet die Technologien besser. Basis ist die digitale Identität, also die Repräsentation von Personen oder Gütern in digitaler Form. Jede Person erhält mehrere Identitäten in unterschiedlichen Anwendungen, aber auch in unterschiedlichen Rollen.

Abbildung 1: Dieses einfache Grundmodell gliedert die Aufgaben des Identity Management in fünf Ringe, von der logischen Funktion digitaler Identitäten über ihre Speicherung bis zur Nutzung.

Abbildung 1: Dieses einfache Grundmodell gliedert die Aufgaben des Identity Management in fünf Ringe, von der logischen Funktion digitaler Identitäten über ihre Speicherung bis zur Nutzung.

Identitätsinformationen müssen gespeichert werden, zum Beispiel lokal auf Smartcards oder (vor allem bei Gütern) auf RFID-Tags. Die meisten Identitätsdaten liegen aber auf Servern in Verzeichnisdiensten. Dort kommen dedizierte Dienste wie Novells E-Directory, OpenLDAP oder Microsofts Active Directory zum Einsatz, teilweise sind die Verzeichnisse aber auch in Anwendungs-Datenbanken integriert oder in flachen Dateistrukturen gespeichert.

Unabhängig von der technischen Umsetzung darf jede Form, in der Identitätsinformationen abgelegt sind, als Verzeichnisdienst gelten. Aus Sicht der Identity-Managementanwendung erfüllen alle die gleiche Funktion, egal ob die Applikation über JDBC auf eine Oracle-Datenbank oder per LDAP auf einen Sun-Directory-Server zugreift.

Oberhalb der logischen Ebene liegen die technisch orientierten Funktionen des Identity Management. Dazu zählen insbesondere die Synchronisation von Verzeichnisinformationen, aber auch virtuelle Verzeichnisdienste, Anwendungen für das Management von Informationen in verschiedenen Verzeichnissen und letztlich auch technische Lösungen für die Authentifizierung. Selbst Anwendungen wie das Web Access Management sind hier einzuordnen sowie die meisten Passwort-Managementtechniken.

Prozess-orientiert

Auf der darüber liegenden Ebene entstanden in den vergangenen Jahren vermehrt Prozess-orientierte Ansätze. Von besonderer Bedeutung sind Provisioning und Identity Federation.

Die Relevanz von Identity Management und die Vielzahl der Technologien in diesem Umfeld haben eine einfache Ursache: Zu viele Dienste, Anwendungen und Systeme speichern Identitätsinformationen an zu vielen Stellen, ohne die Daten zu integrieren oder wenigstens zu synchronisieren. Das führt zu vielen Problemen. Ein einheitliches, anwendungsübergreifendes Sicherheitsmanagement ist kaum umzusetzen, ebenso wenig wie eine effiziente Kontrolle darüber, wer wann welche Informationen genutzt oder geändert hat.

Ein Individuum in verschiedenen Verzeichnissen mit entsprechend vielen digitalen Repräsentationen (Identitäten) zu administrieren führt zu hohem Aufwand. Schlimmer noch: Die Informationen sind nicht immer überall auf dem neuesten Stand. In fast jedem produktiv genutzten Verzeichnis findet sich heute ein erschreckend hoher Anteil an Dateileichen, also Benutzern, die schon längst nicht mehr darin gespeichert sein dürften. Beispielsweise weil sie das Unternehmen verlassen haben.

Gemeinsame Basis

Die vielen Datenquellen für Identitätsinformationen zusammenzufassen oder wenigstens synchron zu halten ist eine der Kernaufgaben im Identity Management. Dafür gibt es eine Reihe von Ansätzen, die sich vor allem in ihrem Integrationsgrad unterscheiden. Das Spektrum reicht von der Verwendung eines Verzeichnisdienstes für mehrere Anwendungen bis hin zur so genannten Identity Federation (Abbildung 2).

Abbildung 2: Identity Federation gewinnt an Bedeutung, weil es die Identitätsdaten lose koppelt. Das zahlt sich besonders aus, wenn Firmen kooperieren und gegenseitig die Identitäten ihrer Mitarbeiter anerkennen.

Abbildung 2: Identity Federation gewinnt an Bedeutung, weil es die Identitätsdaten lose koppelt. Das zahlt sich besonders aus, wenn Firmen kooperieren und gegenseitig die Identitäten ihrer Mitarbeiter anerkennen.

Ein gemeinsamer Verzeichnisdienst für verschiedene Anwendungen hat den Reiz, dass die Identitätsinformationen nur an einer Stelle zentral liegen. Der Ansatz hat aber mehrere Schwächen, beispielsweise unterstützt nicht jede Anwendung jeden Verzeichnisdienst. LDAP ist zwar ein gemeinsamer Nenner, der aber keineswegs immer ausreicht. Viele Anwendungen speichern Identitäten auf proprietäre Weise.

Die Komplexität des Schemas, also der Datenstruktur von Verzeichnisdiensten, erhöht sich mit jeder weiteren Anwendung, die eigene Informationen darin ablegt. Selbst Microsoft ist mittlerweile von der Strategie nur eines zentralen Verzeichnisses abgerückt und hat mit ADAM (Active Directory Application Mode) eine schlankere Active-Directory-Variante vorgestellt, die für Anwendungsverzeichnisse gedacht ist. Das führt zu einem Wald aus vielen Verzeichnisbäumen.

Um Identitäten über mehrere Verzeichnisdienste hinweg zu integrieren, sind neue Ansätze nötig. Etwa ein Meta-Directory-Dienst (siehe Abbildungen 3 und 4). Er synchronisiert Daten zwischen verschiedenen Verzeichnissen, je nach Implementierung unterstützt er gängige Varianten wie Novells E-Directory, Microsofts Active Directory und andere LDAP-Verzeichnisdienste sowie Plattformen wie SAP R/3 (Personalwesen und Benutzerverwaltung), Peoplesoft und viele andere.

Abbildung 3: Novells Nsure Identity Manager verwaltet als Meta-Directory die Daten in anderen Verzeichnisdiensten. Das Bild zeigt die konfigurierten Adapter für eine Implementierung.

Abbildung 3: Novells Nsure Identity Manager verwaltet als Meta-Directory die Daten in anderen Verzeichnisdiensten. Das Bild zeigt die konfigurierten Adapter für eine Implementierung.

Abbildung 4: Mit Microsofts MIIS-Assistenten konfiguriert der Admin die Managementagenten. Mit diesen Adaptern bindet der Microsoft Identity Integration Server fremde Verzeichnisdienste ins Meta-Directory ein.

Abbildung 4: Mit Microsofts MIIS-Assistenten konfiguriert der Admin die Managementagenten. Mit diesen Adaptern bindet der Microsoft Identity Integration Server fremde Verzeichnisdienste ins Meta-Directory ein.

Meta-Directory-Dienste leiden unter einem schlechten Ruf, weil die Synchronisation schnell sehr komplex wird. Außerdem gibt es vor allem in größeren Projekten oft heiße Diskussionen um die Hoheit über die Daten und damit die Machtverhältnisse im Unternehmen. Die steigende Zahl verfügbarer Adapter senkt zwar einige Hürden, lässt sie aber nicht verschwinden. Trotz aller Hindernisse bleibt der Vorteil: Alle angeschlossenen Verzeichnisse halten sicher und mit nur geringer zeitlicher Verzögerung den gleichen Datenstand.

Technologien und
Verfahren

Access Management: Zugriffe auf interne Systeme verwalten, meist über Rollendefinitionen gelöst. Wichtige Aufgabe: Die übergeordneten Rollen aus dem Managementsystem auf die konkreten Rollen- und Gruppenkonzepte der Anwendungen abbilden.

Authentifizierung: Identität eines Benutzers feststellen und verifizieren.

Autorisierung: Zugriff auf Ressourcen (Programme, Verzeichnisse, Anwendungen) für einen authentifizierten Benutzer freigeben.

Entitlement: Vergabe von Berechtigungen für Zugriffe auf Ressourcen, typischerweise ähnlich wie beim Access Management gelöst.

