- Virtualisierung.
- Identity Management.
Identity Management
Eines der Ziele der IT- und Kommunikationstechnologie ist es, berechtigten Personen oder Systemen einen möglichst einfachen und flexiblen aber dennoch sicheren Zugang zu benötigten Daten und Anwendungen zu geben.
Ob einem Mitarbeiter bestimmte Anwendungen oder Daten zur Verfügung gestellt werden sollen und er darauf zugreifen darf, sollte dabei primär von seinen Tätigkeiten und Verantwortlichkeiten im Unternehmen abhängen. Die Rechte und Berechtigungen leiten sich somit im Idealfall aus den Aufgaben, Funktionen und Rollen ab und müssen gezielt auf bestimmte Personen, Gruppen oder Systeme übertragen werden können.
Zur Steuerung und Kontrolle müssen die jeweiligen Personen oder Systeme zudem eindeutig voneinander unterscheidbar sein. Die Identität einer Person, eines Anwenders oder auch eines Computers muss anhand bestimmter Eigenschaften auch in der digitalen Welt eindeutig und zuverlässig überprüfbar sein.
In einem immer komplexer werdenden Unterzunehmensnetz wäre es zudem mehr als nur hilfreich, wenn Anwender, Identitäten und Berechtigungen an möglichst einer zentralen Stelle verwaltete und gepflegt werden können.
Genau dies ist Aufgabe eines zentralen "Identity Management".
Dabei ist der Begriff Identity Management nicht eindeutig und klar definiert. Es geht hierbei zunächst um die "Verwaltung von Identitäten". Dies sind "bestimmte Eigenschaften" eines Individuums oder Geräts, die notwendig sind, um es eindeutig von anderen unterscheiden zu können. Dies gilt z.B. bereits für einen eindeutigen Anmeldename und ein statisches Passwort und sagt noch nichts über die Qualität und Sicherheit aus.
Identity Management setzt immer mindestens eine zentrale Datenbank oder ein zentrales BenutzerVerzeichnis voraus, in dem die Identitäten und eben auch die Rechte zentral verwaltet werden. Dies kann z.B. bereits ein Microsoft AD, NDS oder ldap Verzeichnis sein - reicht allein aber oft nicht, um tatsächlich ein zentrales Identity Management oder den gewünschten Integrations- und Automatisierungsgrad zu erreichen.
Nicht alle kritischen Anwendungen im Unternehmen können z.B. problemlos in das vorhandene Verzeichnissystem integriert werden (SAP, HR-Anwendungen, Zutrittskontrollsysteme, BDE).
Lösung bietet hier der Einsatz übergeordneter Verzeichnisdienste (MetaDirectory) oder die Nutzung von Schnittstellen, um Prozessen und Workflows für eine stärkere Integration implementieren zu können (MIIS).
Ein weiterer oder alternativer Lösungsansatz ist hier unter Umständen aber auch die Einführung eines Single-Sign-On Verfahrens.
Durch die zentrale Vergabe von Rechten, Berechtigungen sollen nach Möglichkeit automatisierte Bereitstellungs- und Freigabeprozesse gesteuert und Zugriffsrechte über verschiedene Systemschichten vererbt werden
- Provisioning,
- Identity und Access Management (IAM)
und umgekehrt - ggf. noch wichtiger - auch wieder entzogen werden können (De-Provisoning).
Letztlich macht jede Form der Zentralisierung und Automatisierung aber nur Sinn, wenn verlässliche Verfahren zur Identifizierung und Validierung eingesetzt werden:
- Starke Authentifizierungsverfahren
- Einsatz von Public-Private-Key Verfahren
- Aufbau entsprechender PKI Umgebungen (mit CA)
- Verwendung von sicheren SmardCards
Bis hin zur zentralen Verwaltung der Indentity, Rechte und Zertifikate in einem übergeordneten Managementsystem (Microsoft Identity Lifecycle Manager 2007)!