Diplomarbeit. Fachhochschule Köln, Campus Gummersbach Fachbereich Informatik Studiengang Allgemeine Informatik. von Vadim Wolter

Transkript

1 Fachhochschule Köln, Campus Gummersbach Fachbereich Informatik Studiengang Allgemeine Informatik Diplomarbeit Analyse und Vergleich von Identity Management-Technologien und Implementierung eines Resource Adapters für Sun Identity Manager zur Unterstützung von Alcatel OmniVista 4760 von Vadim Wolter Matrikelnummer: Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke Köln, Februar 2006

2 2 Inhaltsverzeichnis 1 Einleitung Fragestellungen und Ziele Aufbau der Arbeit Identity Management-Markt Marktanalyse Lösungsanbieter Theoretische Grundlagen Digitale Identität Identity Management Identity Management-Technologien Provisioning Password Management Sicherheit Authentifizierung Kerberos Biometrie Smartcards Simple Authentication and Security Layer X Public Key Infrastructure Digitale Signatur und Zertifikat Single Sign-On Radio Frequency Identification Kryptografie Symmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Hybride Verschlüsselungsverfahren Hash-Verfahren Federated Identity Management Verzeichnisdienste X Lightweight Directory Access Protocol... 56

3 Netware Directory Services Active Directory Meta Directory-Dienste Virtuelle Verzeichnisdienste Web Services Service Oriented Architecture Simple Object Access Protocol Web Services Description Language Universal Description, Descovery Integration Security Assertions Markup Language Projekt Projekt-Komponenten Sun Java System Identity Manager Alcatel OmniVista Resource Adapter Projekt-Beschreibung Zielsetzung Zielgruppe Abgrenzung der Aufgabenstellung Verwendete Systeme Programmiersprache Webserver Datenbankserver Schnittstellen-Protokoll Virtual Machine Sonstige Tools Projekt-Realisierung System-Analyse Diagramm-Entwurf Resource Adapter-Implementierung Wizard-Aufbau Implementierung der Adapter-Klasse Implementierung der Domänen-Eigenschaft Tests

4 Test-Protokoll Zusammenfassung Literaturverzeichnis Anhang: Inhalt der CD-ROM Erklärung

5 5 Abbildungsverzeichnis 2.1 ITK-Marktstruktur Deutschland Wie Analysten den Markt Identity Management sehen Schalenmodell der digitalen Identität Identity Management das Grundproblem Identity Management die Ausgangssituation Identity Management-Lösung Ziele des Identity Managements Provisioning-Komponenten Kerberos Typische Architektur & Speichergrößen von Mikroprozessorkarten Public Key Infrastructure Hierarchie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Federated Identity Management X.500-Verzeichnis, Benutzerinteraktion Directory Information Tree Domain Tree Meta Directory Web Services Interaktion Service Oriented Architecture - Web Services at Work Projekt-Komponenten und deren Beziehungen Identity Manager Physical Architecture Verwendete Systemumgebung Java-Compilierung und -Plattformunabhängigkeit Klassendiagramm... 94

6 6 Tabellenverzeichnis 2.1 Identity Management-Lösungsanbieter Akquisitionen auf dem Identity Management-Markt Identity Management Segment-Spezialisten Provisioning Einsparungspotentiale Signatur-Arten Bekannte symmetrische Verschlüsselungsalgorithmen Bekannte asymmetrische Algorithmen Bekannte Fingerprinting-Verfahren Verzeichnisoperationen von X Die wichtigsten Funktionen von OmniVista Ressourcen, die von Sun Identity Manager unterstützt werden Verzeichnisstruktur von Tomcat JNDI-Klassen, die bei der Implementierung verwendet werden Liste von technischen Werkzeugen, die beim Projekt eingesetzt werden Verbindungsdaten für den OmniVista LDAP-Server Erläuterung zum Klassendiagramm Äquivalenz zwischen drei Attributsformen Liste von Methoden aus der Adapter-Klasse Äquivalenz von Adapter-Methoden zu Identity Manager-Operationen Einsparungspotentiale durch effizientes Identity Management...112

7 7 1 Einleitung 1.1 Fragestellungen und Ziele Identity Management stellt einen wesentlichen Teilbereich der Informations- Technologie dar und bietet aussichtsreiche Perspektiven für Unternehmen, die sich mit Verwaltung und Administration von digitalen Identitäten beschäftigen möchten. Fragen, die im Rahmen dieser Arbeit beantwortet werden sollen, sind: - Welche Treibfaktoren sorgen für die Entwicklung des Identity Managements? - Wie hoch ist die Komplexität des Identity Managements? - Wie effizient wird die Administration von digitalen Identitäten durch Einführung eines zentralisierten und einheitlichen Identity Managements? - Was sind die Bestandteile des Identity Managements? - Inwieweit werden Identity Management-Lösungen heutzutage angewendet? - Welche Aussichten und zukünftige Entwicklungen sind für Identity Management zu erwarten? Neben all diesen Fragen werden einzelne Technologien aus verschiedenen Identity Management-Segmenten auf Vor- und Nachteile analysiert, sowie unterschiedliche Identity Management-Lösungen untereinander verglichen. Schwerpunkt der Technologien-Analyse liegt bei folgenden Identity Management-Segmenten: Sicherheit, Verzeichnisdienste und Web Services. Dabei wird das Segment Sicherheit in zwei Teilbereiche unterteilt: Authentifizierung und Kryptografie. Die weiteren an Verzeichnisdiensten naheliegenden Themen sind Meta Directory- und virtuelle Verzeichnisdienste. Außerdem werden einige Technologien aus Provisioning, Password Management und Federated Identity Management näher betrachtet. Das weitere Ziel dieser Arbeit besteht in der Untersuchung des Identity Management-Marktes, Analyse des Marktwandels, Berechnung des Marktanteils am gesamten Informations- und Telekommunikationsmarkt und Ermittlung des Marktwachstums. Außerdem soll festgestellt werden, wie die Tendenz bei der Entwicklung des Identity Management-Marktes aussieht. Zusätzlich werden die

8 8 Anbieter für Identity Management-Lösungen behandelt. Die wichtigsten Fragen dabei sind: - Welche Lösungsanbieter sind auf dem Identity Management-Markt vertreten? - Welche Anbieter sind die Führenden (Key Player)? - Welche Perspektiven bieten sich für kleinere Anbieter? Ein weiterer wichtiger Bestandteil dieser Arbeit ist ein Projekt, das im Auftrag der Firma Sun Microsystems durchgeführt wird. Das Projekt besteht darin, einen Resource Adapter (Connector) für den Sun Identity Manager zu implementieren, um eine Anbindung zur Telekommunikations-Verwaltungsplattform Alcatel OmniVista 4760 als Zielsystem zu ermöglichen. Eine der Teilaufgaben des Projekts ist die Analyse von Systemen, die zum Laufen gebracht werden sollen. Als wichtige Voraussetzung für die Erfüllung des Projektziels ist die Integration des neuen Resource Adapters in Sun Identity Manager zu sehen. Zum Abschluss des Projekts soll die originale Datenstruktur aus Telefondatenbank der Fachhochschule Köln in OmniVista 4760 übertragen werden. Danach werden sinnvolle Testfälle überlegt und beim Testen systematisch durchgegangen. 1.2 Aufbau der Arbeit Die Arbeit wird in sechs Kapitel unterteilt. Während Kapitel 1 einem Einstieg dient und Kapitel 6 eine Zusammenfassung beinhaltet, beschreiben Kapitel 2-5 eigentliche Kernthemen dieser Arbeit. In Kapitel 2 wird der Identity Management-Markt untersucht. Im Rahmen der Marktanalyse werden das Wachstum ermittelt und der Marktanteil des Identity Managements am gesamten Markt für Software-Produkte errechnet. Desweiteren werden Lösungsanbieter aufgelistet und nach deren Größe und Marktanteil verschiedenen Kategorien zugeordnet. Kapitel 3 beinhaltet theoretische Grundlagen zum Thema Identity Management. Als Kernelemente werden dabei digitale Identitäten und das Identity Management als solches beschrieben.

9 9 In Kapitel 4 wird auf folgende Identity Management-Segmente näher eingegangen: - Provisioning - Password Management - Sicherheit (Authentifizierung und Kryptografie) - Federated Identity Management - Verzeichnisdienste, Meta Directory- und virtuelle Verzeichnisdienste - Web Services Einzelne Technologien dieser Segmente werden analysiert und miteinander verglichen. In Kapitel 5 wird der Ablauf des Projekts beschrieben. Die im Rahmen dieses Projekts realisierten Ansätze der objektorientierten Programmierung werden ausführlich behandelt. Im Anhang dieser Arbeit wird eine CD-ROM beigefügt. Darauf findet man den Quellcode der implementierten Java-Klassen inklusive der Dokumentation und einer Sammlung aus elektronischen Literaturquellen, die während der gesamten Arbeit verwendet worden sind.

10 10 2 Identity Management-Markt 2.1 Marktanalyse Eine Vielzahl von Identity Management-Technologien, die sich oft in mehreren Teilbereichen überlappen, machen den Überblick über Identity Management-Markt ziemlich komplex. Viele Anbieter versuchen die Definition des Identity Managements ihren Lösungen anzupassen, was den Überblick zusätzlich erschwert. Es gibt Produkte mit unterschiedlicher Funktionalität am Markt, die jedoch unter dem gleichen Begriff angeboten werden. Außerdem sind viele Lösungsanbieter noch relativ neu, oder die kleineren Unternehmen werden von größeren übernommen, so dass der Identity Management-Markt von großer Dynamik geprägt ist. Das ist der Grund dafür, dass die Zahlen-Angaben verschiedener Marktforschungsunternehmen manchmal weit auseinander gehen. Für das Jahr 2002 ist von IDC-Analysten im westeuropäischen Identity Management-Markt ein Umsatz in Höhe von 170 Millionen US Dollar festgestellt worden 1. Wie die weiter unten folgenden Berechnungen zeigen, ist dies nur ein kleiner Anteil am gesamten Markt für Informations- und Telekommunikations- Technologie (ITK). Im ITK-Segment des westeuropäischen Marktes ist für das Jahr 2002 insgesamt ein Umsatz in Höhe von 641 Milliarden Dollar erzielt worden 2. Davon gehören ungefähr 11% des Marktanteils dem Software-Bereich, zu dem auch Identity Management zählt (siehe Abbildung 2.1). 11% entsprechen 70,51 Milliarden Dollar. 170 Millionen sind 0,24% von 70,51 Milliarden. Somit stellt sich fest, dass Identity Management nur 0,24% des Software-Marktes im Jahr 2002 betrug

11 11 Abbildung 2.1: ITK-Marktstruktur Deutschland Dies soll sich allerdings in den nächsten Jahren ändern. Für die Zukunft prognostiziert IDC mindestens 30% Wachstum für den Identity Management-Markt, was etwa 1,17 Milliarden Dollar entsprechen soll 2. Der ITK-Markt wächst dagegen ziemlich langsam, im Durchschnitt ca. 2,8% jährlich. Laut Berechnungen werden es in 2007 ungefähr 735,9 Milliarden Dollar sein, davon ca. 80,95 Milliarden Dollar für Software. In diesem Fall wird das Identity Management ca. 1,45% des gesamten Software-Marktes betragen. Die Tendenz ist somit steigend. IDC gibt noch weitere Zahlen an: für das Jahr 2002 ist weltweit 600 Millionen Dollar Umsatz im Bereich Identity Management erzielt worden 3. Bis 2007 rechnet man schon mit 4 Milliarden Dollar Jahresumsatz. Für den westeuropäischen Markt bedeutet dies rund 30% Anteil am weltweiten Identity Management-Markt. Die wichtigsten Motoren für das Marktwachstum von Identity Management seien laut IDC Single Sing-On, Provisioning, Authentifizierung, Autorisierung, Verzeichnisdienste, Sicherheitsmanagement und PKI. Viele Anbieter wie Computer Associates (CA), Novell und Siemens wählen die Strategie des klassischen 3A

12 12 Marktes (AAA = Authentifizierung, Autorisierung, Administration). Dieser Marktteil ist aufgrund der bereits bestehenden Erfahrungen und nach wie vor hoher Nachfrage sehr erfolgsversprechend. Desweiteren wird erwartet, dass das wichtigste Thema der nächsten Jahre Identity Federation sein wird, die inzwischen einen Reifegrad erreicht hat, mit dem sie produktiv genutzt werden kann. Die Markt-Analysten erwarten auch eine verstärkte Segmentierung des Identity Management-Marktes, da die Treiber für das Identity Management sehr unterschiedlich sind, angefangen bei Sicherheit bis hin zur Optimierung von Geschäftsprozessen. 2.2 Lösungsanbieter Rund 20 kleinere und größere Anbieter haben sich im Identity Management-Markt derzeit positioniert. Darunter finden sich solche, die versuchen alle Segmente des Identity Managements abzudecken, und solche, die sich nur auf bestimmte Teilbereiche konzentrieren, um ein möglichst optimales Produkt für den ausgewählten Identity Management-Bereich herstellen zu können. Herauszufinden, welches Unternehmen im Identity Management-Markt führend ist, ist eine Frage von vielen unterschiedlichen Faktoren wie Marktanteil, Produkt- Bewertung, Begriffsdefinition vom Identity Management usw. Nicht umsonst sind die Meinungen verschiedener Marktforscher an dieser Stelle unterschiedlich, welche Lösungsanbieter im Identity Management die so genannten Key Player (die Führenden) sind. Die Markt-Spezialisten von Meta Group sehen die Firmen IBM, Sun und Novell als die marktführenden (siehe Abbildung 2.2). Bei dieser Untersuchung sind nur zwei Entscheidungskriterien berücksichtigt worden: Performance und Präsenz.

13 13 Abbildung 2.2: Wie Analysten den Markt Identity Management sehen 1 Das Marktforschungsunternehmen IDC sieht dagegen die Firma Computer Associates (CA) an der Spitze des weltweiten Marktes für Identity und Access Management (IAM) 2. Als Hauptkriterium dieser Entscheidung wird der weltweite Marktanteil von CA genannt 450 Millionen US Dollar in Das entspricht einem globalen Anteil von ca. 20% der weltweiten Identity Management-Umsätze. Das Forrester-Unternehmen gibt seinerseits die Testergebnisse vom Januar 2006 bekannt, nach denen die Firma Sun Microsystems den ersten Platz im Wettbewerb mit anderen großen Anbietern erhält 3. Dabei ist das Produkt dieser Firma Sun Java System Identity Manager getestet und mit der breitesten Funktionsvielfalt als Testsieger erklärt worden. Bei dieser Studie hat man Identity Management Software verschiedener Anbieter nach 125 unterschiedlichen Kriterien untersucht

