IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

IAMJeder, der sich beruflich in der internen IT-Umgebung bewegt, kennt das: In welchem Umfang er berechtigt ist, auf Anwendungen bzw. Ressourcen zuzugreifen, bestimmt die so genannte Rolle, die ihm die Führungskraft zugedacht und die der Admin eingerichtet hat.

Optimal verwaltet werden Benutzer, Rollen und Berechtigungen in einem zentralen Identity-und-Access-Management-System (IAM-System). Nach dem Verkauf der Sun-Software stehen so manche Organisationen vor der Frage eines Systemwechsels auf Oracle. Wie lässt sich eine Migration am besten meistern? Ein Blick in den Kanton Aargau, der das mit Hilfe von TÜV Rheinland-Experten innerhalb von 14 Monaten sicher bewältigt hat.

Ziel eines IAM ist es, Anwendungs- und Netzwerksicherheit aktiv zu steuern, unter anderem, indem sich Identitäten dynamisch pflegen und Berechtigungen automatisch provisionieren lassen. Berechtigungsvergaben und Re-Zertifizierungen sind so jederzeit transparent nachvollziehbar, doppelter Aufwand zur Pflege von Benutzerkennungen lässt sich vermeiden, Benutzer müssen sich nur einmal anmelden. Hier können Benutzer, Rollen und Berechtigungen mit etablierten Prozessen angelegt, verwaltet und wieder gelöscht werden. Ein professionell aufgestelltes IAM ist sinnvoll für alle Organisationen, die dynamische Organisationsstrukturen produktiv abbilden wollen und Mitarbeiter, Geschäftspartner und Kunden einzubinden haben.

Was alles zu Identity Management gehört

Bild: Die Komponenten des Identitäten Management (BIldquelle TÜV Rheinland).

Deshalb betreibt auch der deutschschweizerische Kanton Aargau bereits seit längerem ein IAM. „Das IAM ist für die Wirksamkeit unserer IT-Sicherheitsstrategie von zentraler Bedeutung. Zugleich ist es eine wesentliche Grundlage für die aktive Weiterentwicklung eines modernen eGovernments“, so Benno Kissling, Sektionsleiter Applikationsmanagement beim Kanton Aargau.

Bis 2016 war das IAM von Sun Microsystems im Einsatz. Nach dem Verkauf des kalifornischen Softwarehauses an Oracle entschied sich der Kanton Aargau für die Lösung von Oracle. Allerdings ist eine System-Migration kein Nebenbei-Projekt, sondern erfordert hohe Aufmerksamkeit vor allem auf Management-Ebene sowie Sorgfalt in Vorbereitung und Durchführung – und am besten die Kompetenz von Experten, die sich sowohl mit Sun als mit Oracle auskennen. Deshalb sicherte sich der Kanton auch die externe Unterstützung von TÜV Rheinland. Die IAM-Fachleute verfügen über ausgewiesene Erfahrungen in der Implementierung beider Systeme, die umfangreiche programmatische Anpassungen erfordern. TÜV Rheinland hatte die Aufgabe, den Oracle Identity Manager auf der Basis des aktuellen Ist-Stands des Sun Identity Management Systems zu konzipieren und die Migration von Sun auf Oracle IDM in die Produktion zu planen und umzusetzen.

Insgesamt 14 Monate lang waren das fünfköpfige Experten-Team und die Spezialisten des Kanton Aargau mit Planung, Implementierung bis hin zum Produktiv-Betrieb befasst: Einer der ersten Schritte bei der Implementierung bzw. Migration des IAM war es, den aktuellen Stand des bestehenden Sun-IAMs und die zukünftigen fachlichen und technischen Anforderungen an eine Oracle-IAM-Implementierung zu ermitteln.

Im nächsten Schritt verschafften sich die Experten einen Überblick über die Komplexität des gesamten Projekts: Welche Berechtigungsprozesse sind notwendig? Wo sind Sonderregelungen erforderlich? Im Kanton Aargau waren die Berechtigungsworkflows relativ komplex, darüber hinaus galt es, pro User eine Vielzahl an Attributen zu bewältigen. Überdies stand bereits fest, dass die Telefonie-Anbindung mittelfristig wegen der Umstellung auf Voice over IP aus dem bestehenden Legacy-System ins Active Directory umziehen musste.

Alle Faktoren erforderten eine relativ komplexe Logik. Auf dieser Basis entwickelte TÜV Rheinland ein Architekturkonzept inkl. Prozess-/Identitäts- und Rollenkonzept, das die Bedürfnisse des Kantons Aargau dezidiert berücksichtigte.

Die Migration erfolgte sukzessive nach Benutzergruppen, allerdings um die hohe Verfügbarkeit aller angebundenen Systeme zu gewährleisten, in einem strammen, anspruchsvollen Zeitfenster. Da der Kanton Aargau auch an das BIT, das Bundesamt für Informatik angeschlossen ist, über das die Zertifikate für die gesamte Schweiz verwaltet werden und auf das auch jeder normale Bürger zugreifen kann, kam der Verwaltung von Zertifikaten im Oracle IDM ein besonders hoher Stellenwert zu.

Sicher ist sicher: drei Umgebungen für Entwicklung, Test und Produktion

Zu den Herausforderungen innerhalb eines gewachsenen Systems, das über den Quellcode hinaus bis dato nicht dokumentiert war, zählte unter anderem …

  • … die Migration von fünf Benutzertypen und neun Systemen,
  • … das Aufspüren und Aufklären von Inkonsistenzen sowie
  • … die konsequente Bereinigung der Datenqualität, die z.B. auch scheinbar kleine, aber in der Praxis problematische Details wie den Missbrauch von Eingabefeldern künftig vermeidet.

Um Performance und Authentisierung zu erproben, konfigurierte TÜV Rheinland im Auftrag des Kantons drei Umgebungen für Entwicklung, Test und Produktion. Die Bewährungsproben für Konzept, Infrastruktur und Prozesse verliefen erfolgreich, der Launch des Pilots und der Flächenrollout erfolgte Ende 2015. Seitdem begleitet TÜV Rheinland den Kanton im laufenden Betrieb sowie mit gezielten Schulungen.

Im Laufe des Projekts erstellte TÜV Rheinland eine detaillierte, heute mehrere hundert Seiten umfassende Dokumentation. Sie stellt eine wichtige Basis für alle weiteren Arbeiten am lebenden System und dessen Fortentwicklung dar. „Angesichts der Komplexität unseres bereits implementierten IAM war der Systemwechsel für uns eine gewaltige Herausforderung, die wir ohne externe Unterstützung wohl nicht gemeistert hätten“, so Benno Kissling, Sektionsleiter Applikationsmanagement im Kanton Aargau. „Die Zusammenarbeit mit TÜV Rheinland war für uns zu jedem Zeitpunkt das Rundum-Sorglos-Pakt.“ Der Kanton Aargau habe sehr davon profitiert, dass TÜV Rheinland beide Systeme, Sun und Oracle, beherrscht.

Weitere Informationen vom TÜV Rheinland:
IAM-Implementierung: 9 Profi-Tipps für die Praxis
 

Günter Thiel, Florian Probst

Günter Thiel (li.), Florian Probst, Experten für Identity und Access Management bei TÜV Rheinland

www.tuv.com/iam
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet