Bernhard Findeiss
Freitag, der 16. Mai 2008

Grundlagen des Account Management

In meinem letzten Post (nachzulesen hier) habe ich kurz die Klassifikation von IdM-Systemen nach dem FIDIS-Modell vorgestellt.

Darauf aufbauend möchte ich nun gerne etwas über die Grundlagen des Typ 1-Identitätsmanagement erzählen : Was versteht man darunter, und was sind hierbei die Herausforderungen und Schwierigkeiten?

Beim nächsten Mal werde ich dann darauf eing ehen, warum es sich dennoch lohnt, und in einigen Fällen sogar unerläßlich ist.

Basis dieses Artikels ist im übrigen ein Foliensatz über einen Vortrag, den ich letztes Jahr an einem „Blue Friday“ der InterFace AG gehalten habe. Wenn jemand an diesem Foliensatz interessiert ist, oder natürlich auch daran, daß ich diesen Vortrag bei einer anderen Gelegenheit nochmal halte, so lade ich ihn gerne ein, sich bei mir zu melden ( unter bernhard.findeiss (at) interface-ag.de).

Wie bereits im letzten Post erwähnt, kann Account Management definiert werden als die konsistente Verwaltung von Identitäten und deren Zugriff auf IT-Ressourcen eines Unternehmens über die gesamte Dauer ihres Lebenszyklus hinweg.

Dies beinhaltet u.a.:

– Personen: Interne sowie externe Mitarbeiter, aber auch technische Objekte, soweit sie Zugang zu Ressourcen benötigen (etwa Drucker, die automatisiert EMails verschicken können etc.).

– Speicherung von identitätsbezogenen Daten (Zulieferung zumeist aus Personalsystemen)

– Weitergabe von Daten an Zielsysteme, z.B. um Benutzerkonten einzurichten, Berechtigungen zuzuweisen bzw. zu entziehen, bzw. ganz allgemein zur Synchronisation von Daten zwischen IdM-System und Zielsystem. Die Zahl und die Art der anzubindenden Zielsysteme trägt im Übrigen maßgeblich zur Komplexität von IdM-Projekten bei.

– Unterstützung von Workflows, die im Unternehmensalltag benötigt werden, z.B. Anlage/Änderung/Löschung von Identitäten, Zuweisung/Entziehung von Ressourcen, Definition von Rollen etc.

Account Management ist für Unternehmen natürlich beileibe kein neues Thema, sondern wird in der Regel bereits genauso lange praktiziert, wie zugriffsgeschützte (IT-) Ressourcen vorhanden sind. Bisher wurde ein Großteil dieser Arbeit jedoch von einem Administrator „per Hand“ erledigt, was natürlich mit sehr viel Aufwand verbunden ist, und auch eine höhere Fehlerrate beinhaltet, als wenn man dies automatisiert durch Anbindung an ein IdM-System macht.

Zudem hat man auch noch das Problem der Datensynchronisierung, da man natürlich auch hier sicherstellen muß, daß alle Systeme, zu denen eine Person Zugang haben soll, auf dem selben Satz von Identitätsdaten basieren. Diese sind aber nicht fest, sondern können sich im Laufe der Zeit ändern (etwa durch Heirat oder Umzug). Die Daten dann konsistent zu halten kann durchaus eine Herausforderung darstellen (z.B. Auflösung von Widersprüchen zwischen 2 Systemen).

Um dieses Problem zu lösen wurden in den 1990er-Jahren die ersten Verzeichnisdienste eingeführt. Diese sammeln alle personenbezogenen Daten und stellen sie über eine einheitliche Schnittstelle zur Verfügung (am bekanntesten dürfte hier LDAP sein). Diese Schnittstelle wird dann in Bezug auf die Stammdaten als „führend“ definiert, sodass alle anderen Systeme sich damit abgleichen können.

Leider aber konnten auch hiermit nicht alle Probleme gelöst werden. Nicht alle relevanten Systeme unterstützen die Externalisierung von Identitätsdaten, bei manchen (z.B. Personalsystemen) kann dies aus verschiedenen Gründen sogar unerwünscht sein.

Mithilfe eines Identitätsmanagementsystems lässt sich jedoch auch diese Situation in den Griff kriegen:

Man erlaubt allen Systemen ihre Datenhoheit zu behalten, lediglich relevante Änderungen werden an das IdM-System weitergegeben. Dieses übernimmt daraufhin die Synchronisierung mit der restlichen Systemlandschaft. Auch auf diese Weise ist es möglich, die Konsistenz der Identitätsdaten über alle Systeme eines Unternehmens hinweg zu garantieren.

Dies ist einer der Vorteile der Einführung eines IdM-Systems. Über weitere Vorteile werde ich beim nächsten Mal schreiben.

Kommentar verfassen

*