14 14 Das Online-Magazin Computerwoche sieht den Sun Identity Manager ebenfalls als ein System, das den größten Funktionsumfang und die einfachste Integration anbietet 1. Ganz vorne liegt allerdings das Produkt von Novell dank seines guten Preis-Leistungs-Verhältnisses. Die Tabelle 2.1 fasst alle bekanntesten Anbieter des Identity Management-Marktes in einer Liste zusammen. Die Firmen sind je nach ihrer Größe und dem von ihnen angebotenen Funktionsumfang in drei Kategorien unterteilt. Key Player Zweite Reihe Kleinere Spezialisten Sun BMC Blockade CA Oracle M-Tech Novell Beta Systems Citrix IBM Ping Identity Octet String Siemens/Oblix Evidian Critical Path HP Maxware RSA Security Tabelle 2.1: Identity Management-Lösungsanbieter Dass Identity Management an Bedeutung gewonnen hat, zeigen zahlreiche Investitionen in Firmen und deren Technologien am dynamischen Identity Management-Markt der letzten Jahre. Die Tabelle 2.2 zeigt eine Liste von größeren und relativ frischen Akquisitionen (Übernahmen), die den Wandel des Identity Management-Marktes deutlich machen. Übernommene Firmen Confluent Oblix Business Layers Netegrity OpenNetworks Waveset Oblix Oracle Netegrity CA BMC Sun Übernehmer 1

15 15 TruLogica Calendra HP BMC Tabelle 2.2: Akquisitionen auf dem Identity Management-Markt Außerdem haben einige Anbieter strategische Partnerschaften miteinander geschlossen (zum Beispiel Siemens/Oblix). So sind viele Unternehmen wie IBM, Sun oder Siemens zu den Key Playern des Identity Management-Marktes geworden. Obwohl diese Firmen das Vorhaben haben, alle Identity Management-Bereiche abzudecken, wird dieses Ziel von keinem einzigen Anbieter hunderdprozentig erreicht. Neben den großen Lösungsanbietern gibt es eine Reihe kleinerer Spezialisten, die (noch) nicht übernommen worden sind, dennoch bei der Implementierung ihrer Einzellösungen gute Leistungen zeigen (siehe Tabelle 2.3). Dabei sind diese Segment-Spezialisten bei der Entwicklung von kleineren Identity Management- Lösungen teilweise deutlich schneller als die größeren Unternehmen mit komplexeren Angeboten. Weil auch kein größerer Anbieter es geschafft hat, eine Identity Management-Lösung zu entwickeln, die alle Bereiche hunderdprozentig abdecken würde, sind Marktforscher gleicher Meinung, dass die kleineren Anbieter gleichermassen auf dem Markt vertreten sind, wie die großen Key Player. Anbieter Entrust Ping Identity Maxware M-Tech Critical Path Blockade Octet String RSA Security Identity Management-Segmente Provisioning, Authentifizierung Identity Federation Meta Directories, Virtuelle Verzeichnisse Password Management, Provisioning Meta Directory-Dienste Password Management, Provisioning Virtuelle Verzeichnisdienste Provisioning, Authentifizierung Tabelle 2.3: Identity Management - Segment-Spezialisten

16 16 3 Theoretische Grundlagen Identity Management und digitale Identitäten (IDs) sind zwei Kernbegriffe. Deren Zusammenhang kann folgendermaßen beschrieben werden: Im Mittelpunkt des Identity Managements steht digitale ID. Digitale IDs sind Informationen über Einheiten (Entities), die in Accounts hinterlegt sind. Zu den Entities können sowohl humane (Personen) als auch nicht-humane (Telefone, PDAs, Drucker usw.) Einheiten gehören. Identity Management sorgt für die Verwaltung (Erzeugung, Pflege und Gebrauch) der digitalen IDs und der Beziehungen zwischen ihnen. 3.1 Digitale Identität Die digitalen Identitäten repräsentieren Personen oder Gegenstände aus der realen Welt. Im Folgenden beschränkt sich die Beschreibung nur auf personbezogene Identitäten, weil sie bei der Verwaltung im Identity Management die wichtigste Rolle spielen. Eine personbezogene digitale Identität ist die Darstellung eines menschlichen Individuums (Benutzers) in den verteilten Netzwerkumgebungen. Sie ermöglicht es dem Menschen, mit anderen Menschen oder Maschinen in der maschinenbasierten Welt zu kommunizieren. Anhand eines Schalenmodells (siehe Abbildung 3.1) lässt sich die digitale Identität am besten erklären.