Identity Administration: Verwaltung von Identitäten in unterschiedlichen Verzeichnissen über eine zentrale Schnittstelle.

Identity Federation: Übergabe von Identitätsinformationen zwischen Anwendungen. Basiert auf Standards wie Liberty[1] oder der WS-Familie[2],[3]. Trennt Authentifizierung und Autorisierung.

Meta-Directory-Dienst: Synchronisiert Änderungen in mehreren Verzeichnisdiensten.

Password Management: Verwaltung von Kennwörtern. Der Oberbegriff umfasst verschiedene Technologien wie Password Reset, Synchronisation und Single Sign-on.

Password Reset: Zurücksetzen von Kennwörtern, typischerweise (auch) über ein Selbstbedienungs-Interface für Endanwender.

Password Synchronization: Synchronisation von Kennwortänderungen. Muss jede Änderung erkennen, die ein Benutzer oder Admin vornimmt. Das setzt eine tiefe Integration mit den Systemen voraus.

Provisioning: Bereitstellung von Ressourcen. Ist in der Regel als Workflow implementiert, über den auch Genehmigungen erfolgen.

Role Based Access Control: Rollenbasierte Zugriffskontrolle, teilweise auf den NIST-RBAC-Standards[4] basierend. Dieser Ansatz versucht vorhandene Organisationsstrukturen auf das Zugriffsmanagement abzubilden.

Single Sign-on: Credentials für verschiedene Systeme sicher speichern. Der Benutzer soll sie transparent (also ohne Interaktion) für alle Authentifizierungen nutzen.

Verzeichnisdienst: Speichert die Identitätsinformationen an zentraler Stelle. Oftmals mit LDAP-Schnittstellen implementiert, teilweise aber auch proprietär oder als Komponente in eine Anwendung integriert.

Virtueller Verzeichnisdienst: Integriert die Informationen aus verschiedenen Verzeichnissen dynamisch zur Laufzeit. Stellt sich nach außen als Verzeichnis dar.

Web Access Management: Verfahren zur Autorisierung von Zugriffen auf Web-basierte Anwendungen. Authentifizierung erfolgt zentral, die Anforderungen werden an die Zielsysteme weitergeleitet.

Web Service Security: Sicherheit für Web Services mit Authentifizierung und Kontrolle, Transaktions-basierte Sicherheit entlang der Geschäftsprozesse.

Provisioning

Die Komplexität der Meta-Directories sowie eine stärkere Prozessorientierung haben eine weitere Softwarekategorie hervorgebracht: Provisioning (Bereitstellung). Hierbei automatisiert ein definierter Prozess die Änderungen in verschiedenen Systemen. In kaum einem anderen Bereich gibt es eine so große Vielfalt der Implementierungen.

Vom Workflow getrieben

Einige Anbieter konzentrieren sich auf Workflows und können darüber auch Beschaffungsprozesse anstoßen. Andere haben ihren Schwerpunkt in der technischen Integration mit den Zielsystemen und erkennen dort auch lokale Änderungen. Manche Provisioning-Systeme gehen über das Anlegen von Benutzern und Gruppen hinaus und vergeben zumindest in einzelnen Systemen konkrete Berechtigungen oder stoßen andere Prozesse an, etwa Softwareverteilung.

Praktisch jeder Ansatz weist Stärken und Schwächen auf. Das größte Problem beim Provisioning ist, dass es nur in einer Richtung arbeitet. Es schreibt alle Änderungen in gleicher Weise und gesichert in alle Systeme. Wenn ein Administrator aber lokal in einem der angeschlossenen Verzeichnisse etwas ändert, bleibt dies – ohne Meta-Directories und andere Ansätze – unerkannt. Dennoch haben sich Provisioning-Lösungen zu Recht etabliert.

Provisioning ist nicht als Stand-alone-Produkt zu verstehen, es benötigt immer klare organisatorische Regelungen für die Administration und typischerweise zusätzliche technische Lösungen, beispielsweise Kennwortmanagement oder Meta-Directory-Dienste.

Application
Security Infrastructures

Komplexe Lösungen fürs Identity Management sind oft nur deshalb nötig, weil es zu viele Identitätsinseln im Unternehmen gibt. Während eine Abteilung versucht mit Identity-Management-Projekten einen höheren Integrationsgrad und damit mehr Sicherheit und andere Business-Vorteile zu erreichen, tauchen an anderen Stellen weitere Identitätsinseln auf. Es werden immer noch zu viele Anwendungen neu entwickelt, die sich nicht oder nur schlecht in Sicherheits- und Identitätsinfrastrukturen integrieren lassen.

Application Security Infrastructures betrachten die Definition und Vorgabe von Schnittstellen und Systemen, die eine Anwendung zum Speichern von Identitätsdaten und für die Authentifizierung nutzen muss. Etwa die Zuordnung von Benutzern zu Rollen ebenso wie die Authentifizierung über X.509, Kerberos oder andere verteilte Verfahren.

Für Unternehmen ist es heute zwingend, solche Infrastrukturen zu definieren, damit die IT-Kosten nicht weiter aus dem Ruder laufen, ohne das erforderliche Maß an Sicherheit zu erreichen. Auch Entwickler müssen umlernen. Eine einheitliche Sicherheitsinfrastruktur nutzen ist besser als der Versuch, Sicherheit für jede Anwendung neu zu erfinden.

Virtueller Dienst

Ein relativ neuer Ansatz sind virtuelle Verzeichnisdienste, die Informationen aus mehreren Directories zusammenfassen und in der gewünschten Struktur darstellen. Die Daten liest ein virtuelles Verzeichnis immer aus den untergeordneten Verzeichnissen. Das Virtual Directory selbst enthält nur Mapping-Informationen, die Einträge verschiedener Systeme einander zuordnen.

Die größten Schwachpunkte dieser Technik sind Verfügbarkeit und Performance. Fragt ein Client nach Daten, die in einem gerade nicht erreichbaren Directory lagern, kann das virtuelle Verzeichnis die Anfrage nicht beantworten. Außerdem frisst jede zusätzliche Anwendungsschicht Performance. Dafür sind Virtual Directories einfach aufzusetzen und sehr flexibel beim Darstellen von Informationen. Sie bieten sich vor allem als Ergänzung zu anderen Ansätzen an.

Die spannendste Technik für die gemeinsame Nutzung von Identitätsdaten ist zweifelsohne die Identity Federation. Die Idee dabei ist, Identitätsinformationen zwischen verschiedenen Systemen über definierte Standards weiterzugeben. Entstanden ist sie im Zusammenhang mit Web Services.

Zwei Standards für Federation

Derzeit laufen zwei Standardisierungsprozesse weitgehend parallel, einerseits die von Sun initiierte Liberty Alliance[1], andererseits die federführend von Microsoft und IBM vorangetriebenen WS-Standards wie WS-Federation[2] oder WS-Trust[3]. Die Standards der Liberty Alliance haben den höheren Reifegrad. Allerdings unterscheiden sich die Haupteinsatzbereiche der Verfahren. Es spricht viel dafür, dass es eine Konvergenz der Standards geben wird.

Das Prinzip der Identity Federation ist es, Authentifizierung und Autorisierung zu trennen. Bei einer Qualitätsmanagement-Anwendung in der Automobilindustrie zum Beispiel würden sich die Mitarbeiter der Zulieferer an den Portalen ihrer eigenen Unternehmen authentifizieren. Sie greifen von dort aus auf die Web-basierte Anwendung des Automobilhersteller zu. Diese Applikation vertraut der bereits erfolgten Authentifizierung und fordert vom Zulieferer-Portal zusätzliche Informationen an, etwa die Rolle des Mitarbeiters im Unternehmen. Aus diesen Rolleninformationen ermittelt die Applikation, welche Zugriffsrechte der Person zustehen.

Der große Vorteil des Verfahrens liegt darin, dass der Automobilhersteller die Mitarbeiter seiner Lieferanten nicht mehr selbst verwaltet. Es ist wesentlich sinnvoller, wenn sich deren Arbeitgeber darum kümmert.

Identity Federation wird vor allem in Anwendungsszenarien sehr schnell an Gewicht gewinnen, in denen eine enge Kopplung nicht möglich ist, weil sie entweder technisch zu komplex wäre oder zu hohen Verwaltungsaufwand verursacht. Aber auch hier gibt es einige Hürden. Als neue Technologie muss sich Federation erst in der Praxis bewähren, außerdem verlangen die Vertrauensstellungen zwischen den Firmen nach exakten vertraglichen Regelungen.

Authentifizierung und Autorisierung

Gerade Identity Federation zeigt sehr deutlich die Rolle, die Authentifizierung und Autorisierung beim Identity Management spielen. Entsprechende Systeme müssen einerseits Identitätsinformationen verwalten, andererseits aber auch den Benutzer eindeutig identifizieren (Authentifizierung) und ihm Zugriffsberechtigungen geben (Autorisierung). Die sehr zutreffende Bezeichnung IAM (Identity and Access Management) verliert aber an Bedeutung.

Über Authentifizierung wird viel diskutiert. Selbst Bill Gates hat mit Aussagen wie “Das Passwort ist tot” offenbar erkannt, dass die heutigen Mechanismen nicht mehr ausreichen. Ziel ist eine stärkere Authentifizierung, die auf mehreren Faktoren basiert, beispielsweise Smartcards in Verbindung mit biometrischen Verfahren. Solche Ansätze sind aber ebenso komplex wie teuer und entsprechend selten anzutreffen.

Folglich ist die wichtigste Aufgabe bei der Authentifizierung immer noch das Kennwort-Management. Dieses Thema hat sich fast jeder Anbieter auf die Fahnen geschrieben, mit mehr oder minder tauglichen Verfahren. Der einfachste Ansatz ist das Password Reset, typischerweise mit Webfrontends realisiert. Hier dürfen die Benutzer ihre Kennwörter in mehreren Anwendungen zurücksetzen. Deutlich schwieriger ist die Kennwort-Synchronisation, weil sie tiefe Eingriffe in die Systeme verlangt, um Kennwortänderungen abzufangen. Single Sign-on als weiterer Ansatz fällt ebenfalls recht komplex aus.

Weniger ist mehr

Das Ziel beim Kennwort-Management ist immer, die Anzahl von Credentials, mit denen ein Benutzer umgehen muss, niedrig zu halten. Für die Sicherheit ist das allerdings eine potenzielle Gefahr, da ein gemeinsames schwaches Kennwort für viele Systeme ein größeres Risiko darstellt als viele einzelne schwache Kennwörter für viele Systeme. Dagegen helfen nur zusätzliche Mechanismen zur starken Authentifizierung.

Die zweite Herausforderung nach der erfolgreichen Authentifizierung ist die Autorisierung, also die Zuordnung von Zugriffsrechten. Neben speziellen Produkten aus dem Mainframe-Umfeld gibt es hier Lösungen, die RBAC-Konzepte (Role Based Access Control,[4]) auf andere Plattformen übertragen. Ein spezieller Markt ist das Web Access Management (Abbildung 5), das Zugriffe auf Web-fähige Anwendungen zentral kontrolliert. Diese Systeme entscheiden nach der Authentifizierung, welche Aktionen sie gestatten.

Abbildung 5: Web Access Management kombiniert richtliniengesteuerte Authentifizierung und Autorisierung. Die Identitätsdaten stammen aus dem Directory. Ein Policy-Server leitet daraus die Zugriffsrechte ab.

Abbildung 5: Web Access Management kombiniert richtliniengesteuerte Authentifizierung und Autorisierung. Die Identitätsdaten stammen aus dem Directory. Ein Policy-Server leitet daraus die Zugriffsrechte ab.

Die meisten der bisher besprochenen Lösungen sind auf Sicherheit ausgerichtet. In diesen Bereich investieren die Firmen derzeit am stärksten. Allerdings dient Sicherheit dabei als Sammelbegriff für viele Felder wie Identity Management oder Compliance.

