Leitfaden für die Evaluation und Auswahl einer Identity Management

Transkript

1 White-Paper Leitfaden für die Evaluation und Auswahl einer Identity Management Lösung Im Web sun.com Leitfaden für die Evaluation und Auswahl einer Identity Management Wichtige Hinweise und wertvolle Tools zur Auswahl einer geeigneten Lösung für moderne Business- und Sicherheitsanforderungen

2 Inhaltsverzeichnis Sun Microsystems, Inc. Inhaltsverzeichnis Überblick Identity Management: Trends, Probleme und Lösungen Wichtige Überlegungen für die Evaluation von Identity Management Lösungen FAQs Wichtige Informationen Begriffsglossar Durchgängiges Identity Management von Sun

3 Sun Microsystems, Inc. Überblick S1 Überblick Wenn auch Sie sich mit der Evaluation verschiedener Identity Management Lösungen befassen, werden Sie die Hinweise und Tools dieses Leitfadens mit Sicherheit zu schätzen wissen. Im ersten Kapitel erläutert ein White Paper aktuelle Business- und Sicherheitstrends, analysiert das Identity Management im Hinblick auf moderne Anforderungen und erörtert, welche Eigenschaften für eine effiziente Lösung unverzichtbar sind. Im Anschluss daran finden Sie hilfreiche Tools, mit denen Sie prüfen können, ob Ihre Auswahl optimal zu Ihren Businessanforderungen und Ihrer Technologie-Umgebung passt. Der vorliegende Leitfaden unterstützt Sie in folgenden Zielsetzungen: Erweiterung der Geschäftschancen: Das Virtual Enterprise hat beispiellose Chancen für produktive Zusammenarbeit und effiziente Wettbewerbsvorteile geschaffen. Die Prozessintegration ist eine unverzichtbare Voraussetzung dafür, dass ein Unternehmen diese Chancen auch wirklich nutzen kann. Risikoabbau: Der Wunsch vieler Unternehmen nach einer Ausweitung ihrer Geschäftsbeziehungen erhöht das Risiko missbräuchlicher Zugriffe auf vertrauliche Daten und Systeme. Aus diesem Grund spielt die Sicherheit eine Schlüsselrolle für den Erfolg im Virtual Enterprise. Bessere Servicequalität: Je mehr "externe" Kunden, Partner und andere Nutzer auf die Services des Unternehmens zugreifen, desto wichtiger wird die Servicequalität. Kostenkontrolle: Auch in der neuen Virtual Enterprise Umgebung müssen Unternehmen alles daran setzen, die Betriebsabläufe so effizient und damit so kostengünstig wie möglich zu gestalten. Das bietet Ihnen eine geeignete Identity Management Lösung: Nahtlose Integration: Integrierte und integrierbare Lösungen sorgen dafür, dass Menschen, Prozesse und heterogene Anwendungen über traditionelle Grenzen hinweg nahtlos und sicher zusammenarbeiten können. Sichere Kontrolle: Unternehmen haben es wesentlich leichter, vertrauliche Informationen zu schützen, wenn sie sehen und kontrollieren können, wer auf welche Ressourcen zugreifen darf - unabhängig von der Gesamtzahl der Nutzer und den Änderungen der Nutzerbasis. Wichtig ist auch die Compliance mit einschlägigen Gesetzen und Vorschriften hinsichtlich Sicherheit und Datenschutz. Komfortablere Nutzung: Identity Management auf Verzeichnisbasis kann dazu beitragen, dem Nutzer die transparente, unterbrechungsfreie Interaktion mit verschiedenen Unternehmen bzw. Organisationen zu ermöglichen. Ein positives Benutzererlebnis ist ein wichtiger Wettbewerbsvorteil. Kostensenkung: Eine geeignete Lösung kann die Verwaltungskosten senken, indem sie manuelle Prozesse automatisiert. Automatisierung, Self-Service, Delegation und andere Merkmale können dazu beitragen, die Kosten für Help-Desks und anderen Support nachhaltig zu senken.

4 S2 Überblick Sun Microsystems, Inc. Die Bestandteile des vorliegenden Leitfadens: White Paper: Überblick zu Trends, Problemen und Lösungen rund um das Identity Management Checkliste für Kaufinteressenten: Was bei der Evaluation von Lösungen zu beachten ist Häufig gestellte Fragen (FAQ) Informationen zu den Industriestandards Glossar zum Thema Sicherheit

5 Sun Microsystems, Inc. Identity Management: Trends, Probleme und Lösungen S3 White-Paper Identity Management: Trends, Probleme und Lösungen Die folgenden Kapitel erläutern, welche geschäftlichen und sicherheitsrelevanten Herausforderungen moderne Unternehmen bewältigen müssen, wie ihnen Identity Management dabei helfen kann und durch welche Eigenschaften sich eine effiziente Lösung auszeichnet. Managementüberblick Moderne Geschäftsformen eröffnen Möglichkeiten der Zusammenarbeit, die bisher absolut undenkbar waren. Allerdings sind sie auch mit neuen Herausforderungen verbunden. Durch die Kooperation mehrerer Unternehmen über ihre traditionellen Grenzen hinweg entstehen Virtual Enterprises, die Erfolg und Wettbewerbsvorteile versprechen. Parallel dazu müssen Unternehmen wirksame Maßnahmen ergreifen, um das steigende Sicherheitsrisiko in den Griff zu bekommen und alle relevanten Gesetze sowie Vorschriften zu Datenschutz und Governance in die Praxis umzusetzen - kostenneutral und ohne zusätzliche Arbeitskräfte zu binden. Identity Management kann ihnen helfen, sämtliche Herausforderungen erfolgreich zu bewältigen. Sicheres Identity Management wird immer wichtiger Modernen Unternehmen bieten sich Chancen und Herausforderungen zugleich. Sie basieren auf folgenden Entwicklungen: 1. Zunehmende Verbreitung des Virtual Enterprise, das Kunden, Partnern und Mitarbeitern den offenen Zugriff auf Daten und Businesssysteme ermöglicht 2. Steigende Nachfrage nach strengeren Sicherheitsvorkehrungen und Compliance mit Gesetzen und Vorschriften 3. Anhaltender Druck, mit weniger Ressourcen ein größeres Pensum zu bewältigen Wettbewerb im Zeitalter des Virtual Enterprise Beispiellose Chancen Im Rahmen eines Virtual Enterprise können mehrere Unternehmen über das Web zusammenarbeiten, um das Angebot für ihre Kunden zu verbessern oder über ein Webportal ihre Firmenkunden in den Zugriff auf ihre Datenbestände einzubinden. Das Virtual Enterprise etabliert sich verstärkt als Standard für den Datenaustausch und die Lieferung von Services über die traditionellen Unternehmensgrenzen hinweg. Es kann neue Umsatzchancen erschließen, die Betriebsabläufe effizienter gestalten und das Benutzererlebnis verbessern.

6 S4 Identity Management: Trends, Probleme und Lösungen Sun Microsystems, Inc. Neue Herausforderungen Das Virtual Enterprise bietet nicht nur Chancen, sondern wirft auch neue Herausforderungen auf. Je mehr Unternehmen und Nutzer beteiligt sind, desto mehr unterschiedliche Prozesse müssen miteinander in Einklang gebracht werden. Je mehr Offenheit und Dynamik ein Unternehmen pflegt, desto größer ist das Risiko für missbräuchliche Zugriffe auf Unternehmens- und Benutzerdaten. Gesetze einhalten und das Risiko minimieren Gesetze und Vorschriften Die Sicherheit persönlicher Daten wird heute auf gesetzlichem Wege geregelt. Aufgrund der geltenden Datenschutzgesetze müssen Unternehmen ihre vertraulichen Datenbestände schützen und zugleich sicherstellen, dass sie korrekt und auf dem neuesten Stand sind. Angesichts drastischer Strafmaße müssen Unternehmen ihre Compliance mit diesen Gesetzesvorgaben jederzeit nachweisen können. Sicherheits-Audits Sicherheit genießt in praktisch allen Unternehmen absolut höchste Priorität. Entsprechend hohe Bedeutung wird auch den Sicherheits-Audits beigemessen. Sie gehören zu den wichtigsten Themen auch in den höchsten Führungsebenen. Kontrollen, Audits und Berichte über den Zugriff der Nutzer auf die IT-Ressourcen müssen einwandfrei funktionieren. Andernfalls riskiert das Unternehmen, mit einem unbefriedigenden Audit und den Konsequenzen daraus konfrontiert zu werden. Höhere Servicequalität zu geringeren Kosten Höhere Servicequalität Wenn Mitarbeiter verschiedener Unternehmen über zunehmend unscharfe Grenzen hinweg gemeinsam auf Daten und Ressourcen zugreifen, wird es bedeutend schwieriger, ein positives Benutzererlebnis zu ermöglichen. Dazu gehören auch ein zuverlässiger, konsistenter Zugriff sowie nahtlose, transparent ablaufende Prozesse. Mit einem positiven Benutzererlebnis steht und fällt jedoch der Erfolg eines Virtual Enterprise. Service ist wichtiger denn je. Zugleich stellt die Verbesserung der Servicequalität eine beispiellose Herausforderung dar. Kostendruck Heute verbessern viele Unternehmen das Ergebnis unter dem Strich dadurch, dass sie ihre Betriebskosten senken. Gleichzeitig wachsen und verändern sich ihre User Communities allerdings stärker und schneller als je zuvor. Die Anforderungen steigen, die Budgets und die Personalausstattung werden jedoch zunehmend knapper. In dieser Situation hat ein Unternehmen keine andere Wahl: Es muss die Kosten in den Griff bekommen, indem es das Management der Nutzer, ihrer Profile und ihrer Zugangsberechtigungen wesentlich effizienter gestaltet - ohne vorhandene Geschäftsprozesse zu beeinträchtigen und ohne die Sicherheit des Unternehmens aufs Spiel zu setzen.

7 Sun Microsystems, Inc. Identity Management: Trends, Probleme und Lösungen S5 Effizientes Identity Management Im Zeitalter des Virtual Enterprise können wesentlich mehr Kunden, Mitarbeiter, Partner und Lieferanten auf kritische Datenbestände eines Unternehmens zugreifen. Umgekehrt müssen vertrauliche Daten unbedingt geschützt werden. Damit stehen Unternehmen vor der Herausforderung, sich neuen Geschäftsformen zu öffnen und zugleich für die Sicherheit ihrer Ressourcen zu sorgen. Eine effiziente Identity Management Lösung setzt diesen Balanceakt in die Praxis um. Auf dieser Grundlage können Unternehmen die für Virtual Enterprises erforderlichen Voraussetzungen hinsichtlich Integration, Sicherheit, Service und betrieblicher Effizienz problemlos erfüllen. Merkmale für effizientes Identity Management: Mehr Sicherheit Der unternehmensweite Echtzeit-Einblick in den Zugriff der Nutzer auf die Ressourcen verringert das Sicherheitsrisiko. Dass die Nutzer auf alle für ihre Arbeit erforderlichen Systeme und Anwendungen zugreifen können, ist genau so wichtig wie die Möglichkeit, diesen Zugriff sofort zu sperren, wenn die Umstände es erforderlich machen. Eine effiziente Lösung muss diesbezüglich sowohl webbasierte Systeme als auch Client/Server- und Legacy-Geräte unterstützen und dabei sicherstellen, dass die Zusammenarbeit im Falle des Falles wirklich beendet wird. Vollständige Compliance Zentrale Kontrolle, der vollständige Einblick in die Zugangsberechtigungen, umfassende Merkmale für Auditing und Reporting sowie eine konsistente Anwendung der Regelungen für das Identity Management stellen sicher, dass die geltenden Gesetze und Vorschriften erfüllt werden. Eine durchgängige Identity Management Lösung deckt die Compliance-Anforderungen rund um die interne Kontrolle der Zugriffsrechte auf Daten und Anwendungen ab, die aufgrund von Gesetzen und Vorschriften geschützt werden müssen. Höhere Servicequalität Identity Management Lösungen, die Automatisierung, Self-Service und die Delegation von Aufgaben beinhalten, können die Servicequalität verbessern, ohne dass erhebliche Mehrkosten anfallen. Die Automatisierung beschleunigt unter anderem das Provisioning, so dass die Freigabe oder Änderung von Zugangsprivilegien nicht mehr einige Tage in Anspruch nimmt. Das Zurücksetzen von Kennwörtern und andere Routineaufgaben können die Nutzer auch ohne Unterstützung von Administrationskräften in eigener Regie veranlassen, und im Rahmen der Delegation können Abteilungsleiter oder andere Mitarbeiter den Zugriff ihrer Nutzer sicher verwalten, da sie mit den individuellen Anforderungen am besten vertraut sind. Nahtlose Integration von Systemen und Geschäftsprozessen Standardbasierte Lösungen für das Identity Management übernehmen die sichere Integration und Automatisierung wichtiger Geschäftsfunktionen - sowohl intern zwischen verschiedenen Bereichen als auch extern zwischen mehreren Unternehmen. Auf diese Weise rationalisieren sie die Abläufe, senken die Kosten, erhöhen die Effizienz und ermöglichen eine reibungslose Zusammenarbeit. Leistungsspektrum einer geeigneten Identity Management Lösung Folgende Merkmale sind für eine Identity Management Lösung unverzichtbar: Effizientes User Provisioning Durch die Automatisierung wichtiger Prozesse können neue Nutzer innerhalb kürzester Zeit produktiv arbeiten, Zugangsberechtigungen an Rollenänderungen angepasst und Accounts sofort gesperrt werden, wenn die Zusammenarbeit mit dem Unternehmen endet. Das Provisioning auf Rollen- und Regelbasis ermöglicht die flexible Gestaltung der Provisioning-Regelungen für Einzelnutzer, Unternehmen, Ressourcen, Rollen oder Gruppen. Dynamic Workflow unterstützt mehrstufiges, komplexes Provisioning und sorgt dafür, dass Änderungen der Identitätsdaten automatisch ausgeführt werden.

