Erfahrungsaustausch "Identity Management"

Vorab: hier gibt es die Folien zum Vortrag (1,8 MB PDF!).

Im Forum haben wir ein paar Links zu Einführungen in das Thema "Identity Management", White Papers, etc. gesammelt. Ergänzungen sind immer willkommen!

Bevor es losgeht, hier noch ein Querverweis auf unser Thema
Rollenbasierte Rechteverwaltung unter Unix/Linux.

Nun aber zum Identity-Management-Vortrag vom 31. März 2004:

Was versteht man unter Identity Management? Wozu dient ist? Welche Techniken kommen zum Einsatz? Nach einer kurzen, aber fachkundigen Einführung in das Thema erlebten wir einen interessanten praxis-orientierten Erfahrungsaustausch, der auch für diejenigen recht fruchtbar war, die sich bislang nur wenig oder auch noch gar nicht mit dem Thema befasst hatten.

Die weitgehende IT-Unterstützung fast aller Prozesse in einem Unternehmen ermöglichen dem Mitarbeiter die Erledigung einer Vielzahl von Arbeiten mit seinem Arbeitsplatzrechner. Die Standardisierung der Netzwerktechnologie und Zugriffsprotokolle macht dies möglich. Dabei greift er i.d.R. - ganz im Sinne der Heterogenen IT - auf Anwendungen verschiedener Hersteller, auf verschiedenen Betriebsystemen und Hardware, zu.

Im Gegensatz zur Netzwerktechnologie ist die Benutzerverwaltung für diese Systeme heute in den meisten Unternehmen noch nicht vereinheitlicht.

Benuteraccounts, ihre Rollen und Zugriffsrechte auf Ressourcen des Unternehmens werden i.d.R. in einer Vielzahl von Systemen redundant gepflegt, mit den bekannten Auswirkungen: hohe Verwaltungskosten, lange ´Wartezeiten´ auf Freischaltungen für (neue) Mitarbeiter , Sicherheitsrisiken durch nicht entfernte Zugriffsrechte von ausgeschiedenen Mitarbeitern. ´Identity Management´ hat zum Ziel, die Benutzerverwaltung als System-übergreifende Lösung zu implementieren und damit effizienter und sicherer zu gestalten.

Lösungsansätze unterschiedlicher Hersteller wurden im Vortag vorgestellt. Ein wichtiges Ziel des ´Identity Managements´ ist es, dass sich ein Benutzer möglichst nur noch einmal (an seinem Arbeitsplatzrechner) anmelden muss, und somit Zugang zu allen Anwendungen hat, auf die er zugreifen darf (Single Sign On).

Zur Realisierung des Single Sign On gibt es unterschiedliche Verfahren, die im Vortrag erläutert wurden.

Die Aufgabenstellung für ´Identity Management´ geht aber über die Verwaltung der eigenen Mitarbeiter hinaus. Immer mehr Dienstleisungen werden heute als Web-Service angeboten. Daraus folgt, dass ´Identity Management´ auch Kunden und Geschäftspartner mit einschliessen muss.

Die Verfahren zur Sicherstellung der Identität eines Benutzers sind aufwendig, und der Anbieter eines Web-Services will und kann dies häufig nicht für jeden Kunden leisten. Oft ist es für den Anbieter eines Web-Services ausreichend, dass eine andere Instanz (ein Partner-Unternehmen z.B.) den Benutzer bereits identifiziert hat.

Verfahren, die solche Szenarien unterstützen, werden ´Federated Identity´ genannt. Sie ermöglichen ´Single Sign On´ über verschiedene Web-Sites hinweg.

Diskussion zum Thema in unserem Webforum:

[Diskussion zum Thema "Identity Management" im Webforum]