Tatsächlich sind zwei Beweggründe auszumachen. Zu den klassischen Business-Argumenten gehören technische Sicherheit, Kostenreduktion sowie Vereinfachung, beispielsweise durch weniger Kombinationen von Benutzernamen und Kennwörtern. Gerade beim Kostenthema werden aber die Grenzen dieser Motive deutlich. Heute glaubt niemand mehr an übertriebene ROI-Versprechen (Return on Investment). Dennoch ist niemand bereit in IT-Infrastrukturen zu investieren, ohne einen klaren Geschäftsvorteil zu erkennen.

Business-Argumente

Vergangenes Jahr sind daher – wenig überraschend – andere Triebfedern in den Vordergrund gerückt. Eine ist die wachsende Prozessorientierung der IT. Die IT muss vermehrt Business-Anforderungen (und damit Geschäftsprozesse) effizient und sicher umsetzen. Themen wie Provisioning und Identity Federation werden dadurch immer wichtiger.

Der zweite wichtige Treiber für Identity Management ist die Compliance-Diskussion. Compliance bedeutet, gesetzliche Regeln einzuhalten. Einfach formuliert geht es um klare Vorgaben dafür, wer was in welchem System machen darf, sowie um die Kontrolle darüber, wer wann was getan hat.

Ohne das zentrale Wer kann Compliance nicht funktionieren. Ohne das Management von Identitäten ist es kaum möglich, die wachsenden Compliance-Anforderungen zu erfüllen. Dahinter stecken neue Regelungen wie Basel II (einheitliche Risikobeurteilung vor der Kreditvergabe), das Kon-Tra-G (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) oder in den USA der SOX (Sarbanes Oxley Act).

Allrounder …

Nicht erst seit Identity Management ein heißes Thema der IT wurde, gibt es beachtliche Investitionen in diesen Markt. IBM beispielsweise hat schon vor rund fünf Jahren mit dem gezielten Zukauf von Unternehmen in diesem Bereich begonnen. Mittlerweile haben alle Großen im Softwaremarkt wie Sun, HP, Siemens oder eben IBM erheblich in Identity Management investiert. Gleichzeitig sind viele kleinere Anbieter mit spezialisierten Angeboten erfolgreich.

Die Key-Player im Identity-Management-Markt sind heute CA[5], Evidian[6], HP[7], IBM[8], Novell[9] (Abbildung 6), Siemens/Oblix[10] und Sun[11] (Abbildung 7). Alle nehmen für sich in Anspruch, ein vollständiges Portfolio anbieten zu können, aber keiner deckt wirklich alle Bereiche ab. Microsoft würde sich zwar auch gerne auf diesem Level positionieren, die derzeitigen technischen Lösungen sind aber nicht reif genug. Zudem impliziert Identity Management die Integration verschiedener Plattformen, was noch nie eine Stärke von Microsoft war.

Abbildung 6: Verwaltung und Konfiguration von Accounts über Console One, Novells Java-basierter Netzwerkmanagement-Software.

Abbildung 6: Verwaltung und Konfiguration von Accounts über Console One, Novells Java-basierter Netzwerkmanagement-Software.

Abbildung 7: Ein Benutzeraccount im Sun Identity Manager. Das Produkt kombiniert User Provisioning mit einem Meta-Directory-Dienst: Die eingegebenen Daten überträgt die Software in andere Verzeichnisdienste.

Abbildung 7: Ein Benutzeraccount im Sun Identity Manager. Das Produkt kombiniert User Provisioning mit einem Meta-Directory-Dienst: Die eingegebenen Daten überträgt die Software in andere Verzeichnisdienste.

Neben diesen Anbietern gibt es in jedem Segment Spezialisten. Beim Access Management beispielsweise Beta Systems[12] und BMC[13]. Der Markt für Authentifizierungslösungen ist kaum zu überblicken, vor allem im Bereich von PKIs und Smartcards sowie der Biometrie. Die Identity Federation wird auch von Spezialisten wie Ping Identity[14] vorangetrieben. Bei Meta-Directory-Diensten ist der norwegische Anbieter Maxware[15] erwähnenswert, neben kleineren Firmen für spezielle Synchronisationsprobleme, zum Beispiel im Bereich von Messaging-Systemen.

… und Spezialisten

Password Management ist bei Blockade[16] und M-Tech zu finden, beide beherrschen auch die komplexere Synchronisation. Provisioning bietet fast jeder an, während bei RBAC neben den großen Anbietern noch einmal auf Beta Systems[12] zu verweisen ist. Im Single- Sign-on-Umfeld sind Citrix[18] und Protocom[19] wichtig, bei Verzeichnisdiensten kommen noch Oracle und OpenLDAP ins Spiel – und demnächst wohl auch wieder Red Hat.

Virtuelle Verzeichnisdienste gibt es derzeit nur von Spezialisten wie Maxware[15], Octetstring[20] und Radiant Logic[21], allerdings will auch Novell im Sommer eine eigene Lösung vorstellen. Wer Web Access Management sucht, wird unter anderem bei Open Network[22] und Thor[23] fündig.

Projekt, nicht Produkt

Schon die lange Liste an Anbietern – insgesamt wesentlich über hundert Unternehmen – macht deutlich, wie komplex das Thema ist. Dabei gibt es kein Identity-Management-Produkt, das alle Ansprüche befriedigt. Auch wer kurzfristige Lösungen verlangt, kommt nicht umhin, seine Identity-Management-Strategie zu definieren. Durch die vielen Abhängigkeiten zwischen den Elementen ist es unerlässlich, klare Rahmenbedingungen zu setzen.

Außerdem geht es beim Identity Management erst an zweiter Stelle um Technologie. Im Vordergrund steht die Lösung von Business-Problemen, beispielsweise beim Implementieren sicherer Geschäftsprozesse zwischen Unternehmen und ihren Partnern. Die Wahl der technischen Lösung und Plattform ist nicht der erste Diskussionspunkt, sondern ein Ergebnis. Erfreulich ist, dass der Markt eine große Auswahl zu bieten hat. So kann jeder den für ihn am besten geeigneten Anbieter finden. (fjl)

Infos

[1] Liberty Alliance: [http://www.projectliberty.org]

[2] Web Services Federation Language (WS-Federation): [http://www.ibm.com/developerworks/library/ws-fed/]

[3] Web Services Trust Language (WS-Trust): [http://www.ibm.com/developerworks/library/ws-trust/]

[4] NIST-Standards zu Role Based Access Control: [http://csrc.nist.gov/rbac/]

[5] CA: [http://www3.ca.com/Solutions/SubSolution.asp?ID=4348]

[6] Evidian: [http://www.evidian.com/security/im/]

[7] HP: [http://www.managementsoftware.hp.com/solutions/im/]

[8] IBM: [http://www.ibm.com/software/tivoli/products/identity-mgr/]

[9] Novell: [http://www.novell.com/products/nsureidentitymanager/]

[10] Siemens/Oblix: [http://www.oblix.com]

[11] Sun: [http://www.sun.com/software/products/identity/]

[12] Beta: [http://www.betasystems.com]

[13] BMC: [http://www.bmc.com/products/]

[14] Ping: [http://www.pingidentity.com]

[15] Maxware: [http://www.maxware.com]

[16] Blockade: [http://www.blockade.com]

[17] M-Tech: [http://mtechit.com/products/psynch.html]

[18] Citrix: [http://www.citrix.com]

[19] Protocom: [http://www.protocom.com]

[20] Octetstring: [http://www.octetstring.com]

[21] Radiant Logic: [http://www.radiantlogic.com/ns/]

[22] Open Network: [http://www.opennetwork.com]

[23] Thor: [http://www.thortech.com]

Der
Autor

Martin Kuppinger ist Autor von über 50 IT-Fachbüchern und ungezählten Artikeln. Außerdem ist er Senior Partner und Gründer des Analysten-Unternehmens Kuppinger Cole + Partner [www.kuppingercole.de], das sich auf digitale IDs und Identity Management spezialisiert hat.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben