Workshop „Identity Management“
„Zentrale Fragen des Identity Management”
Version 0.1
Dr. Horst Walther
15:30 – 16:00
Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach
SiG
Introduction













Wahre Geschichten
Zentrale Fragen des Identity
Management
Begriffe rund um das Identity
Management
Die digitale Identität
Eine multi-domain-Sicht auf die
Identität
Was ist Identity Management?
Lebenszyklus einer digitalen
Identität
Prozesse des Identity Management
Gruppen von Identity Management
Prozessen
Identity Administration
Community Management
Identity Integration
Die 7 Identitätsgesetze
SiG
Barings Bank – ein Beispiel







1995 ging die Barings-Bank zum Preis
von einem Pfund an den
holländischen ING-Konzern.
Die Bank der britischen Könige war
seit war seit 1762 eine der feinsten
Londoner Adressen.
Bis 1992 Nick Leeson in Singapur
begann Preisdifferenzen zwischen
japanischen Derivaten auszunutzen.
Es entstand ein Verlust von 1,4
Milliarden Dollar.
Leeson wurde wegen Urkundenfälschung, Untreue und Betrugs zu 6
½ Jahren Haft verurteilt.
Leeson hatte den Handel mit
Finanzderivaten in Singapur und die
Back-Office Funktionen wo die Trades
kontrolliert wurden, geleitet.
- ein katastrophaler Mix.
Eine rollenbasierte Aufgabentrennung hätte weniger gekostet.
SiG
Geschichten die das Leben schrieb (1)...
Ferngespräche frei!

Ein Top-Manager eines TelekomProviders zog in ein neues Haus
ein.

Seine Telephonkosten wurden
weder ermittelt noch ihm berechnet.

Als er das Unternehmen verließ,
wurde (folgerichtig) vergessen,
den Anschluss zu sperren.

In der Zwischenzeit ging das
Haus durch mehrere Hände.

Schließlich wurde es offen mit
dem Vorzug eines freien Telephonanschlusses angeboten.
SiG
Geschichten die das Leben schrieb (2)...
Das überzählige Kabel

Einer meiner Mitarbeiter, ein Novell
Administrator, hatte das Unternehmen
vor 2 Jahren verlassen und sich
selbständig gemacht.

Etwa 6 Monate später habe ich ein
Kabel mit unbekannter Funktion
entdeckt.

Es ließ sich bis in das Büro eines
benachbarten Rechtsanwalts verfolgen.

Dessen Sekretärin loggte sich in
unseren Server ein und benutzte
unsere Ressourcen.

Mein Ex-Mitarbeiter stellte Ihr dafür
monatlich eine Rechnung.

Außer meiner Frau habe ich
Niemandem je etwas davon erzählt.
SiG
Zentrale Fragen des Identity Management
Was ist Identity
Management?
Wozu wird Identity
Management benötigt?
Wie kann Identity
Management zu anderen
Disziplinen abgegrenzt
werden?
Warum gerade jetzt
Identity Management?
Welche Unternehmensprozesse berührt Identity
Management?
Welche Stellen und
Verantwortlichkeiten
arbeiten mit Identity
Management?
Was bedeutet
das für Finanzdienstleister?
SiG
Begriffe rund um das Identity Management
SAML / DSML / PSML / XCAML
MS Passport – Liberty Alliance
Verzeichnisdienst
Role Based Access Control
Metaverzeichnisdienst
Directory Service
Meta-Directory Service
User Management
Identity Management
Public Key Infrastructure
Authentisierung
Single Sign On
Digital Identity
?
Virtueller Verzeichnisdienst
User Provisioning
Rollen Engineering
Trust Management
Berechtigungs-Management
Authentifizierung
Extranet Access Management
Autorisierung
Federated Identity Management
X.500 / X.509 / LDAP / LDIFF / LDUP
SiG
Die digitale Identität
Die digitale Identität lässt sich gut mit einem Schalenmodell beschreiben.

eindeutige Identifikation.
 “ID”, Name, Nummer
 natürliche oder juristische Person,
Anwendung oder
Hardwarekomponente.
 Gleiche Gültigkeit wie Objekt
Rollen & Berechtigungen

Existenz
z.B.: ID
z.B.: Signatur
z.B.: Lieferanten Profil
z.B.: Kunden Profil
Beschreibung
Zertifikate
Der Kern - Existenz:
z.B.: Addresse

Die erste Schale - Zertifikate:
Zertifikate,
 unterschiedlich stark
 Password bis qualifizierte digitale
Signatur


Die zweite Schale - Beschreibung:
rollenunabhängige gemeinsame
Attribute aus,
 Adressinformationen
 charakteristische Merkmale.

z.B.: Mitarbeiter Profil
Vergleichbar in analogen Welt mit einem
Reisepass mit Visa für den Grenzübertritt

Die dritte Schale - Kontext:
Rolle
 Berechtigungen

SiG
Modelle der Identitätsgültigkeit
Das Silo-Modell
Das Federated Model
SiG
Was ist Identity Management?


Es gibt kein gemeinsames
Verständnis über den Begriff
Identity Management
Analysten und Hersteller
verwenden die Begriffe ...
“Identity Management,”
(Microsoft, Forrester Group)
 “Identity and Access
Management,” (Gartner
Group , Burton Group)
 „Secure Identity
Management“ (Novell,
Entrust, SUN)
 und weitere …

Source: Forrester research

Unsere Definition: Identity Management ist das ganzheitliche
Management von digitalen Identitäten.
SiG
Lebenszyklus einer digitalen Identität
Identity Management befasst sich mit ...
 Erzeugen
Ändern
registrieren,

Verteilen
bereitstellen
integrieren
transformieren,
Verwenden,
 Terminieren und
Archivieren

 Identity Management deckt alle Prozesse zur Behandlung einer
digitalen Identität während des gesamten Lebenszyklus ab.
SiG
Prozesse des Identity Management
Die Prozesse des Identity Management lassen sich gruppieren ...

Nach operativ und dispositiv
operativ: authentisieren und autorisieren
 dispositiv: verwalten digitaler Identitäten


Nach fachlich und physisch
fachlich: verwalten und verwenden
 physisch: integrieren, transportieren,
transformieren und publizieren


Nach Existenz, Zertifikat und Kontext
anlegen, erfassen, ändern, löschen
 zertifizieren, widerrufen
 zuweisen, ändern, entfernen von Rollen
und Berechtigungen
erzeugen
zertifizieren
transportieren
ändern
archivieren

authentisieren
autorisieren
 Jede Klassifizierung hat ihren besonderen Wert.
SiG
Gruppen von Identity Management Prozessen
Gruppierung auf der obersten Ebene
Identity Administration

Existence
Existence
Context
Context
Identity Administration – die
dispositive Ebene

Provisioning
Provisioning
Community Management

Authentication
Authentication
Rendezvous
Rendezvous
Community Management – die
operative Ebene

Authorization
Authorization

Identity Integration
Connection
Connection
Brokerage
Brokerage
Ownership
Ownership

Verwalten von digitalen
Personenidentitäten, ihren
Beziehungen zur
Organisationseinheit und die
Zuweisung von Ressourcen.
Authentisierung, Bereitstellen /
Publizieren und Autorisierung von
Personen gemäß ihren digitalen
Personenidentitäten.
Identity Integration – die
übergreifende Aufgabe

Mechanismen für die Aktualisierung
und Synchronisation von digitalen
Personenidentitäten, die verteilt und
teilweise redundant gehalten
werden.
Quelle: Microsoft
Die bisher umfassendste Definition stammt von Microsoft.
SiG
Ressource Provisioning Prozesse
Gruppierung auf der Ebene 3

Provisioning …
Versorgung mit Ressourcen
 die automatisierte Zuweisung von Berechtigungen zur Systemnutzung.
 Änderung der Geschäftsrolle (Beförderungen, Abteilungswechsel) und
Ausscheiden eines Mitarbeiters.


De-Provisioning ...
Unterstützung der Änderung und des Entziehens von Ressourcen.
 Aus Sicherheitsgründen wichtiger als das Provisioning.


Begleitende Prüfprozesse:


Manuelle Beantragung und Vergabe von Einzelrechten ...