8 S6 Identity Management: Trends, Probleme und Lösungen Sun Microsystems, Inc. Synchronisierung der Identitätsdaten Die automatische Synchronisierung der Identitätsdaten in zahlreichen heterogenen Anwendungen, Verzeichnissen, Datenbanken und anderen Datenspeichern erhöht die Effizienz der Betriebsabläufe. Die Konsistenz der Daten muss nicht mehr durch manuelle Prozesse sichergestellt werden. Zugangsmanagement für webbasierte Anwendungen Die Bereitstellung wichtiger Identitäts- und Anwendungsdaten sowie Single Sign-On (SSO) sorgen dafür, dass die für das Virtual Enterprise erforderliche Sicherheit und Bedienungsfreundlichkeit kosteneffizient bereitgestellt werden können. Föderationsdienste Das föderierte Framework und der Authentication Sharing Mechanismus von Identity Management Lösungen, die führende Industriestandards unterstützen, sind mit vorhandenen Enterprise-Systemen kompatibel, so dass eine authentisierte Identität erkannt wird und der zugehörige Nutzer personalisierte Services in verschiedenen Domains nutzen kann. Mitarbeiter, Kunden und Partner können sicher, nahtlos und unterbrechungsfrei auf mehrere Anwendungen und ausgelagerte Services zugreifen. Verzeichnisdienste auf Unternehmensebene Immer mehr Unternehmen setzen Unternehmensverzeichnisse ein, um sowohl die Leistung als auch die Sicherheit zu verbessern und eine unternehmensweite Integration zu ermöglichen. Eine verzeichnisbasierte Lösung sollte über das Leistungsspektrum eines grundlegenden LDAP Verzeichnisses hinausgehen: Sie sollte Identitätsdaten externalisieren, Daten mit "globaler Relevanz" von wichtigen Quellen beziehen und die Verfügbarkeit wichtiger Daten für serienmäßige, aber auch individuell entwickelte Anwendungen sicherstellen. Als Minimum muss ein effizientes Unternehmensverzeichnis hohe Anforderungen in puncto Performance, Sicherheit und Verfügbarkeit erfüllen, mit maßgeblichen Verzeichnissen vollständig kompatibel sein und sich möglichst einfach verwalten lassen. Auditing und Reporting Umfassendes Auditing und Reporting zu den Profildaten, dem Änderungsverlauf und den Zugangsberechtigungen stellt sicher, dass Sicherheitsrisiken entdeckt werden und die Administratoren proaktiv reagieren können. Die Möglichkeit, den Status der Zugangsberechtigungen jederzeit zu kontrollieren, verbessert die Audit-Leistung und erleichtert die Compliance mit den geltenden Gesetzen. Informationen über die Häufigkeit von Kennwort-Rücksetzungen oder den Zeitaufwand für das User Provisioning liefern wertvolle Einblicke in wichtige Betriebskennzahlen. Die Identity Management Suite von Sun Microsystems Die Identity Management Produktlinie von Sun ist weitgehend modular strukturiert. Unternehmen können die gesamte, integrierbare Produktpalette implementieren oder einzelne Bestandteile einer vollständigen Lösung für das Identity Management nach und nach ergänzen. Suns Identity Management Lösungen sind sowohl integriert als auch integrierbar. Sie vereinfachen und rationalisieren das Management der Nutzeridentitäten in verschiedenen IT-Infrastrukturen und Anwendungsumgebungen. Die Identitätsdaten müssen nicht mehr manuell erstellt, gepflegt und gelöscht werden. Die zentrale Kontrolle, der vollständige Einblick in die Zugangsberechtigungen und die konsistente Anwendung von Regelungen für das Identity Management erleichtern die Compliance mit den geltenden Vorschriften. Zahlreiche Merkmalen und Fähigkeiten öffnen den Zugang zu den Unternehmen, verbessern die Sicherheit, vereinfachen die Compliance, ermöglichen hohe Service Levels und halten dabei auch die Kosten im Rahmen. Suns Lösung basiert auf Standards, beeindruckt durch ihre Vollständigkeit und liefert innerhalb kurzer Zeit einen Return on Investment.

9 Sun Microsystems, Inc. Identity Management: Trends, Probleme und Lösungen S7 Java System Identity Manager: Management von Identitätsprofilen und Berechtigungen über den gesamten Lifecycle hinweg Java System Identity Manager ist die erste kombinierte User Provisioning und Meta-Directory Lösung am Markt. Die Verwaltung der Identitätsprofile und Zugangsberechtigungen mit Identity Manager erhöht die Sicherheit im Unternehmen und rationalisiert die Betriebsabläufe. Automatisierung, Delegation und Self-Service senken die Betriebskosten und entlasten sowohl die Administratoren als auch die Helpdesk-Mitarbeiter. Das Architekturkonzept beschränkt die Änderungen an der vorhandenen Technologieumgebung auf das absolute Minimum, verkürzt die Inbetriebnahme und erhöht den ROI. Identity Manager ersetzt manuelle Adhoc-Prozesse durch das vollständig automatisierte Management des User Lifecycle Prozesses. Die Nutzer können die produktive Arbeit schneller aufnehmen, ihre Zugangsberechtigungen im Handumdrehen an neue Rollen anpassen und ihre Accounts kurzfristig stilllegen, wenn ihr Arbeitsverhältnis bzw. ihre Geschäftsbeziehung zu dem Unternehmen endet. Das Provisioning auf der Basis von Rollen und Regeln bietet weitreichende Flexibilität bei der Handhabung von Provisioning Regeln für Nutzer, Unternehmen, Ressourcen, Rollen und Gruppen. Der dynamische Workflow unterstützt mehrstufiges, komplexes Provisioning; Änderungen an den Identitätsdaten werden automatisch vorgenommen. Die Verantwortlichen können die Zugangsberechtigungen der Nutzer komplett einsehen und kontrollieren. Die automatische Synchronisierung der Identitätsdaten mit verschiedenen heterogenen Anwendungen, Directories, Datenbanken und anderen Datenspeichern stellt sicher, dass sowohl die Nutzer als auch die Applikationen auf konsistente Datenbestände zugreifen. Auf diese Weise verbessert sie die Qualität der Entscheidungsprozesse. Transformationsregeln, Data Flow Mapping und Data Joins ermöglichen das Mapping unähnlicher Schemata auf beliebige Datenquellen und schützen dabei die vorhandene Infrastruktur des Unternehmens. Die Administratoren können für jede Identität eine verbindliche Datenquelle definieren. Damit werden sie der praktischen Notwendigkeit zum Distributed Ownership gerecht und stellen sicher, dass die Daten unternehmensweit stets auf dem neuesten Stand sind. In Unternehmen, die ihre IT-Umgebungen mit Hilfe von Directory-zentrischen Architekturen vereinfachen möchten, automatisiert Identity Manager die Migration der Identitätsdaten von den vorhandenen Datenquellen zu einer Infrastruktur auf Directory-Basis.

