530 likes | 794 Views
Workshop „Identity Management“. „Zentrale Fragen des Identity Management”. Version 0.1. Dr. Horst Walther 15:30 – 16:00. Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach. Introduction. Wahre Geschichten Zentrale Fragen des Identity Management Begriffe rund um das Identity Management
E N D
Workshop „Identity Management“ „Zentrale Fragen des Identity Management” Version 0.1 Dr. Horst Walther 15:30 – 16:00 Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach
Introduction • Wahre Geschichten • Zentrale Fragen des Identity Management • Begriffe rund um das Identity Management • Die digitale Identität • Eine multi-domain-Sicht auf die Identität • Was ist Identity Management? • Lebenszyklus einer digitalen Identität • Prozesse des Identity Management • Gruppen von Identity Management Prozessen • Identity Administration • Community Management • Identity Integration • Die 7 Identitätsgesetze
Barings Bank – ein Beispiel • 1995 ging die Barings-Bank zum Preis von einem Pfund an den holländischen ING-Konzern. • Die Bank der britischen Könige war seit war seit 1762 eine der feinsten Londoner Adressen. • Bis 1992 Nick Leeson in Singapur begann Preisdifferenzen zwischen japanischen Derivaten auszunutzen. • Es entstand ein Verlust von 1,4 Milliarden Dollar. • Leeson wurde wegen Urkunden-fälschung, Untreue und Betrugs zu 6 ½ Jahren Haft verurteilt. • Leeson hatte den Handel mit Finanzderivaten in Singapur und die Back-Office Funktionen wo die Trades kontrolliert wurden, geleitet. - ein katastrophaler Mix. • Eine rollenbasierte Aufgaben-trennung hätte weniger gekostet.
Geschichten die das Leben schrieb (1)... Ferngespräche frei! • Ein Top-Manager eines Telekom-Providers zog in ein neues Haus ein. • Seine Telephonkosten wurden weder ermittelt noch ihm berech-net. • Als er das Unternehmen verließ, wurde (folgerichtig) vergessen, den Anschluss zu sperren. • In der Zwischenzeit ging das Haus durch mehrere Hände. • Schließlich wurde es offen mit dem Vorzug eines freien Tele-phonanschlusses angeboten.
Geschichten die das Leben schrieb (2)... Das überzählige Kabel • Einer meiner Mitarbeiter, ein Novell Administrator, hatte das Unternehmen vor 2 Jahren verlassen und sich selbständig gemacht. • Etwa 6 Monate später habe ich ein Kabel mit unbekannter Funktion entdeckt. • Es ließ sich bis in das Büro eines benachbarten Rechtsanwalts ver-folgen. • Dessen Sekretärin loggte sich in unseren Server ein und benutzte unsere Ressourcen. • Mein Ex-Mitarbeiter stellte Ihr dafür monatlich eine Rechnung. • Außer meiner Frau habe ich Niemandem je etwas davon erzählt.
Zentrale Fragen des Identity Management Was ist Identity Management? Wozu wird Identity Management benötigt? Welche Unternehmens- prozesse berührt Identity Management? Wie kann Identity Management zu anderen Disziplinen abgegrenzt werden? Welche Stellen und Verantwortlichkeiten arbeiten mit Identity Management? Warum gerade jetzt Identity Management? Was bedeutet das für Finanz-dienstleister?
Begriffe rund um das Identity Management SAML / DSML / PSML / XCAML MS Passport – Liberty Alliance Virtueller Verzeichnisdienst Verzeichnisdienst Role Based Access Control User Provisioning Metaverzeichnisdienst Rollen Engineering ? Directory Service Trust Management Meta-Directory Service Berechtigungs-Management User Management Identity Management Authentifizierung Public Key Infrastructure Extranet Access Management Authentisierung Autorisierung Single Sign On Federated Identity Management Digital Identity X.500 / X.509 / LDAP / LDIFF / LDUP
Rollen & Berechtigungen Beschreibung Zertifikate z.B.: Lieferanten Profil z.B.: Kunden Profil Existenzz.B.: ID z.B.:Signatur z.B.:Addresse z.B.: Mitarbeiter Profil Die digitale Identität Die digitale Identität lässt sich gut mit einem Schalenmodell beschreiben. • Der Kern - Existenz: • eindeutige Identifikation. • “ID”, Name, Nummer • natürliche oder juristische Person, Anwendung oder Hardwarekomponente. • Gleiche Gültigkeit wie Objekt • Die erste Schale - Zertifikate: • Zertifikate, • unterschiedlich stark • Password bis qualifizierte digitale Signatur • Die zweite Schale - Beschreibung: • rollenunabhängige gemeinsame Attribute aus, • Adressinformationen • charakteristische Merkmale. • Die dritte Schale - Kontext: • Rolle • Berechtigungen Vergleichbar in analogen Welt mit einem Reisepass mit Visa für den Grenzübertritt
Modelle der Identitätsgültigkeit Das Silo-Modell Das Federated Model
Was ist Identity Management? • Es gibt kein gemeinsames Verständnis über den Begriff Identity Management • Analysten und Hersteller verwenden die Begriffe ... • “Identity Management,” (Microsoft, Forrester Group) • “Identity and Access Management,” (Gartner Group , Burton Group) • „Secure Identity Management“ (Novell, Entrust, SUN) • und weitere … Source: Forrester research • Unsere Definition: Identity Management ist das ganzheitliche Management von digitalen Identitäten.
Lebenszyklus einer digitalen Identität Identity Management befasst sich mit ... • ErzeugenÄndernregistrieren, • Verteilenbereitstellenintegrierentransformieren, • Verwenden, • Terminieren undArchivieren • Identity Management deckt alle Prozesse zur Behandlung einer digitalen Identität während des gesamten Lebenszyklus ab.
authentisieren autorisieren erzeugenzertifizierentransportierenändernarchivieren operativ dispositiv strategisch Prozesse des Identity Management Die Prozesse des Identity Management lassen sich gruppieren ... • Nach operativ und dispositiv • operativ: authentisieren und autorisieren • dispositiv: verwalten digitaler Identitäten • Nach fachlich und physisch • fachlich: verwalten und verwenden • physisch: integrieren, transportieren, transformieren und publizieren • Nach Existenz, Zertifikat und Kontext • anlegen, erfassen, ändern, löschen • zertifizieren, widerrufen • zuweisen, ändern, entfernen von Rollen und Berechtigungen • Jede Klassifizierung hat ihren besonderen Wert.
Gruppen von Identity Management Prozessen Gruppierung auf der obersten Ebene • Identity Administration – die dispositive Ebene • Verwalten von digitalen Personenidentitäten, ihren Beziehungen zur Organisationseinheit und die Zuweisung von Ressourcen. • Community Management – die operative Ebene • Authentisierung, Bereitstellen / Publizieren und Autorisierung von Personen gemäß ihren digitalen Personenidentitäten. • Identity Integration – die übergreifende Aufgabe • Mechanismen für die Aktualisierung und Synchronisation von digitalen Personenidentitäten, die verteilt und teilweise redundant gehalten werden. Quelle: Microsoft • Die bisher umfassendste Definition stammt von Microsoft.
Ressource Provisioning Prozesse Gruppierung auf der Ebene 3 • Provisioning … • Versorgung mit Ressourcen • die automatisierte Zuweisung von Berechtigungen zur Systemnutzung. • Änderung der Geschäftsrolle (Beförderungen, Abteilungswechsel) und Ausscheiden eines Mitarbeiters. • De-Provisioning ... • Unterstützung der Änderung und des Entziehens von Ressourcen. • Aus Sicherheitsgründen wichtiger als das Provisioning. • Begleitende Prüfprozesse: • Abgleich der tatsächlichen Zugriffsrechte in den Systemen (Ist) mit den vergebenen Rechten (Soll) überein? • Manuelle Beantragung und Vergabe von Einzelrechten ... • Die Rechtestruktur eines Unternehmens lässt sich mit vertretbarem Aufwand nicht vollständig über ein Rollenmodell abbilden. • Die semiautomatische Versorgung von Systemen, • für es nicht möglich ist oder sich nicht lohnt, Konnektoren zu erwerben oder zu erstellen. Liste der Prozesse
The 7 Laws of Identity • Kim Cameron’s “Laws of Identity,” at the system level • User control and consent • Minimal disclosure for a constrained use • Justifiable parties • Directed identity • Pluralism of operators and technologies • Human integration • Consistent experience across contexts http://www.identityblog.com, Kim Cameron, Architect of Identity and Access Microsoft Corporation
Warum die 7 Identitätsgesetze? • Wir müssen in der Lage sein, unser Verständnis der digitalen Identität zu strukturieren. • Wir müssen einen Weg finden, nicht immer mit einem leeren weißen Blatt zu beginnen, wenn wir über die digitale Identität sprechen. • Wir müssen das Denken der Menschen beeinflussen, indem wir die Erfolge und Misserfolge von Identitätssystemen seit den 70ern erklären. • Wir müssen aus unserer Beobachtung heraus eine überprüfbare Hypothese entwickeln. • Unsere Ziele müssen pragmatisch darauf ausgerichtet sein, die Eigenschaften eines vereinheitlichenden Identitäts-Metasystems zu definieren. • Die Identitätsgesetze bieten einen „guten Weg“ zum Ausdruck dieser Gedanken. • Neben der bloßen Konversation bietet die Blogosphere die Feuerprobe, um die Gesetzte zu härten und zu vertiefen.
Begriffsdefinitionen • Digitale Identität • Ein Satz von Ansprüchen eines digitalen Objektes über sich selber oder über ein anderes digitales Objekt. • Digitales Subjekt • Die beschriebene oder behandelte Person (oder ein Gegenstand) in der digitalen Welt. • Geräte, Computer, Ressourcen, Vorschriften, Beziehungen • Anspruch • Die Behauptung, dass etwas wahr ist, was in Zweifel gezogen worden ist. • Ein Identifikator • Wissen oder ein Geheimnis • Persönlich identifizierende Informationen • Mitgliedschaft in einer bestimmten Gruppe (z.B.: Personen unter 18) • Sogar eine Befähigung • Diese Definitionen umfassen Kerberos, X.509, SAML und sich neu entwickelnde Techniken.
Ein Identitäts-Metasystem • Die unterschiedlichen Bedürfnisse der Beteiligten verlangen nach einer Integration der vielfältigen beitragenden Techniken. • Das sehen wir in der IT-Welt nicht zum ersten Mal ... • Denken Sie zurück an so grundlegende Dinge wie abstrakte Display Services, die durch Geräte Treiber möglich wurden. • Oder das Aufkommen von Sockets und TCP/IP • Unified Ethernet, Token Ring, Frame Relay, X.25 and sogar die „unerfundenen“ Drahtlos-Prototolle • Wir brauchen ein “vereinheitlichendes Identitäts-Metasystem” • Um die Anwendungen vor der Komplexität der Systeme zu schützen, • Das es ermöglicht, digitale Identitäten „lose“ zu koppeln. • Vermeide es Dich a priori auf dominante Technologien festzulegen – sie werden sich aus dem Ökosystem entwickeln.
1. User Control and Consent 2. Minimal Disclosure for Limited Use 3. Justifiable Parties 4. Directed Identity 5. Pluralism of Operators and Technologies 6. Human Integration 7. Consistent Experience Across Contexts 1. Steuerung und Zustimmung durch den Benutzer 2. Minimale Offenlegung für beschränkte Nutzung 3. Berechtigte Parteien 4. Gerichtete Identität 5. Vielfalt von Akteuren und Technologien 6. Menschliche Integration 7. Einheitliche Erfahrung über alle Umgebungen The 7 Laws of Identity – die 7 Identitätsgesetze
1. Steuerung und Zustimmung durch den Benutzer Die Systeme, die die Digitale ID bearbeiten, dürfen Benutzer identifizierende Informationen nur mit der Zustimmung des Benutzers offen legen. • Bequeme und einfache Veröffentlichung • Müssen sich das Vertrauen des Benutzers verdienen, um Bestand zu haben. • Dazu bedarf es ... • einer ganzheitlichen Verpflichtung • einer Steuerung durch den Benutzer, wie die Identität genutzt wird und welche Information frei gegeben wird. • eines Schutzes gegen Betrug • der Information der Benutzer bei bei Prüfaktionen • der Beibehaltung des Prinzips der Zustimmung in alles Umgebungen.
2. Minimale Offenlegung für beschränkte Nutzung Die Lösung, die die geringst mögliche identifizierende Information bekannt gibt und die Verwendung am besten begrenzt, wird die stabilste Langfristlösung sein. • Informations-Lecks sind unvermeidbar. • Zur Risikobegrenzung dürfen Informationen nur nach den Prinzipien“nötig zu wissen“ und „nötig zu speichern“ beschafft und gespeichert werden. • Weniger Information heißt weniger Wert heißt weniger Attraktivität heißt weniger Risiko. • “Die geringst mögliche identifizierende Information” enthält: • Verringerung von bereichsübergreifenden Informationen (universelle IDs) • Anspruchstransformation um die Identifikation zu erschweren (z.B.: „älter als 18“ statt „23 Jahre alt“ • Kein Horten von Informationen für nicht genannte spätere Zwecke. • Relativiert wird dieses Gesetzt bei „Informations-Katastrophen“.
3. Berechtigte Parteien Digitale Identitäts-Systeme dürfen identifizierende Informationen nur an Parteien herausgeben, die einen notwendigen und berechtigten Platz in der Identitätsbeziehung haben. • Dem Benutzer muss klar sein, wer die Information erhält. • Die Berechtigung bezieht sich auf den Anwendungsfall und die Partei. • In welchen Umgebungen werden Regierungsidentitäten erfolgreich oder erfolglos sein? • Das gilt auch für Mittelspersonen (Rechtsvertreter, Bevollmächtigte) • Die Parteien einer Informationsoffenlegung müssen den Verwendungszweck angeben. • Strafverfolgung macht den Staat nicht zu einem Partner für die Offenlegung im üblichen Sinne.
4. Gerichtete Identität Ein vereinheitlichendes Identitäts-Metasystem muss sowohl „omnidirektionale“ IDs für öffentliche Objekte wie auch „unidirektionale“ Identifikatoren für private Objekte (Personen) unterstützen. • Die digitale Identität ist immer gegenüber einer anderen oder einem Satz anderer Identitäten gegenüber erklärt. • Öffentliche Objekte erfordern allgemein bekannte Signale. • Beispiele: web Seiten oder öffentliche Vorrichtungen • Private Objekte (Personen) erfordern die Option to kein Signal zu senden. • Unidirektionale Identifikatoren in Verbindung mit Einzel-Signalen: keine Handhabe für Korrelationen • Beispiele: Bluetooth und RFID – wachsende Rückschläge • Wireless LAN hatte in diesem Sinne ebenfalls Entwurfsfehler.
5. Vielfalt von Akteuren und Technologien Ein vereinheitlichendes Identitäts-Metasystem muss die Zusammenarbeit von vielfältigen Identitätstechniken unterschiedlicher Identitätsherausgeber kanalisieren und ermöglichen. • Eigenschaften, die ein System in einer Umgebung ideal erscheinen lassen, disqualifizieren es in einer anderen. • Beispiele: Regierung vs. Arbeitgeber vs. Individuum als Verbraucher oder (schlicht) Mensch. • Verlangt nach einer Trennung der Umgebungen. • Im entstehen befindliche wichtige neue Techniken – dürfen nicht an einer einzigen Technologie “kleben“ oder ein „Gabelstapler“-Upgrade erfordern. • Konvergenz darf sein, aber nur, wenn es eine Plattform gibt (Identitäts-Ökosystem), in dem sie stattfinden kann.
6. Menschliche Integration Ein vereinheitlichendes Identitäts-Metasystem muss den menschlichen Nutzer als durch eine geschützte und über alle Fragen erhabene Mensch-Maschine-Kommunikation integriert definieren. • „Bei der Sicherung der ersten 5.000 km haben wir gute Arbeit geleistet, aber auf den letzten 2 Metern Lücken gelassen.“ • Die Strecke zwischen dem Bildschirm und dem Gehirn ist bedroht. • Wir müssen vom Nachdenken über Protokolle zu einem Denken in Zeremonien (Verfahren) kommen. • Wie bekommen wir die höchste Zuverlässigkeit der Kommunikation des Benutzers mit dem Rest des Systems?
7. Einheitliche Erfahrung über alle Umgebungen • Ein vereinheitlichendes Identitäts-Metasystem muss eine einfache und widerspruchsfreie Erfahrung bieten, während sie gleichzeitig die Trennung der Umgebungen über vielfältige Betreiber und Technologien ermöglicht. • Identitäten gegenständlich machen – aus Ihnen “Gegenstände” auf dem Schreibtisch machen, damit die Nutzer sie sehen, untersuchen, Details hinzufügen und löschen können. • Welche Art digitale Identität ist in jedem Kontext akzeptabel? • Die Eigenschaften möglicher Kandidaten werden von einer vertrauenden Partei spezifiziert. • Passende vergegenständlichte Identitäten die dem Nutzer gezeigt werden, erlauben es ihm, eine zu wählen und die damit verbundene Information zu verstehen. • Eine einzelne vertrauenden Partei kann mehr als einen Identitätstypen wählen. • Der Benutzer kann die für diesen Kontext für ihn beste Identität verwenden. • Sehen Sie dies als synergetischen Ausdruck über alle Gesetze.
Arun Nanda, Andre Durand, Bill Barnes, Carl Ellison, Caspar Bowden, Craig Burton, Dan Blum, Dave Kearns, Dave Winer, Dick Hardt, Doc Searls, Drummond Reed, Ellen McDermott, Eric Norlin, Ester Dyson, Fen Labalme, Identity Woman Kaliya, JC Cannon. James Kobielus, James Governor… Jamie Lewis, John Shewchuk, Luke Razzell, Marc Canter, Mark Wahl, Martin Taylor, Mike Jones, Phil Becker, Radovan Janocek, Ravi Pandya, Robert Scoble, Scott C. Lemon, Simon Davies, Stefan Brandt, Stuart Kwan and William Heath Und Weitere … Zu dieser Diskussion haben beigetragen …
Zusammenfassung • Die unter uns, die mit und an Identitätssystemen arbeiten, müssen diesen Identitätsgesetzen gehorchen. • Sie zu ignorieren, hat unerwünschte Konsequenzen zur Folge. • Ähnlich einem Ingenieur, der die Gesetze der Schwerkraft missachtet. • Indem wir den Identitätsgesetzen folgen, können wir ein Identitäts-Metasystem bauen, dass weithin akzeptiert werden und Bestand haben kann.
Gründe für ein Identity Management • Denken in kompletten Geschäftsprozessen ... • verlangt eine einheitliche Infrastruktur. • Isoliert pro Anwendung definierte Benutzeridentitäten und Zugriffsrechte behindern die Implementierung. • Verschwimmende Grenzen ... • Reduktion der Fertigungstiefe einzelner Unternehmen • zugunsten eines Netzwerkes von Lieferanten und Abnehmern • Der logischen Vernetzung folgt die elektronische Vernetzung. • Im e-Business müssen Unternehmen ihr Inneres nach außen kehren. • Externe Partner werden an bisher interne Geschäftsprozesse angeschossen. • Unternehmensübergreifende automatisierten Zusammenarbeit ... • Lässt sich nicht mit unternehmensweiten technischen Lösungen unterstützen. • Standardisierte Formate, Protokolle und Verfahren lässt sind erforderlich • Zugriffsrechte verlässlich über Unternehmensgrenzen hinweg weiterreichen. • Ressourcenvirtualisierungen (Grid-Computing, Web-Services)... • Erfordern eindeutige digitale Identitäten • Automatisierte Rechteprüfungen.
Gründe für ein Identity Management (Fortsetzung ..) • Steigende Dynamik • Der Wechsel wird zum Normalzustand. • Mitarbeiter bleiben für kürzere Zeit mit einer Geschäftsrolle verknüpft. • Sie wechseln Abteilungen, • Sie arbeiten in Projekten. • Sie gehen für einige Wochen zu einer Niederlassung. • Zeitweise externe Kräfte benötigen interne Ressourcen. • Höheres Sicherheitsbewusstsein • Erfahrungen mit den Gefahren des Internet, • Die hohe IT-Abhängigkeit • Das aktuelle Weltgeschehen • Ein "Leih' mir 'mal Dein Passwort!" wird heute nicht mehr akzeptiert. • Externe Auflagen • Die elektronische Verkettung von Geschäftsprozessen birgt Risiken. • Behördliche Regelungen definieren entsprechende Anforderungen. • Banken müssen nach Basel Accord II für die operativen Risiken (operational risks) ihrer internen Abläufe Rückstellungen zu bilden. • Nur nachgewiesen geringere Risiken reduzieren diese Kosten.
Neue Anforderungen an die Sicherheitsarchitektur • Die Mittel der Kommunikation der Anwender ändern sich … Kunden Vertragspartner Internet Angestellte Niederlassungen Lieferanten
Die e-Business – Herausforderung (1) • Interoperabilität und Portabilität: Im e-Business müssen Unternehmen ihr Inneres nach außen kehren schwach gekoppelt, dynamisch außen stark gekoppelt, beständig, innen Extranets Interne Systeme & Daten Das Internet Mitarbeiter Partner Kunden Weniger bekannt unbekannt
Die e-Business-Herausforderung (2) Die verschwimmenden Grenzen kehren das Innere nach außen … • Die Erfordernisse das Netz zu „öffnen“ bescheren uns zwei gegenläufige Bewegungen flexibleren Zugang und strengere Sicherheit • Sicherheitsmaßnahmen über logische und physische Grenzen hinweg. • Anwendungen, Datenbanken und Betriebssystemen fehlt ein skalierbarer und ganzheitlicher Mechanismus, um Identitäten, Zertifikate und Geschäftsregeln über alle Grenzen hinweg zu verwalten. • Wireless- und andere Endgeräte erhöhen die Komplexität • Von falsch verstandenem “SSO” gehen Gefahren aus. • Die unvermeidbare Überschneidung von öffentlichen und privaten Identity Strukturen kompliziert diesen komplexen Fall weiter.
Die Antwort – Virtual Enterprise Network • Die Antwort: Eine flexible Infrastruktur Integration intern Temporäre Bindungen extern Logisch ein VirtualEnterprise Network Interne Systeme & Daten Das Internet Mitarbeiter Partner Kunden Weniger bekannt unbekannt
Es versagt in dem Maße, wie Anwendungen für Partner und Kunden geöffnet werden. Firewalls allein reichen nicht mehr aus Vergabe (und Entzug) vonSchlüsseln für den Zutritt im Hotel Gesicherte Safes mit begrenztem Zugriff “hinter dem Tresen” Sicherheitspersonal patrouilliert. Das Festungsdenken reicht nicht mehr Das Festungsdenken ist dem e-Business nicht mehr angemessen GesternFestungs-Modell Heute Hotel-Modell
Home Page Support Datenbank Nur für Partner Proprietary Ein fein granulares Zugriffs-Management • Sicherstellen, dass die richtigen Personen die richtigen Rechte haben … unbekannt (Web User) ‘XYZ Co.’ (Partner) ‘Bob’ (Kunde)
Role based access control • Benutzern werden Rollen zugewiesen • Rollen können hierarchich aufgebaut sein • Allgemein (aber nicht immer) haben übergeordnete Rollen alle Berechtigungen der untergeordneten Rollen. • Permissions sind Operationen auf Objekte. • Permissions können + (additiv) oder - (subtraktiv) zugewiesen werden. • Rollen können auch temporär pro Sitzung zugewiesen werden. Source: Ferraiolo, Sandhu, Gavrila: A Proposed Standard for Role-Based Access Control, 2000.
Problematik – wo beginnen? • Operative Bereiche fordern Komfortverbesserung ... • Single-sign-on • Self-Service • (schnelles) Provisioning • Revision, Security, Compliance fordern ... • Transparenz (Evidenz) • Report & Analysen • Incident alerts • Sauberes & schnelles De-Provisioning • Berechtigungssituation oft nicht bekannt ... • Befragungen helfen oft nicht weiter • Analysen sind erforderlich • Sie „enthüllt ihr Gesicht“ oft erst im Umsetzungs-Projekt. • Risiken für die Umsetzung • Identity Management Projekte können sehr komplex werden. Risiko begrenzende Maßnahmen sind von beginn an erforderlich.
Vorgehen – Tiefe vs. Breite Prozesse • Einführung in der Breite vs. Tiefe • Durchstich in der Tiefe wenn ... • Einige wenige Systeme gut angebunden werden sollen • Rechtesituation gut bekannt • bidirektionale Anbindung technisch vorhanden • Wichtige Massensysteme: • Windows • Exchange • Lotus NOTES • Systemneueinführung • Evidenzbildung in der Breite wenn ... • Eine zentrale Benutzerverwaltung aufgebaut werden soll • Sicherheits- und Complience-Erwägungen im Vordergrund stehen. • Viele wichtige und wenig bekannte Altsysteme angebunden werden sollen. Systeme Anbindung in der Tiefe Prozesse Systeme Anbindung in der Breite • In Großunternehmen mit gewachsenen Systemlandschaften lassen sich nicht alle Systeme in einem Schritt einbinden..
Evidenzbildung – Einführung in der Breite • Vorteile • Wenn Benutzermanagement aufgebaut werden soll ... • Schneller Überblick über viele Systeme • Auskunftsfähigkeit • Complience schnell erreichbar • Gut schrittweise einbindbar (viele kleine Erfolge geringes Projektrisiko) • Enthüllt Berechtigungs- und User-Mapping-Komplexität in dispositiven Prozessen. • Macht den Erfolg nachfolgend eingeführter operativer Prozessunterstützung messbar transparent. • Macht die Revision zum Verbündeten • Schaltet das Licht an.
Evidenzbildung – Einführung in der Breite • Nachteile • Es sind noch keine operativen Prozesse automatisiert • Kein single sign-on • Kein Provisioning • Keine einheitliche ID • Abbildungsregeln sind oft sehr aufwändig • Unterschiedliche ID-Konventionen HMeyer, MeyerH, Hans.Meyer, ... • Unterschiedliche Schreibweisen Möller, Moeller, Møller, ... • Unterschiedliche Verlässlichkeit der Quellen • Behandelte Ausnahmen ausblenden • Abgleich mit Soll-Beständen erforderlich • HR-Daten, Soll-Berechtigungen, Lizenzen, • Zur Erkennung von Ausnahmen (Schattenkonten, Unter-, Überberechtigungen) • Erst dann der volle Nutzen • Durch die Hersteller nicht gut unterstützt
Bestehende Lösungen Je mehr bestehende Lösungen für das Identity Management existieren, umso höher wird der Aufwand, sie zu harmonisieren und zu ersetzen. Je reifer die existierenden Lösungen sind, umso schwerer finden neue Ansätze Akzeptanz. Querschnittscharakter Identity-Management Prozesse sind typischerweise bereichsübergreifend. Es sind viele gleichberechtigte Stakeholder in ein Projekt involviert. 3 bis 5 mal höhere Kommunikationskomplexität zu „normaler“ SW-Entwicklung. Typischer Change Management Prozess: Macht-Sponsor erforderlich! Prozessreife Je höher die Reife der Management-Prozesse (z.B. nach CMMI) umso leichter fällt die Einführung von IAM- Prozessen, -Regeln, -Rollen, -Policies. Reife IAM-Prozesse in einem unreifen Prozess-Umfeld finden wenig Akzeptanz (Aufwandstreiber). Projektzuschnitt SW-Implementierungsprojekte sind überfordert, wenn sie die organisatorischen Voraussetzungen erst schaffen müssen Prozess- und Rollen-Definitionen erfordern eigene Definitionsprojekte vor der oder parallel zur Implementierung. Marktkonsolidierung Mergers & Acquisitions führen zu wenig kompatiblen Produktsammlungen. Die Software übernommener Unternehmen wird häufig nicht mehr optimal unterstützt. Komplexitätsfaktoren ...
Technische Risiken IAM-SW-Suiten sind komplex und schwer zu handhaben. Ohne Implementierungserfahrung in exakt der geforderten Umgebung sind die Projektrisiken nicht kalkulierbar. Hinter „harmlosen“ Versionssprüngen (z.B.: 5.6 auf 6.0) stecken oft komplette Neuentwicklungen. Die Matrix der vom Hersteller unterstützten Komponenten vs. Version ist of sehr dünn besetzt. Ersatz von Infrastruktur-Komponenten führt oft zu hohem Aufwand. Verfügbarkeit von Fachspezialisten Verfügbarkeit von Fachpersonen mit Domänen-Wissen ist oft der Engpass-Faktur bei Rollen- und Prozess-Definitionen. Sie werden in der Anforderungs-definition und der QS benötigt. Wartezeiten (auf Spezialisten) sind Aufwandstreiber. From scratch vs. Templates Nur ein Teil der IAM-Prozesse ist wirklich unternehmensspezifisch. Die Übernahme von Prozessen und / oder Rollen aus anderen Projekten oder generischen Modellen kann Projekte beschleunigen. ... Komplexitätsfaktoren
Inkrementelle Entwicklung 1st Inc. 2nd Inc. Wegen des hohen immanenten Projektrisikos für Identity Management Projekte ist dringend anzuraten, Methoden des „agilen Projekt-managements“ zu verwenden. Projekt Management Prozess Design Rollen & Regeln ArchitekturDesign Implementierung 1st Inc. Implementierung 2nd Inc. Anwendungs-spezifischesDesign Implemen-tierung Test potentielle weitereSegmentierung Kickoff 05-10 05-11 05-12 06-01 06-02 06-03 06-04 06-05
Ausblick Was kommt auf uns zu? • Was haben wir bisher erreicht? • Markt Trends • Die Bewegung zum Identity Management • Die Entwicklung des Identity Managements • Erwartung – Der Hype wird bald enden.
Was haben wir bisher erreicht? Federated Identity Allows the interoperability of identities across companies and networks. Portals Web single sign-on, enabled through a portal, provides access to web-enabled applications, content and services based on your identity. User Account Provisioning Using identity to provision applications and services Identity Roles Define user roles and policies Integrated Authoritative Source Populating the Identity Repository from HR, CRM or other authoritative source Strong Authentication Incorporation of encryption, PKI, biometrics, and smart cards provide stronger levels of authentication. Business Value Identity Repository Consolidate user identities into a centralized repository Access Management Access management that provides authorization and authentication of users. Vision
Markt Gewicht LDAP Verzeichnis Identity Management IdM Strategie Markt Trends: Die Verschiebung von Verzeichnisdiensten zum Identity Management • Identity Management Strategien gewinnen Gewicht am Markt.(Burton Group)
Die Entwicklung des Identity Management • Erst allmählich wird deutlich, wie hoch die Voraussetzungen für ein Unternehmens-übergreifendes e-Business sind • Identity Management steht an erster Stelle zukünftige Anwendungen e-Business Wertschöpfung heutige Anwendungen Mit Geschäftspartnern Unternehmensintern Integration Lieferketten Auftragsabwicklung Lager und Beschaffung Optimierung Vertriebskanäle Real-time B2B-Verträge Real-time B2B-Prozesse Single-Sign-On für Kunden vert. Sicherheitsinfrastruktur Kostensenkung Sicherheitsgewinn Zeitverlauf Quelle: RSA
Erwartung – der Hype wird bald enden. Hier sind wir heute
Identity Management - Zusammenfassung • Der Begriff Identity Management scheint sich zu etablieren. • Unternehmen implementieren automatisierte und unternehmensüber-greifende Geschäftsprozesse mit dem Internet als Trägermedium. • Dualistische Einteilung der Netzwelt nicht mehr aktuell (internes Intranet und externes Internet). Spezielle Extranets als Behelfs-konstrukt. • Implementierung eines ganzheitlichen Identity Managements erforderlich, für eine sichere und feingranulare Zugriffssteuerung. • Aktuelle Bestrebungen zur Ressourcenvirtualisierung wie Web-Services oder Grid-Computing erhöhen den Handlungsdruck weiter. • Gleichzeitig haben viele Marktangebote eine für einen unternehmens-weiten Einsatz hinreichende Reife erlangt. • Amortisationsdauern unter zwei Jahren, lassen Investitionen in bestimmte Systeme auch in wirtschaftlich schwierigen Zeit als sinnvoll erscheinen. • Es ist ratsam die Implementierung einzelner Lösungen in eine Gesamtarchitektur einzubetten.