Abgleich der tatsächlichen Zugriffsrechte in den Systemen (Ist) mit den
vergebenen Rechten (Soll) überein?
Die Rechtestruktur eines Unternehmens lässt sich mit vertretbarem
Aufwand nicht vollständig über ein Rollenmodell abbilden.
Die semiautomatische Versorgung von Systemen,

für es nicht möglich ist oder sich nicht lohnt, Konnektoren zu erwerben
oder zu erstellen.
Liste der Prozesse
SiG
The 7 Laws of Identity

Kim Cameron’s “Laws of Identity,” at the system level
1. User control and consent
2. Minimal disclosure for a constrained use
3. Justifiable parties
4. Directed identity
5. Pluralism of operators and technologies
6. Human integration
7. Consistent experience across contexts
http://www.identityblog.com, Kim Cameron, Architect of Identity and
Access Microsoft Corporation
SiG
Warum die 7 Identitätsgesetze?

Wir müssen in der Lage sein, unser Verständnis der digitalen
Identität zu strukturieren.






Wir müssen einen Weg finden, nicht immer mit einem leeren
weißen Blatt zu beginnen, wenn wir über die digitale Identität
sprechen.
Wir müssen das Denken der Menschen beeinflussen, indem wir
die Erfolge und Misserfolge von Identitätssystemen seit den 70ern
erklären.
Wir müssen aus unserer Beobachtung heraus eine überprüfbare
Hypothese entwickeln.
Unsere Ziele müssen pragmatisch darauf ausgerichtet sein, die
Eigenschaften eines vereinheitlichenden Identitäts-Metasystems
zu definieren.
Die Identitätsgesetze bieten einen „guten Weg“ zum Ausdruck
dieser Gedanken.
Neben der bloßen Konversation bietet die Blogosphere die
Feuerprobe, um die Gesetzte zu härten und zu vertiefen.
SiG
Begriffsdefinitionen

Digitale Identität


Ein Satz von Ansprüchen eines digitalen Objektes über sich selber oder
über ein anderes digitales Objekt.
Digitales Subjekt
Die beschriebene oder behandelte Person (oder ein Gegenstand) in der
digitalen Welt.
 Geräte, Computer, Ressourcen, Vorschriften, Beziehungen


Anspruch







Die Behauptung, dass etwas wahr ist, was in Zweifel gezogen worden ist.
Ein Identifikator
Wissen oder ein Geheimnis
Persönlich identifizierende Informationen
Mitgliedschaft in einer bestimmten Gruppe (z.B.: Personen unter 18)
Sogar eine Befähigung
Diese Definitionen umfassen Kerberos, X.509, SAML und sich neu
entwickelnde Techniken.
SiG
Ein Identitäts-Metasystem


Die unterschiedlichen Bedürfnisse der Beteiligten verlangen
nach einer Integration der vielfältigen beitragenden Techniken.
Das sehen wir in der IT-Welt nicht zum ersten Mal ...
Denken Sie zurück an so grundlegende Dinge wie abstrakte
Display Services, die durch Geräte Treiber möglich wurden.
 Oder das Aufkommen von Sockets und TCP/IP



Unified Ethernet, Token Ring, Frame Relay, X.25 and sogar die
„unerfundenen“ Drahtlos-Prototolle
Wir brauchen ein “vereinheitlichendes Identitäts-Metasystem”
Um die Anwendungen vor der Komplexität der Systeme zu
schützen,
 Das es ermöglicht, digitale Identitäten „lose“ zu koppeln.


Vermeide es Dich a priori auf dominante Technologien
festzulegen – sie werden sich aus dem Ökosystem entwickeln.
SiG
The 7 Laws of Identity – die 7 Identitätsgesetze

1. User Control and Consent


2. Minimal Disclosure for Limited
Use
3. Justifiable Parties
4. Directed Identity
5. Pluralism of Operators and
Technologies
6. Human Integration
7. Consistent Experience Across
Contexts











1. Steuerung und Zustimmung
durch den Benutzer
2. Minimale Offenlegung für
beschränkte Nutzung
3. Berechtigte Parteien
4. Gerichtete Identität
5. Vielfalt von Akteuren und
Technologien
6. Menschliche Integration
7. Einheitliche Erfahrung über alle
Umgebungen
SiG
1. Steuerung und Zustimmung durch den Benutzer
Die Systeme, die die Digitale ID bearbeiten, dürfen Benutzer
identifizierende Informationen nur mit der Zustimmung des
Benutzers offen legen.
Bequeme und einfache Veröffentlichung
 Müssen sich das Vertrauen des Benutzers verdienen, um Bestand
zu haben.
 Dazu bedarf es ...






einer ganzheitlichen Verpflichtung
einer Steuerung durch den Benutzer, wie die Identität genutzt wird und
welche Information frei gegeben wird.
eines Schutzes gegen Betrug
der Information der Benutzer bei bei Prüfaktionen
der Beibehaltung des Prinzips der Zustimmung in alles Umgebungen.
SiG
2. Minimale Offenlegung für beschränkte Nutzung
Die Lösung, die die geringst mögliche identifizierende
Information bekannt gibt und die Verwendung am besten
begrenzt, wird die stabilste Langfristlösung sein.
Informations-Lecks sind unvermeidbar.
 Zur Risikobegrenzung dürfen Informationen nur nach den
Prinzipien“nötig zu wissen“ und „nötig zu speichern“ beschafft und
gespeichert werden.
 Weniger Information heißt weniger Wert heißt weniger Attraktivität
heißt weniger Risiko.
 “Die geringst mögliche identifizierende Information” enthält:

Verringerung von bereichsübergreifenden Informationen (universelle
IDs)
 Anspruchstransformation um die Identifikation zu erschweren (z.B.:
„älter als 18“ statt „23 Jahre alt“

Kein Horten von Informationen für nicht genannte spätere Zwecke.
 Relativiert wird dieses Gesetzt bei „Informations-Katastrophen“.

SiG
3. Berechtigte Parteien
Digitale Identitäts-Systeme dürfen identifizierende Informationen
nur an Parteien herausgeben, die einen notwendigen und
berechtigten Platz in der Identitätsbeziehung haben.






Dem Benutzer muss klar sein, wer die Information erhält.
Die Berechtigung bezieht sich auf den Anwendungsfall und die Partei.
In welchen Umgebungen werden Regierungsidentitäten erfolgreich
oder erfolglos sein?
Das gilt auch für Mittelspersonen (Rechtsvertreter, Bevollmächtigte)
Die Parteien einer Informationsoffenlegung müssen den
Verwendungszweck angeben.
Strafverfolgung macht den Staat nicht zu einem Partner für die
Offenlegung im üblichen Sinne.
SiG
4. Gerichtete Identität
Ein vereinheitlichendes Identitäts-Metasystem muss sowohl
„omnidirektionale“ IDs für öffentliche Objekte wie auch
„unidirektionale“ Identifikatoren für private Objekte (Personen)
unterstützen.
Die digitale Identität ist immer gegenüber einer anderen oder
einem Satz anderer Identitäten gegenüber erklärt.
 Öffentliche Objekte erfordern allgemein bekannte Signale.



Beispiele: web Seiten oder öffentliche Vorrichtungen
Private Objekte (Personen) erfordern die Option to kein Signal zu
senden.

Unidirektionale Identifikatoren in Verbindung mit Einzel-Signalen:
keine Handhabe für Korrelationen
Beispiele: Bluetooth und RFID – wachsende Rückschläge
 Wireless LAN hatte in diesem Sinne ebenfalls Entwurfsfehler.

SiG
5. Vielfalt von Akteuren und Technologien
Ein vereinheitlichendes Identitäts-Metasystem muss die
Zusammenarbeit von vielfältigen Identitätstechniken
unterschiedlicher Identitätsherausgeber kanalisieren und
ermöglichen.





Eigenschaften, die ein System in einer Umgebung ideal
erscheinen lassen, disqualifizieren es in einer anderen.
Beispiele: Regierung vs. Arbeitgeber vs. Individuum als
Verbraucher oder (schlicht) Mensch.
Verlangt nach einer Trennung der Umgebungen.
Im entstehen befindliche wichtige neue Techniken – dürfen nicht
an einer einzigen Technologie “kleben“ oder ein „Gabelstapler“Upgrade erfordern.
Konvergenz darf sein, aber nur, wenn es eine Plattform gibt
(Identitäts-Ökosystem), in dem sie stattfinden kann.
SiG
6. Menschliche Integration
Ein vereinheitlichendes Identitäts-Metasystem muss den
menschlichen Nutzer als durch eine geschützte und über alle
Fragen erhabene Mensch-Maschine-Kommunikation integriert
definieren.
„Bei der Sicherung der ersten 5.000 km haben wir gute Arbeit
geleistet, aber auf den letzten 2 Metern Lücken gelassen.“
 Die Strecke zwischen dem Bildschirm und dem Gehirn ist bedroht.
 Wir müssen vom Nachdenken über Protokolle zu einem Denken in
Zeremonien (Verfahren) kommen.
 Wie bekommen wir die höchste Zuverlässigkeit der
Kommunikation des Benutzers mit dem Rest des Systems?

SiG
7. Einheitliche Erfahrung über alle Umgebungen

Ein vereinheitlichendes Identitäts-Metasystem muss eine einfache und
widerspruchsfreie Erfahrung bieten, während sie gleichzeitig die Trennung
der Umgebungen über vielfältige Betreiber und Technologien ermöglicht.
Identitäten gegenständlich machen – aus Ihnen “Gegenstände” auf dem
Schreibtisch machen, damit die Nutzer sie sehen, untersuchen, Details
hinzufügen und löschen können.
 Welche Art digitale Identität ist in jedem Kontext akzeptabel?



Die Eigenschaften möglicher Kandidaten werden von einer vertrauenden Partei
spezifiziert.
Passende vergegenständlichte Identitäten die dem Nutzer gezeigt werden, erlauben
es ihm, eine zu wählen und die damit verbundene Information zu verstehen.
Eine einzelne vertrauenden Partei kann mehr als einen Identitätstypen wählen.
 Der Benutzer kann die für diesen Kontext für ihn beste Identität verwenden.


Sehen Sie dies als synergetischen Ausdruck über alle Gesetze.
SiG
Zu dieser Diskussion haben beigetragen …

Arun Nanda, Andre Durand, Bill
Barnes, Carl Ellison, Caspar
Bowden, Craig Burton, Dan
Blum, Dave Kearns, Dave
Winer, Dick Hardt, Doc Searls,
Drummond Reed, Ellen
McDermott, Eric Norlin, Ester
Dyson, Fen Labalme, Identity
Woman Kaliya, JC Cannon.
James Kobielus, James
Governor…


Jamie Lewis, John Shewchuk,
Luke Razzell, Marc Canter,
Mark Wahl, Martin Taylor, Mike
Jones, Phil Becker, Radovan
Janocek, Ravi Pandya, Robert
Scoble, Scott C. Lemon, Simon
Davies, Stefan Brandt, Stuart
Kwan and William Heath
Und Weitere …
SiG
Zusammenfassung


Die unter uns, die mit und an Identitätssystemen arbeiten,
müssen diesen Identitätsgesetzen gehorchen.
Sie zu ignorieren, hat unerwünschte Konsequenzen zur Folge.


Ähnlich einem Ingenieur, der die Gesetze der Schwerkraft
missachtet.
Indem wir den Identitätsgesetzen folgen, können wir ein
Identitäts-Metasystem bauen, dass weithin akzeptiert werden
und Bestand haben kann.
SiG
Gründe für ein Identity Management

Denken in kompletten Geschäftsprozessen ...
verlangt eine einheitliche Infrastruktur.
 Isoliert pro Anwendung definierte Benutzeridentitäten und Zugriffsrechte
behindern die Implementierung.


Verschwimmende Grenzen ...






Reduktion der Fertigungstiefe einzelner Unternehmen
zugunsten eines Netzwerkes von Lieferanten und Abnehmern
Der logischen Vernetzung folgt die elektronische Vernetzung.
Im e-Business müssen Unternehmen ihr Inneres nach außen kehren.
Externe Partner werden an bisher interne Geschäftsprozesse angeschossen.
Unternehmensübergreifende automatisierten Zusammenarbeit ...
Lässt sich nicht mit unternehmensweiten technischen Lösungen unterstützen.
 Standardisierte Formate, Protokolle und Verfahren lässt sind erforderlich
 Zugriffsrechte verlässlich über Unternehmensgrenzen hinweg weiterreichen.


Ressourcenvirtualisierungen (Grid-Computing, Web-Services)...
Erfordern eindeutige digitale Identitäten
 Automatisierte Rechteprüfungen.

SiG
Gründe für ein Identity Management
(Fortsetzung ..)

Steigende Dynamik







Der Wechsel wird zum Normalzustand.
Mitarbeiter bleiben für kürzere Zeit mit einer Geschäftsrolle verknüpft.
Sie wechseln Abteilungen,
Sie arbeiten in Projekten.
Sie gehen für einige Wochen zu einer Niederlassung.
Zeitweise externe Kräfte benötigen interne Ressourcen.
Höheres Sicherheitsbewusstsein
Erfahrungen mit den Gefahren des Internet,
 Die hohe IT-Abhängigkeit
 Das aktuelle Weltgeschehen
 Ein "Leih' mir 'mal Dein Passwort!" wird heute nicht mehr akzeptiert.


Externe Auflagen
Die elektronische Verkettung von Geschäftsprozessen birgt Risiken.
 Behördliche Regelungen definieren entsprechende Anforderungen.
 Banken müssen nach Basel Accord II für die operativen Risiken
(operational risks) ihrer internen Abläufe Rückstellungen zu bilden.
 Nur nachgewiesen geringere Risiken reduzieren diese Kosten.

SiG
Neue Anforderungen an die Sicherheitsarchitektur

Die Mittel der Kommunikation der Anwender ändern sich …
Kunden
Vertragspartner
Internet
Angestellte
Niederlassungen
Lieferanten
SiG
Die e-Business – Herausforderung (1)

Interoperabilität und Portabilität: Im e-Business müssen
Unternehmen ihr Inneres nach außen kehren
schwach gekoppelt,
dynamisch außen
stark gekoppelt,
beständig, innen
Extranets
Interne
Systeme
& Daten
Mitarbeiter
Das Internet
Partner
Kunden
Weniger
bekannt
unbekannt
SiG
Die e-Business-Herausforderung (2)
Die verschwimmenden Grenzen kehren das Innere nach außen …






Die Erfordernisse das Netz zu „öffnen“ bescheren uns zwei
gegenläufige Bewegungen flexibleren Zugang und strengere
Sicherheit
Sicherheitsmaßnahmen über logische und physische Grenzen
hinweg.
Anwendungen, Datenbanken und Betriebssystemen fehlt ein
skalierbarer und ganzheitlicher Mechanismus, um Identitäten,
Zertifikate und Geschäftsregeln über alle Grenzen hinweg zu
verwalten.
Wireless- und andere Endgeräte erhöhen die Komplexität
Von falsch verstandenem “SSO” gehen Gefahren aus.
Die unvermeidbare Überschneidung von öffentlichen und
privaten Identity Strukturen kompliziert diesen komplexen Fall
weiter.
SiG
Die Antwort – Virtual Enterprise Network

Die Antwort: Eine flexible Infrastruktur
Integration intern
Temporäre Bindungen extern
Logisch ein Virtual
Enterprise
Network
Interne
Systeme
& Daten
Mitarbeiter
Das Internet
Partner
Kunden
Weniger
bekannt
unbekannt
SiG
Das Festungsdenken reicht nicht mehr
Das Festungsdenken ist dem e-Business nicht mehr angemessen
Es versagt in dem Maße, wie
Anwendungen für Partner und
Kunden geöffnet werden.
 Firewalls allein reichen nicht
mehr aus

Vergabe (und Entzug) von
Schlüsseln für den Zutritt im Hotel
 Gesicherte Safes mit begrenztem
Zugriff “hinter dem Tresen”
 Sicherheitspersonal patrouilliert.

Gestern
Heute
Festungs-Modell
Hotel-Modell
SiG
Ein fein granulares Zugriffs-Management

Sicherstellen, dass die richtigen Personen die richtigen Rechte
haben …
Home
Page
unbekannt
(Web User)
‘XYZ Co.’
(Partner)
‘Bob’
(Kunde)
Support
Datenbank
Nur für Partner
Proprietary
SiG
Role based access control






Benutzern werden Rollen zugewiesen
Rollen können hierarchich aufgebaut sein
Allgemein (aber nicht immer) haben übergeordnete Rollen alle
Berechtigungen der untergeordneten Rollen.
Permissions sind Operationen auf Objekte.
Permissions können + (additiv) oder - (subtraktiv) zugewiesen
werden.
Rollen können auch temporär pro Sitzung zugewiesen werden.
Source: Ferraiolo, Sandhu, Gavrila: A Proposed Standard for Role-Based Access Control, 2000.
SiG
Problematik – wo beginnen?