10 S8 Identity Management: Trends, Probleme und Lösungen Sun Microsystems, Inc. Abbildung 1. Java System Identity Manager kombiniert Intelligenz und Automatisierung mit einer beispielhaften Bandbreite an Identity Management Funktionen für interne und externe Nutzer von Web- und Legacy-Anwendungen. Java System Access Manager: Offene, auf Standards basierende Zugangskontrolle für Intranets und Extranets Mit Hilfe von Java System Access Manager können Unternehmen den sicheren Zugriff auf Webanwendungen problemlos managen - sowohl im internen Bereich als auch für Business-to-Business (B2B) Wertketten. Ein zentraler Punkt für die Authentifizierung, die rollenbasierte Zugangskontrolle sowie Single Sign-On (SSO) liefert ein effizientes, skalierbares Sicherheitsmodell für alle webbasierten Applikationen. Access Manager verbessert die Sicherheit und vereinfacht nicht nur das Management, sondern auch die Transaktionen und den Datenaustausch. Zugleich sorgt er für den Schutz und die Sicherheit wichtiger Identitätsdaten. Access Manager schützt die Ressourcen vor Missbrauch sowie unbefugten Zugriffen und veranlasst Echtzeit-Audits für solche Vorfälle. Sorgfältig definierte, mehrfach einsetzbare und für Audits geeignete Sicherheitsabläufe können unternehmensweit eingesetzt werden. Single Sign-On für heterogene Umgebungen einschließlich Microsoft Windows vereinfacht die Authentifizierung und Autorisierung, gestaltet die Bedienung komfortabler und erhöht die Sicherheit. Zusammen mit der Geräteunabhängigkeit sorgt SSO dafür, dass die Daten jederzeit, überall und auf jedem Gerät verfügbar sind und sicher bereitgestellt werden können. Als erstes kommerzielles Produkt unterstützt Access Manager die neuesten Industriestandards einschließlich Liberty Alliance Phase 2 und SAML (Security Assertion Markup Language) 1.1. Sie liefern die Voraussetzung für ein föderiertes Framework und einen Authentication Sharing Mechanismus, die durch ihre einfache Bedienung überzeugen und mit vorhandenen unternehmensweiten Systemen kompatibel sind. Access Manager erschließt neue Möglichkeiten für das e-business - von Portalen bis zu Webservices - über gesicherte Netze zwischen bestehenden und neuen Geschäftspartnern.

11 Sun Microsystems, Inc. Identity Management: Trends, Probleme und Lösungen S9 Abbildung 2. Java System Access Manager, die erste kommerzielle Access Management Lösung am Markt, erfüllt die Spezifikationen der Liberty Alliance (ID-WSF) und der Security Assertion Markup Language (SAML) 1.1. Access Manager unterstützt Federation Services und bietet sicheres Single Sign-On für mehrere Anwendungen. Java System Directory Server Enterprise Edition: Sichere, skalierbare und einfach verwaltbare Directory Services mit hoher Verfügbarkeit Directory Server Enterprise Edition liefert eine sichere, hochverfügbare, einfach verwaltbare und skalierbare Directory Infrastruktur zum Speichern und Verwalten von Identitätsdaten. Multi-Master Replication, Load Balancing und Automatic Failover sorgen rund um die Uhr für die typische Verfügbarkeit der Enterprise-Klasse. Die Implementierung führender Standards für Directory Services sichert die Kompatibilität auch in der Zukunft. Die Skalierbarkeit von Directory Server Enterprise Edition hilft die Betriebskosten zu senken, weil insgesamt weniger Systeme benötigt werden. Die Zentralisierung der Identitätsdaten und ihre konsistente Verfügbarkeit für mehrere Anwendungen spart Kosten ein, weil nicht mehr jede einzelne Anwendung ihre eigenen Daten an mehreren Orten speichern und pflegen muss. Auch die On-Demand Synchronisierung der Kennwörter zwischen Microsoft Windows Umgebungen und Directory Server Enterprise Edition entlastet das Budget, denn sie verringert die Anzahl der Helpdesk Calls, die Kennwort-Support benötigen. Die Proxy Services von Directory Server Enterprise Edition schützen ähnlich wie eine Firewall vor böswilligen Zugriffen auf Directory Server. Als Front End wehrt Directory Server Enterprise Edition Denial-of-Service (DoS) Angriffe und nicht autorisierte Zugriffsversuche ab. Die On-Demand Synchronisierung der Kennwörter mit Microsoft Windows Active Directory stellt sicher, dass die für das Netzwerkbetriebssystem geltenden Policies auch auf wichtige strategische Directories angewandt werden. Für zusätzliche Sicherheit sorgt Directory Server Enterprise Edition, indem er den Zugriff auf der Basis von IP-Adressen, Gruppenzugehörigkeit und anderen Kriterien gewährt oder verweigert.

12 S10 Identity Management: Trends, Probleme und Lösungen Sun Microsystems, Inc. Wizards erleichtern sowohl unerfahrenen als auch professionellen Anwendern das Erstellen von zusätzlichen Datenbanken und Replikationsvereinbarungen. Nutzer, Gruppen und Organisationseinheiten werden über eine weitgehend anpassbare, webbasierte und intuitive Schnittstelle verwaltet. Einzelne Directory Server im Back-end können zu Wartungszwecken heruntergefahren werden, ohne die Verfügbarkeit der Directory Services zu beeinträchtigen. Backup, Bulk Import, Reindexing und andere Managementaufgaben können durchgeführt werden, während das Directory online verfügbar ist. Diese Möglichkeit maximiert die Verfügbarkeit der Datenbestände. Abbildung 3. Sichere, hochverfügbare und skalierbare Directory Services, die einfach zu verwalten sind: Directory Server Enterprise Edition kombiniert einen führenden Directory Server mit Mehrwertservices. Der Directory Proxy sorgt für Hochverfügbarkeit und Sicherheit mit Load Balancing, Failover/Failback, Client-Kompatibilität und Schutz vor Denial-of- Service. Die Synchronisierung der Kennwörter zwischen Microsoft Windows Umgebungen und Directory Server Enterprise Edition senkt die Kosten und vereinfacht die Strukturen, weil die Daten in wichtigen Directories stets korrekt abgelegt sind. Identity Management von Sun: die Vorteile eines integrierten und integrierbaren Konzeptes Die Integration und der Austausch der Identitätsdaten zwischen den Anwendungen spielen eine kritische Rolle für das Identity Management. Suns Produkte erleichtern die Interoperabilität mit anderen Businesssystemen sowie mit Security und Identity Management Lösungen von anderen Herstellern. Die modulare, integrierbare Struktur der Produkte ermöglicht eine nahtlose Integration der Anwendungen. Mehr als 40 sofort einsatzbereite Ressourcenadapter liefern die Voraussetzungen für die Synchronisierung mit Directory Servern, Datenbanken, Mainframes, Betriebssystemen, Messaging-Plattformen, Kontrollprodukten für den Webzugang sowie Unternehmenssoftware von SAP, PeopleSoft und Oracle. Über 30 Policy Agents ermöglichen SSO und die Zugangskontrolle für verschiedene Plattformen, Anwendungen und Internet Domains. Sie unterstützen unter anderem Apache, BEA, IBM, Lotus, Microsoft, Oracle, PeopleSoft und SAP Plattformen.

13 Sun Microsystems, Inc. Identity Management: Trends, Probleme und Lösungen S11 Sun beteiligt sich aktiv an der Definition von Identity Management Standards und integriert diese Standards in seine Produkte. Standards fördern die Offenheit und die Kompatibilität. Sie leisten einen wichtigen Beitrag zum Schutz vorhandener und künftiger Investitionen. Vorteile durch Identity Management Lösungen von Sun Hohe Servicequalität und Kundenzufriedenheit Das Virtual Enterprise kann nicht Tage oder sogar Wochen warten, bis die Nutzer auf diejenigen Ressourcen zugreifen dürfen, die sie für ihre Arbeit benötigen. Auf dem Spiel steht nicht nur die Produktivität der Mitarbeiter, sondern auch die Zufriedenheit der Kunden und Partner. Mit Automatisierung, Delegation und Self-Service sorgen die Identity Management Lösungen von Sun dafür, dass neue Geschäftsbeziehungen innerhalb kürzester Zeit produktiv arbeiten können. Damit gehören lange Wartezeiten der Vergangenheit an. Single Sign-On und Self- Service verbessern die Servicequalität, steigern die Produktivität und erleichtern Änderungen an den Zugangsberechtigungen. Produkte von Sun verwenden Single Sign-On und Self-Service, um Benutzer einen besseren Service zur Verfügung zu stellen und die Produktivität zu steigern. Benutzer können schneller produktiv arbeiten und Zugriffsrechte lassen sich leicht ändern, wenn sich die Rolle eines Benutzers ändert. Rationeller Betrieb und kostengünstige Administration Die Identity Management Lösungen von Sun automatisieren kostspielige manuelle Änderungen der Identitätsdaten. Self-Service und die Delegation von Verwaltungsaufgaben entlasten den Help-Desk und die Administratoren. Ein regelbasiertes Konzept für das Identity Management ermöglicht die Automatisierung von routinemäßigen Abläufen. Dazu zählen alle Aspekte des fortlaufenden Managements einschließlich Zuweisung, Management und Sperrung von Zugangsberechtigungen für Unternehmensressourcen sowie das Management präziser, konsistenter Profildaten für alle Unternehmensanwendungen. Die Delegation routinemäßiger Verwaltungsaufgaben an Führungskräfte in anderen Abteilungen und Unternehmen sowie an die Nutzer selbst entlastet die Administratoren, ohne ihnen die zentrale Kontrolle aus der Hand zu nehmen. Bessere Sicherheit und Compliance Seit einigen Jahren spielen Sicherheit und Compliance für Unternehmen und Organisationen in aller Welt eine wichtigere Rolle als je zuvor. Ursache dafür sind nicht nur Businesstrends, sondern auch die internationale Lage. Identity Management ist eine effiziente Antwort auf die technologischen und wirtschaftlichen Hürden, die es Unternehmen schwer machen, für die Sicherheit ihrer Daten zu sorgen und die geltenden Vorschriften zu erfüllen. Die Lösungen von Sun ermöglichen jederzeit den vollständigen Einblick in alle Zugangsberechtigungen auf unternehmensweiter Basis. Potentielle Risiken werden automatisch erkannt und durch entsprechende Maßnahmen beantwortet. Dass die Nutzer auf alle für ihre Arbeit erforderlichen Systeme und Anwendungen zugreifen können, ist genau so wichtig wie die Möglichkeit, diesen Zugriff sofort zu sperren, wenn die Umstände es erforderlich machen. Eine effiziente Lösung muss diesbezüglich sowohl webbasierte Systeme als auch Client/ Server- und Legacy-Geräte unterstützen und dabei sicherstellen, dass die Zusammenarbeit im Falle des Falles wirklich beendet wird. Zentrale Kontrolle, der vollständige Einblick in die Zugangsberechtigungen, umfassende Merkmale für Auditing und Reporting sowie eine konsistente Anwendung der Regelungen für das Identity Management stellen sicher, dass die geltenden Gesetze und Vorschriften erfüllt werden.

14 S12 Identity Management: Trends, Probleme und Lösungen Sun Microsystems, Inc. Unterstützung für neue Geschäftsmodelle Die Föderation ermöglicht neue Geschäftsformen, die von Webservices bis zu Portalen reichen. Trusted Networks intensivieren vorhandene Geschäftsbeziehungen und erschließen neue Kontakte. Sie alle eröffnen neue Geschäftschancen. Die Identity Management Lösungen von Sun helfen Unternehmen, ihr Unternehmen zu öffnen und das mit dieser Öffnung verbundene Risiko einzudämmen. Dafür sorgen die rollenbasierte Zugangskontrolle, die Kontrolle des gemeinsamen Datenzugriffs mit Partnern, Kunden und Mitarbeitern sowie die zentrale Anwendung von Sicherheitsrichtlinien für alle Abteilungen und Bereiche. Zusammenfassung Die Auswahl einer geeigneten Identity Management Lösung ist ein kritischer Faktor für den Geschäftserfolg im Zeitalter des Virtual Enterprise. Diese Lösung muss auf breiter Basis die Integration, Flexibilität und Sicherheit im Virtual Enterprise unterstützen. Zugleich muss sie steigende Anforderungen durch Gesetze und Vorschriften erfüllen, aber auch sicherstellen, dass weniger Ressourcen mehr leisten können. Die offenen, integrierbaren Identity Management Lösungen von Sun schützen bestehende Investitionen und lassen sich mit vorhandenen Technologien kombinieren. Die Identifikation und präzise Kontrolle von Benutzern und Vorgängen ist eine wichtige Voraussetzung dafür, dass auch die neuesten Auditing- und Reporting-Anforderungen stets eingehalten werden. Federated Identity Services ermöglichen den Austausch von Identitätsdaten sowohl innerhalb des Unternehmens als auch über seine Grenzen hinweg. Die Identity Management Lösungen von Sun machen virtuell alles möglich. Unter sun.com/identity_mgmt können Sie sich ausführlich über Identity Management und das Virtual Enterprise informieren.

15 Sun Microsystems, Inc. Wichtige Überlegungen für die Evaluation von Identity Management Lösungen S13 Checkliste für den Einkauf Wichtige Überlegungen für die Evaluation von Identity Management Lösungen Im Rahmen Ihrer Evaluation verschiedener Identity Management Lösungen erleichtert Ihnen die folgende Checkliste die Gegenüberstellung wichtiger Architekturkomponenten und Architekturmerkmale mit den Funktionen und Eigenschaften der einzelnen Lösungen. User Provisioning, Synchronisierung und Audit Automatisches Account Provisioning Ja Nein Kann die Lösung in der gesamten Unternehmensumgebung (inkl. webbasierte Systeme, Legacy- Systeme und Anwendungen) Benutzerkonten einrichten, aktualisieren und löschen? Ist die Lösung webbasiert und für die Administratoren über jeden Webbrowser zugänglich? Unterstützt die Lösung sowohl interne Nutzer (Mitarbeiter) als auch externe Nutzer (Partner, Lieferanten, Subunternehmer)? Können Sie einen Nutzer (eine Gruppe von Nutzern) problemlos finden und ihre Zugangsberechtigungen einsehen? Können Sie mit sofortiger Wirkung alle Zugangsberechtigungen eines Nutzers außer Kraft setzen? Nutzt das Produkt die vorhandene Infrastruktur ( , Browser), um automatische Genehmigungen zum Einrichten von Accounts zu vereinfachen? Bietet das Produkt einen automatischen Genehmigungs-Mechanismus, der keinen Platz auf dem Client beansprucht? Ermöglicht die Lösung das Mappen Ihrer vorhandenen Geschäftsprozesse? Wenn ja: Werden serielle Genehmigungsprozesse unterstützt? Werden parallele Genehmigungsprozesse unterstützt? Unterstützt die Lösung das automatische Routen der Genehmigungen an Personen, die von dem Systemzugriff betroffen sind (z.b. Systembesitzer)? Kann die Lösung das Routen der Genehmigungen auf Basis der definierten Unternehmensdaten dynamisch bestimmen (z.b. Echtzeit-Suche in Active Directory, um den Vorgesetzten des Nutzers herauszufinden und die Genehmigung an ihn zu routen)? Kann die Fähigkeit zur Genehmigung an andere Personen (oder Personengruppen) delegiert werden?

16 S14 Wichtige Überlegungen für die Evaluation von Identity Management Lösungen Sun Microsystems, Inc. Automatisches Account Provisioning Ja Nein Kann die Lösung automatisch eine Anfrage zur Genehmigung an eine andere Person weiterleiten, wenn die Zeitvorgabe verstrichen ist? Kann die Lösung während des Genehmigungsprozesses Informationen von Anwendungen oder Datenspeichern abfragen? Unterstützt das Produkt das regelbasierte Routen von Genehmigungen? Kann die Lösung die automatische Genehmigung für die Änderung der Account-Werte anfordern? Ermöglicht die Lösung die Datenabfrage bei Teilnehmern des Genehmigungsprozesses, um während des Prozesses kontospezifische Daten zu definieren? Unterstützt das Produkt die Entwicklung individueller Genehmigungs-Screens, die auch bei Upgrades kompatibel bleiben? Kann das Produkt die routinemäßig in Ihrer Umgebung ablaufenden Identity Management Prozesse vollständig automatisieren? Können zusätzliche Accounts für neue Nutzer in einer verbindlichen Quelle (Personaldatenbank oder Personalverzeichnis) veranlassen, dass die Genehmigung automatisch erfolgt und Accounts automatisch eingerichtet werden? Können Änderungen des Nutzerstatus (z.b. Erfassung einer Jobänderung im Personalsystem) veranlassen, dass die Zugangsberechtigungen automatisch angepasst werden? Können die in einer Personaldatenbank gespeicherten Daten ausscheidender Mitarbeiter dazu verwendet werden, alle Zugangsberechtigungen am Tag des Ausscheidens vollständig und automatisch zu löschen? Kann dieser Prozess für große Nutzergruppen vollständig automatisiert werden (z.b. wenn ein Stellenabbau erfolgt und relativ viele Nutzer gleichzeitig gelöscht werden müssen)? Erkennt die Lösung manuelle Änderungen an gemanagten Systemen und kann automatisch darauf reagieren? Kann die Lösung, wenn sie Änderungen erkannt hat, den zuständigen Mitarbeitern melden, dass eine Änderung außerhalb des Provisioning-Systems vorgenommen wurde, damit sie den Vorgang überprüfen können? Kann die Lösung Änderungen, die genehmigt wurden, automatisch aufnehmen? Kann die Lösung manuelle Änderungen, die auf Zielsystemen vorgenommen wurden, filtern, so dass nur relevante Identitätsänderungen Meldungen veranlassen? Kann die Lösung Konten von nicht autorisierten Nutzern automatisch sperren? Kann ein Unternehmen mit Hilfe der Lösung eine Datenschutzregelung umsetzen? Unterstützt die Lösung eine rollenbasierte Zugangskontrolle? Unterstützt die Lösung die Zuweisung eines Benutzers zu mehreren Rollen? Ist es möglich, ausschließende Rollen festzulegen, die verhindern, dass bestimmten Rollen eine mit ihnen unvereinbare Rolle zugewiesen wird? Kann die Lösung Attributwerte für Ressourcenkonten mit der Rolle zuweisen? Können die Rollen jederzeit definiert werden, nicht nur im Vorfeld der Implementierung? Können Sie wichtige Informationssysteme Ihrer Umgebung als Autorisierungsquelle für automatisches Provisioning nutzen (z.b. automatisches Provisioning, das dadurch ausgelöst wird, dass auf PeopleSoft neue Mitarbeiter ergänzt wurden)? Kann die Lösung Attributwerte für Ressourcenkonten zusammen mit der Rolle zuweisen? Kann die Lösung einem Nutzer mehr als nur eine einzige Rolle zuweisen?

