In großen und komplexen IT-Infrastrukturen müssen die Benutzerdaten effizient und sicher verwaltet werden. Software-Lösungen für Identity Management versprechen hier Hilfe. Sie haben aber den Nachteil, dass sie die Infrastruktur tendenziell noch komplizierter machen. Quest Software verfolgt deswegen einen anderen Ansatz: Wo immer es geht, werden bereits vorhandene Strukturen genutzt.

Die vielen Gesichter des Identity Management

Heterogene Infrastrukturen, örtlich und logisch getrennte Abteilungen sowie die Integration von Partnern stellen Sie vor administrative Herausforderungen. Oft bringt jedes dieser IT-Teilsysteme eine eigene Benutzerverwaltung mit. Deren Pflege ist zeitaufwendig, teuer und fehlerträchtig. Anwender sollen sich eine Vielzahl an Passwörtern merken. Administratoren müssen den Überblick behalten über die Rechte jedes Mitarbeiters auf jedem System – und Benutzer schnell sperren, wenn sie das Unternehmen verlassen. Unter dem Schlag-wort „Identity Management“ (IDM) bieten viele IT-Dienstleister Lösungen an, um diese Probleme in den Griff zu bekommen. Die zugrunde liegenden Begriffsdefinitionen sind dabei beinahe so vielfältig wie die angebotenen Lösungen. Je nach Anbieter meint Identity Management die Autorisierungs- und Authentifizierungskonsolidierung per Single Sign-On, automatisierte Be-nutzerverwaltung durch User-Provisioning, Passwortsynchronisierung über Sys-temgrenzen hinweg, Integration externer Partner über Identity Federation. Oder eine beliebige Kombination aus diesen und weiteren Ansätzen. Bevor Sie ein umfassendes IDM-Projekt einführen, sollten Sie deshalb zuerst die eigene Infrastruktur und vor allem Ihre Ziele gründlich analysieren. Daraus können Sie im nächsten Schritt den Aufbau Ihres individuellen Identity-Management-Systems ableiten.

Halten Sie es einfach!

Die meisten Software-Unternehmen bieten Lösungen an, die zusätzlich zu den bisherigen Benutzerverwaltungen im Unternehmen laufen, etwa in Form eines Meta-Directory oder einer Synchronisierungslösung für Benutzerprofile. Die Folge: zusätzlicher administrativer Aufwand. Identity Management war aber angetreten, um zu vereinfachen. Prüfen Sie deshalb zuerst kritisch, ob Ihre Ziele nicht mit den vorhandenen Systemen erreicht werden können. Oft ist es einfacher, Verzeichnisdienste zu konsolidieren, als eine neue Lösung zur Syn-chronisierung zwischen verschiedenen Verzeichnissen zu installieren. Je weni-ger unterschiedliche Systeme zu verwalten sind, desto schneller und einfacher ist der Betrieb. Beschränken Sie sich nach Möglichkeit auf Lösungen eines Anbieters. Das vereinfacht nicht nur die Arbeit der Administratoren, sondern spart auch zusätzliche Lizenzkosten. Active Directory ist mittlerweile in den meisten Unternehmensnetzen vorhanden. Deshalb konzentriert sich Quest Soft-ware auf Identity-Management-Lösungen, die auf den Microsoft-Verzeichnis-dienst aufbauen und die Verwaltung von heterogenen IDM-Infrastrukturen in der Verwaltungskonsole Microsoft System Center konsolidieren.

Quest Software bietet ein breites Portfolio an Identity-Management-Lösungen auf Basis von Microsoft Active Directory für Aufgaben rund um Single Sign-On, Provisioning, Benutzer-, Passwort- und Rollenverwaltung, Authentifizierung, Auditing sowie Compliance. Die zunehmende Reichweite des Microsoft-Ver-zeichnisdienstes und dessen intuitive Bedienung über grafische Benutzer-oberflächen gewähren ein hohes Maß an Kompatibilität und effizienter Benut-zung. Mit Vintela Authentication Services bzw. Vintela Single Sign-On for Java von Quest Software werden diese Qualitäten ausgeweitet auf Unix-Systeme HP-UX, AIX, Solaris oder Linux sowie auf Java-basierte Anwendungen. Quest Enterprise Single Sign-On und Webthority konsolidieren Benutzerprofile unternehmensweit in einem vorhandenen Active Directory. Quest Password Manager und InSync vereinfachen die Passwortverwaltung für Benutzer und Administratoren.

Weitere Informationen unter: http://www.quest.com/identity-management/

Identity Management als Prozess

Identity Management umfasst mehr als Benutzerprofile zu konsolidieren und – wenn unvermeidlich – neue Softwarelösungen einzuführen. Vermitteln Sie Ihren Mitarbeitern und Partnern ein Bewusstsein für die Bedeutung von Identity-Management- Prozessen. Wenn Ihre IT-Abteilung neue Systeme ein-führt, die Authentifizierung und Autorisierung voraussetzen, müssen diese an Ihre vorhandenen IDM-Lösungen anknüpfen. Externe Partner sollten Systeme einsetzen, die sich nahtlos an Ihre Infrastruktur anbinden lassen.

Sinkende Kosten, steigende Effizienz

Eine sorgfältig geplante und durchgeführte IDM-Einführung steigert messbar die Effizienz, senkt die Kosten und erhöht die Sicherheit: Reibungslose Rechteverteilung und -delegation im Netzwerk drückt sich in weniger Anrufen bei Ihrem First-Level-Support aus. Unternehmensweite Mechanismen für das User-Provisioning erhöhen die Sicherheit im Netzwerk. In Unternehmen mit zentralisiertem Identity Management und automatisierten Provisioning-Pro-zessen sind Benutzerprofile ausgeschiedener Mitarbeiter schon nach wenigen Stunden deaktiviert, andere Unternehmen brauchen für denselben Prozess bis zu 30 Tage. Konsequentes Identity Management und User-Provisioning steigert auch die Produktivität. Denn neue Benutzer bekommen über ein einziges Profil Zugang zu allen notwendigen Ressourcen, anstatt für jede Anwendung sepa-rate Zugänge beantragen und sich Passwörter merken zu müssen. Sie werden es Ihnen danken!

Erleben Sie Jackson Shaw am 8. Oktober um 9:10 Uhr live auf der Digital ID World in Frankfurt/Main. In seiner Keynote warnt er vor klassischen Fall-stricken bei der Einführung von Identity Management und zeigt Wege auf, diese zu vermeiden. In einem Workshop von 13:30 – 15:00 Uhr demonstriert er, wie Sie Active Directory in Kombination mit Quest-Lösungen nutzen kön-nen, um Benutzer und ihre Profile in heterogenen Umgebungen zu authen-tifizieren, zu autorisieren und zu administrieren.

Jackson Shaw

Diesen Artikel finden Sie auch in der Ausgabe September/Oktober 2008 des it security.