17 17 Abbildung 3.1: Schalenmodell der digitalen Identität 1 Im Grunde genommen enthält die digitale Identität Informationen über einen konkreten Benutzer. Diese Informationen werden in einem Konto (engl. Account) hinterlegt, wobei das Konto in einer Datenbank oder einem Verzeichnis abgespeichert wird. Dort erfolgen Speicherung und Verwaltung auch von allen anderen Benutzerkonten, die zum System gehören sollen. Die digitale Identität erhält ein Merkmal (eine Nummer oder ein Wort), das zur eindeutigen Identifizierung der Benutzerperson, mit der diese Identität assoziiert wird, dienen soll. Dieses Identifizierungsmerkmal nennt man auch Benutzername, Kontoname, User ID oder Account ID. Mit Hilfe eines Benutzernamens wird die digitale Identität in der virtuellen Welt angesprochen. 1

18 18 Damit die Echtheit eines Benutzers garantiert werden kann, benutzt man ein digitales Zertifikat. Mit dem Zertifikat weist sich eine Identität vor anderen Identitäten aus. Zusätzlich zum Zertifikat werden digitale Signaturen angewendet, welche die Nachrichten-Integrität gewährleisten sollen. Die digitale Identität bzw. das Konto verfügt über Eigenschaften, die den Benutzer von diesem Konto beschreiben. Die Eigenschaften (Attribute) werden je nach Bereich in verschiedene Profile unterteilt (siehe Abbildung 3.1). Allgemeine Benutzerattribute wie zum Beispiel Augenfarbe, Körpergröße, Gewicht oder auch Postanschrift können unter anderem von allen Profilen benutzt werden. Spezielle Konto-Attribute wie Abteilungszugehörigkeit oder Mitarbeitertätigkeiten werden dagegen zu einer bestimmten Kategorie zugeordnet, in diesem Fall zum Mitarbeiter- Profil. Ein weiterer wichtiger Bestandteil der digitalen Identität sind Rollen und Berechtigungen, die miteinander verbunden sind. Damit die Verwaltung von Berechtigungen in einem Unternehmen oder einer Organisation einfacher und sicherer wird, wendet man das Rollenkonzept an (rollenbasiertes Management). Mit einer Rolle werden in der Regel mehrere Benutzerkonten verknüpft. Der Rolle werden Berechtigungen zugeordnet, wobei diese Berechtigungen für alle mit ihr verknüpften Konten gelten. Wird eine Änderung an der Rolle vorgenommen, so betrifft diese gleich eine ganze Gruppe von Benutzern. Einzelberechtigungen werden dagegen erteilt, wenn sie sich auf keinen anderen Benutzer übertragen lassen. Ein wichtiger Punkt bei digitalen Identitäten ist Datenschutz. Eines der größten Probleme in den verteilten Netzwerkumgebungen ist Identitätsdiebstahl. Das Spiel mit Identitäten im Netzwerk ist für viele eine verlockende Angelegenheit. Es macht dem Benutzer keine großen Umstände, ein anderes Ich oder sogar eine nicht real existierende Person vorzutäuschen. Wird auf diese Weise die Realität verfälscht, so unterscheiden sich digitale und reale Identitäten, daraus können früher oder später Konflikte entstehen. Wie es bereits oben erwähnt worden ist, helfen die digitalen Zertifikate und Signaturen beim Lösen dieses Problems.