17 Sun Microsystems, Inc. Wichtige Überlegungen für die Evaluation von Identity Management Lösungen S15 Automatisches Account Provisioning Ja Nein Kann die Lösung einem Nutzer ergänzend zu einer Rolle auch individuelle Zugriffsrechte zuweisen? Nimmt die Lösung dynamische und automatische Änderungen der Zugriffsrechte vor, wenn sich die Benutzerrollen ändern? Kann die Lösung individuelle User IDs generieren, die mit unternehmensweiten Regelungen übereinstimmen? Unterstützt die Lösung eine regelbasierte Zugangskontrolle, welche die Anwendung von Provisioning- Regeln für Rollen, Nutzer, Organisationen und Ressourcen im Hinblick auf die Businessanforderungen ermöglicht? Bietet die Lösung einen hohen Bedienkomfort für Endanwender und Administratoren? Ist die Lösung weitgehend skalierbar, so dass sie zahlreiche weitere Nutzer, Anwendungen und Zugriffsmethoden unterstützen kann? Funktioniert die Lösung sicher auch über WANs und durch Firewalls hindurch? Gibt es eine Schnittstelle zu Workflow Management Anwendungen anderer Anbieter? Können über die Schnittstelle Ressourcen-Gruppen (z.b. eine Windows NT Gruppe) eingerichtet werden? Gibt es Merkmale für das Verzeichnismanagement (Einrichten, Aktualisieren und Löschen vor Organisationseinheiten und Verzeichnisgruppen)? Unterstützt das Produkt die Pass-Through Authentisierung, wenn ein Nutzer über einen gemanagten Account validiert werden kann? Unterstützt das Produkt alle maßgeblichen Datenbankserver und Applikationsserver? Gibt es ein Schnittstellen-Tool zur individuellen Anpassung des Benutzererlebnisses? Beurteilungskriterien für die Architektur Ja Nein Ist die Lösung speziell für eine rasche Inbetriebnahme konzipiert? Gibt es Referenzen für die zeitsparende Inbetriebnahme der Lösung? Bietet die Lösung agentenfreie Verbindungen zu gemanagten Ressourcen, um die Inbetriebnahme zu verkürzen und sowohl die Wartung als auch den Betrieb zu vereinfachen? Nutzt die Lösung ein intelligentes Indizierungssystem für das Management der Identitäten und Zugangsberechtigungen, das die zeitaufwändige Entwicklung und Pflege eines weiteren Benutzerspeichers überflüssig macht? Kann die Lösung alle mit einem Nutzer verbundenen Accounts automatisch erkennen und korrelieren, um das Account Mapping zu verkürzen? Wenn ja, können die Nutzer in den Suchvorgang für ihre eigenen Accounts eingebunden werden? Bietet der Hersteller ein Wizard-ähnliches Toolkit, um das Spektrum gemanagter Plattformen um kundenspezifische und proprietäre Anwendungen zu erweitern? Wenn ja, ist dieses Toolkit gratis erhältlich? Unterstützt die Lösung Industriestandards, um die Integration mit vorhandenen Systemen und künftige IT-Investitionen zu erleichtern? Ist der Hersteller an der Entwicklung neuer Kompatibilitätsstandards beteiligt (z.b. SPML)?

18 S16 Wichtige Überlegungen für die Evaluation von Identity Management Lösungen Sun Microsystems, Inc. Services für die Identitätssynchronisierung Ja Nein Gibt es eine webbasierte Schnittstelle, über die der einzelne Nutzer seine persönlichen Profildaten einsehen kann (u.a. Name, Mailadresse, Mobiltelefonnummer und Ansprechpartner im Notfall)? Ist die Lösung mit verbindlichen Systemen integriert, um Profiländerungen zu erkennen und sie bei Bedarf zu synchronisieren (z.b. Erkennen von Gehaltsänderungen im Abrechnungssystem und Aktualisierung dieser Attribute im CRM-System und LDAP-Verzeichnis)? Ermöglicht das Produkt die unternehmensweite Synchronisierung der Identitätsdaten, damit alle Profile korrekt und konsistent sind? Beinhaltet das Produkt eine Fast Scheduling Funktion zur Ausführung zeitkritischer Aktionen? Ist das Produkt agentenfrei oder muss auf jeder gemanagten Ressource Software installiert werden? Wird die Performance durch inkrementelle Synchronisierung erhöht? Bietet das Produkt während der Synchronisierung Regeln für die Transformation und Validierung der Daten? Unterstützt das Produkt Businessregeln, indem es Änderungen der Zugangsberechtigungen oder Profildaten auf der Grundlage der unternehmensweiten Regelungen automatisch vervollständigt? Unterstützt das Produkt zahlreiche Konnektoren für die Synchronisierung großer Systembestände? Verfügt das Produkt über eine Schnittstelle für das Mapping der Attribute? Identity Audit Ja Nein Bietet das Produkt Sicherheit auf der Objektebene und Auditing zum Tracking der Konfigurationsänderungen? Beinhaltet das Produkt eine substantielle Auswahl vorgegebener Berichte? Kann die Lösung für Audits und Berichte zu allen denkbaren Provisioning-Vorgängen konfiguriert werden (Einrichten neuer Accounts, Account-Änderungen, fehlgeschlagene Zugriffsversuche der Administratoren, fehlgeschlagene Zugriffsversuche der Nutzer, Kennwort-Änderungen, Kennwort- Rücksetzung, Sperren von Accounts, Löschen von Accounts, abgelehnte Provisioning-Anfragen usw.)? Zeigt die Lösung in umfassender Weise, wer auf welche Ressourcen zugreifen darf? Gibt es Berichte darüber, wer an einem bestimmten Datum auf welche Ressourcen zugegriffen hat? Besteht die Möglichkeit, die Zugangsberechtigungen eines Nutzers (bzw. einer Gruppe von Nutzern) schnell zu finden und einen entsprechenden Bericht zu erstellen? Können Berichte nach Bedarf erstellt werden? Können Berichte in regelmäßigen Abständen erstellt werden? Können Berichte zu einzelnen Administratoren erstellt werden (eingerichtete Accounts, geänderte Accounts, gelöschte Accounts, Kennwort-Änderungen, vollständiger Audit-Verlauf, administrative Fähigkeiten)? Können Berichte zu einzelnen Plattformen oder Anwendungen erstellt werden (Nutzer je Plattform, Provisioning-Verlauf je Plattform, Durchführung des Provisioning auf der Zielplattform durch wen)? Können Berichte zum Workflow erstellt werden (Abfragen je Nutzer, akzeptierte Abfragen je Nutzer, abgelehnte Abfragen je Nutzer, eskalierte Abfragen, Delegation der Genehmigung wann, wie lange und an wen)? Können Berichte zu den Rollen erstellt werden (Nutzer je Rolle, Ressourcen je Rolle, genehmigende Personen je Rolle, Rollenänderungen)?

19 Sun Microsystems, Inc. Wichtige Überlegungen für die Evaluation von Identity Management Lösungen S17 Identity Audit Ja Nein Können Berichte zur delegierten Administration erstellt werden (delegierte Administratoren inkl. Administrationsrechte, für welche Nutzergruppen und gemanagte Plattformen)? Gibt es ein umfassendes Audit-Protokoll für alle Vorgänge/Änderungen im gesamten System? Lässt sich das Produkt problemlos mit unternehmensweiten Reporting-Tools integrieren (z.b. Crystal Reports, Actuate)? Können die Berichte ohne weiteres von der Benutzeroberfläche direkt zu Excel, Word oder Datenbanken exportiert werden? Können Berichte zu einzelnen Nutzern erstellt werden (Audit-Verlauf je Nutzer, Accounts und Rechte je Nutzer, Self-Service Aktivität je Nutzer, Rollenzugehörigkeit)? Kann das Produkt Risiken wie etwa inaktive Accounts auf allen gemanagten Plattformen proaktiv erkennen? Wenn ja, können bestimmte Ergebnisse automatische Reaktionen veranlassen (z.b. automatische Sperrung inaktiver Accounts, Benachrichtigung eines Administrators)? Kann die Lösung problemlos über Sicherheitsrisiken in der Umgebung berichten, die mit einem Account in Zusammenhang stehen? Kann das Produkt bei Bedarf nach solchen Risiken suchen? Kann das Produkt in regelmäßigen Abständen nach Account-Risiken suchen? Beinhaltet das Produkt Tools für das Performance Tracking (z.b. Provisioning-Dauer)? Bietet das Produkt eine grafische Schnittstelle für die Entwicklung und das Management von Provisioning Workflows, Regeln und Schnittstellen-Ansichten? Kennwort-Management Kennwort-Management Ja Nein Setzt die Lösung eine Password Strength Policy ein? Wenn ja: Gibt es ein Verzeichnis ausgeschlossener Kennwörter? Werden alte Kennwörter gespeichert, damit ihre erneute Verwendung ausgeschlossen ist? Können die Nutzer ihre Kennwörter selbst verwalten und auch zurücksetzen? Wenn ein Unternehmen einen automatischen Prozess für das Kennwort-Management durch die Nutzer vorgibt: Beinhaltet die Lösung Challenge/Response? Kann eine Regelung für Fragen zur Challenge Authentisierung aufgestellt werden (z.b. wie viele Antworten werden verlangt)? Ermöglicht die Lösung dem Endanwender die Synchronisierung seiner Kennwörter für mehrere Accounts? Setzt das Produkt eine Password Strength Policy ein, wenn die Nutzer ihre Kennwörter ändern oder synchronisieren? Kann der Endanwender neue Accounts/Zugänge für neue Anwendungen oder Services anfordern? Wenn ja, kommen Genehmigungen zur Anwendung? Können die Nutzer persönliche Daten (Anschrift, Mobiltelefonnummer usw.) aktualisieren und diese Informationen automatisch an die entsprechenden Ressourcen weiterleiten? Kann die Lösung den Zugriff auf die webbasierten Self-Service Funktionen unterstützen, ohne die Anmeldung im Netz zu verlangen?

20 S18 Wichtige Überlegungen für die Evaluation von Identity Management Lösungen Sun Microsystems, Inc. Kennwort-Management Ja Nein Lässt sich die Lösung mit Interactive Voice Response (IVR) integrieren, um Funktionen für die Kennwort- Rücksetzung zu ermöglichen? Kann der Nutzer den Status einer Abfrage über eine Webschnittstelle einsehen? Unterstützt das Produkt einen Kioskmodus, den der Nutzer konfigurieren kann, um Kennwörter an einem beliebigen Terminal zu ändern? Access Management und Föderationsdienste Access Management Ja Nein Kann der Zugang begrenzt werden nach den Kriterien Zeit (Tag, Datum, Tageszeit), Ort (IP-Bereich) und Grad der Authentisierung (Kennwort vs. X.509 Zertifikat o.ä.)? Können externe Daten während der Laufzeit der Policy-Anwendung dynamisch evaluiert werden? Können kundenspezifische Policy-Bedingungen eingerichtet werden, um die Autorisierung der Nutzer festzulegen? Unterstützt das Produkt die Abschaltung einer Session nach einer bestimmten Zeitdauer? Orientiert sich die Abschaltung daran, wie lange der Nutzer nicht aktiv war? Kann die Verwaltung der Policy für die Zugangskontrolle an diejenigen Personen delegiert werden, die für das Management der geschützten Anwendung verantwortlich sind? Kann das Produkt Nutzerattribute an geschützte Anwendungen weiterleiten, um die Personalisierung zu vereinfachen? Basiert die Lösung auf der Java 2 Platform, Enterprise Edition (J2EE), um die Integration und individuelle Anpassung zu vereinfachen? Können unternehmensweit eingesetzte Anwendungen und Plattformen nahtlos in das Framework mit zentraler Authentisierung/Autorisierung integriert werden? Gibt es zahlreiche APIs, die Java, C sowie XML unterstützen, um die Erweiterung und Integration in die Anwendungs-Infrastruktur des Unternehmens zu vereinfachen? Sorgen Fähigkeiten für Hochverfügbarkeit und Failover dafür, dass es keinen Single Point of Failure gibt? Wenn ja, werden mehrere Policy-Server, Policy-Agenten und Verzeichnis-Instanzen mit Load Balancing eingesetzt? Kann serienmäßige Standard-Hardware für das Load Balancing der Lösung im Hinblick auf Hochverfügbarkeit eingesetzt werden? Skaliert das Produkt linear, wenn Hardware ergänzt wird? Kann die Lösung so skalieren, dass sie Extranet- und Internet-Umgebungen mit Benutzerzahlen im Millionenbereich unterstützt? Gibt es aktuelle Audits zu allen Authentisierungsversuchen, Autorisierungen und Änderungen an Zugangsaktivitäten und Zugangsberechtigungen? Föderationsdienste Ja Nein Ist die Lösung nachweislich mit anderen auf SAML basierenden Produkten kompatibel? Unterstützt das Produkt SAML Browser POST und Artifact Profile? Gibt es eine Föderationslösung, die ein Unternehmen seinen Geschäftspartnern anbieten kann, so dass sie weder ein individuelles Codesystem noch ein komplettes Access Management System benötigen?