19 Identity Management Zunehmende Verteilung von Informationen in Netzwerken verursacht immer mehr Probleme bei Administration von digitalen Identitäten. Laut Marktforscher von Forrester Research haben im Jahr 1999 erst 19% der Europäer (über 16 Jahre) regelmäßig das Internet benutzt. Im Jahr 2001 ist die Zahl der Internetnutzer auf 43% der europäischen Bevölkerung gestiegen. Das entspricht einer Nutzerzahl von rund 127 Mio. Menschen und Ende 2006 werden etwa 200 Mio. erwartet 1. Die massenhafte Verbreitung des Internets in den letzten Jahren hat die Problematik der Identifizierung von Benutzern und der Verteilung von Zugriffsrechten noch weiterhin verschärft. Viele getrennte Systeme - Getrennte Benutzer- / Rechteverwaltung - Systemübergreifende Transaktionen Hohe Komplexität Sicherheitsprobleme - Aufschreiben von Passwörtern - Zu hohe, inkonsistente oder veraltete Berechtigungen Aufwendige Administration - Redundanzen und Änderungsanomalien - Hoher Support (Passwortreset) Abbildung 3.2: Identity Management das Grundproblem 2 Das durch die Abbildung 3.2 beschriebene Grundproblem der hohen Komplexität bei Administrierung von Nutzern in getrennten Systemen beschäftigt unmittelbar zahlreiche Unternehmen und Organisationen, besonders die größeren. Mit steigender Anzahl von Angestellten und dem Einsatz vieler unterschiedlicher IT-Systeme in einem Unternehmen verliert man in der Regel den Überblick, welcher Benutzer für HPTriaton_JuergenBachinger_AntjeHuellinghorst.PDF

20 20 welches System über welche Zugriffsrechte verfügt. Eine Studie von IDC-Analysten hat gezeigt, dass in mittelgroßen bis großen Unternehmen zwischen 60-80% der existierenden Benutzerberechtigungen nicht mehr benötigt werden 1. Die so genannten Schattenbenutzer verfügen oft über hohe Privilegien und können so den Unternehmen gravierende Schäden zufügen. Die Folgen können Datenmissbrauch, Betrug, Sabotage, Spionage, Erpressung oder Imageverlust sein. So sprechen die Forrester-Marktforscher von 95% aller System-Angriffe, die auf Mitarbeiter oder ehemalige Angestellte des eigenen Unternehmens zurückzuführen sind 2. Die Analysten von Burton Group berichten, dass jeder Mitarbeiter rund 16 Minuten dafür benötigt, um sich in die für ihn relevanten Systeme einzuloggen. Beim Help Desk sind 45% aller Anrufe mit der Neusetzung von Passwörtern verbunden. Demzufolge entstehen für das Unternehmen hohe Kosten und enormer Zeitaufwand. Mitarbeiter Kunden Partner Lieferanten Help Desk Applikationen Datenbanken Verzeichnisse Betriebssysteme Abbildung 3.3: Identity Management die Ausgangssituation Fazit: Ein ganzheitliches, zentrales und sicheres Identity Management ist für die Administratoren heutiger IT-Systeme nicht mehr wegzudenken. 1 Backgrounder_IdM.pdf 2

21 21 Mitarbeiter Kunden Partner Lieferanten Help Desk Identity Management Authentifizierung Autorisierung Provisioning Password Management Meta Directory-Dienste Sicherheit... Applikationen Datenbanken Verzeichnisse Betriebssysteme Abbildung 3.4: Identity Management-Lösung Identity Management ermöglicht es, alle Benutzerinformationen zentral und somit einmal und konsistent zu verwalten. Dabei wird nur ein System administriert, und es entstehen keine Redundanzen oder Widersprüche in den Daten. Die Profile von Benutzern, Kunden und Geschäftspartnern werden dagegen dezentral verwaltet, wodurch die Trennung der Identitätsdaten gemäß Organisationsstruktur des Unternehmens stattfindet. Für die Administrierung werden nur wenige Mitarbeiter benötigt, was zu Kostensenkungen und einer höheren Produktivität führt. Nicht mehr benötigte Benutzerkonten werden rechtzeitig aus allen Systemen gelöscht oder deaktiviert. Außerdem wird es mit Identity Management ermöglicht, zu jedem Zeitpunkt einen exakten Bericht über Ereignisse, Aktivitäten oder Benutzer zu erhalten. Weiterhin müssen die Benutzer durch die Einführung des Identity Managements sich nur ein einziges Passwort merken, mit dem auf gleichzeitig mehrere / alle Systeme des Unternehmens / der Organisation zugegriffen werden kann. Neben erhöhter Sicherheit und Kostenersparnisse durch Vermeidung

22 22 zusätzlicher Arbeit bei Help Desk trägt dies zu einer höheren Benutzerakzeptanz bei. Schließlich können durch standardisierte Schnittstellen verschiedene Systeme miteinander gekoppelt werden. Das erlaubt eine schnellere, sicherere und kostengünstigere Integration neuer Dienstleistungen. Sicherheit Kostensenkung Flexibilität Benutzer- Akzeptanz Produktivität Abbildung 3.5: Ziele des Identity Managements Durch Anwendung einer Identity Management-Lösung in einem Unternehmen schätzen die Marktforscher von Forrester Research das Einsparungspotential von 3.350,- US Dollar pro Mitarbeiter im Jahr 1. Auch wenn ursprünglich mit dem Identity Management eine einfache Verwaltung von Benutzeridentitäten assoziert wurde, deckt heute Identity Management ein breites Spektrum an verschiedenen Technologien ab. Jede Technologie erfüllt ihre Funktion und ihren Zweck in einem bestimmten Teilbereich (Segment) des Identity Managements. Für die Erfüllung der Funktion vom Segment Sicherheit sorgen zum Beispiel symmetrische und asymmetrische Verschlüsselungsmechanismen. Das Segment Speicherungsmanagement besteht dagegen aus Verzeichnissen wie Active Directory oder NDS sowie aus Meta Directory-Diensten, welche die Verzeichnisse konsolidieren und synchronisieren. 1

23 23 4 Identity Management-Technologien 4.1 Provisioning Verwaltung von digitalen Identitäten setzt ein gut durchdachtes und organisiertes Provisioning (dtsch. Bereitstellung, Versorgung) voraus. Das Provisioning ist die Basis für ein zentrales, einheitliches und rationales Identity Management. Dieser Teilbereich des Identity Managements ist für die Bereitstellung von allen nötigen System-Ressourcen und die Administration (Erstellung, Nutzung, Pflege) von Benutzerkonten in einem Unternehmen / einer Organisation zuständig. Das Provisioning lässt sich je nach Funktionalität in verschiedene Teilbereiche zerlegen. Jeder Teilbereich ist für bestimmte Funktionen des Provisionings verantwortlich. So beschäftigt sich das User Provisioning mit solchen Aufgaben wie Verwaltung und Synchronisierung von Benutzeridentitäten, Kennwort-Verwaltung bzw. Password Management, sicherer Authentifizierung und anderen Themen der benutzerorientierten Administration. Beim Resource Provisioning handelt es sich dagegen um die Erteilung von Zugriffsberechtigungen (Access Management) und die Kontrolle sowie Bereitstellung von Zugängen zu den Ressourcen. Die System- Zugriffe können mit Hilfe von Einzel- oder Rollenberechtigungen (engl. Role Based Access Control, RBAC) erteilt und kontrolliert werden. Das so genannte De- Provisioning dient dem rechtzeitigen Reagieren auf Veränderungen im Unternehmen und dem entsprechenden Handeln. Wenn ein Mitarbeiter das Unternehmen verlässt oder in eine andere Abteilung versetzt wird, soll sein Konto und die Berechtigungen entsprechend gelöscht, deaktiviert oder angepasst werden. Mit dem Reverse Provisioning soll es ermöglicht werden, die Statusberichte zu den Benutzer- Aktivitäten und der Ressource-Nutzung zu erstellen. Somit ist das Provisioning ein wichtiger Teil des Identity Managements, es geht sogar über seine Grenzen weit hinaus.