Operative Bereiche fordern
Komfortverbesserung ...




Revision, Security, Compliance
fordern ...





Single-sign-on
Self-Service
(schnelles) Provisioning
Transparenz (Evidenz)
Report & Analysen
Incident alerts
Sauberes & schnelles DeProvisioning
Berechtigungssituation oft nicht
bekannt ...




Befragungen helfen oft nicht weiter
Analysen sind erforderlich
Sie „enthüllt ihr Gesicht“ oft erst im
Umsetzungs-Projekt.
Risiken für die Umsetzung
 Identity Management Projekte können sehr komplex werden. Risiko
begrenzende Maßnahmen sind von beginn an erforderlich.
SiG
Vorgehen – Tiefe vs. Breite
Prozesse
Einführung in der Breite vs. Tiefe
 Durchstich in der Tiefe wenn ...

Einige wenige Systeme gut angebunden
werden sollen
 Rechtesituation gut bekannt
 bidirektionale Anbindung technisch
vorhanden
 Wichtige Massensysteme:
Systeme

Anbindung in der Tiefe


Prozesse

Systeme

Anbindung in der Breite

Windows
Exchange
Lotus NOTES
Systemneueinführung
Evidenzbildung in der Breite wenn ...
Eine zentrale Benutzerverwaltung
aufgebaut werden soll
 Sicherheits- und ComplienceErwägungen im Vordergrund stehen.
 Viele wichtige und wenig bekannte
Altsysteme angebunden werden sollen.

 In Großunternehmen mit gewachsenen Systemlandschaften lassen sich
nicht alle Systeme in einem Schritt einbinden..
SiG
Evidenzbildung – Einführung in der Breite

Vorteile









Wenn Benutzermanagement aufgebaut
werden soll ...
Schneller Überblick über viele Systeme
Auskunftsfähigkeit
Complience schnell erreichbar
Gut schrittweise einbindbar (viele kleine
Erfolge  geringes Projektrisiko)
Enthüllt Berechtigungs- und User-MappingKomplexität in dispositiven Prozessen.
Macht den Erfolg nachfolgend eingeführter
operativer Prozessunterstützung messbar
transparent.
Macht die Revision zum Verbündeten
Schaltet das Licht an.
SiG
Evidenzbildung – Einführung in der Breite

Nachteile

Es sind noch keine operativen Prozesse
automatisiert




Abbildungsregeln sind oft sehr aufwändig





Unterschiedliche ID-Konventionen HMeyer,
MeyerH, Hans.Meyer, ...
Unterschiedliche Schreibweisen Möller,
Moeller, Møller, ...
Unterschiedliche Verlässlichkeit der Quellen
Behandelte Ausnahmen ausblenden
Abgleich mit Soll-Beständen erforderlich




Kein single sign-on
Kein Provisioning
Keine einheitliche ID
HR-Daten, Soll-Berechtigungen, Lizenzen,
Zur Erkennung von Ausnahmen
(Schattenkonten, Unter-,
Überberechtigungen)
Erst dann der volle Nutzen
Durch die Hersteller nicht gut unterstützt
SiG
Komplexitätsfaktoren ...

Bestehende Lösungen



Je mehr bestehende Lösungen für das
Identity Management existieren, umso
höher wird der Aufwand, sie zu
harmonisieren und zu ersetzen.
Je reifer die existierenden Lösungen
sind, umso schwerer finden neue
Ansätze Akzeptanz.
Querschnittscharakter




Identity-Management Prozesse sind
typischerweise bereichsübergreifend.
Es sind viele gleichberechtigte
Stakeholder in ein Projekt involviert.
3 bis 5 mal höhere
Kommunikationskomplexität zu
„normaler“ SW-Entwicklung.
Typischer Change Management
Prozess: Macht-Sponsor erforderlich!

Prozessreife



Projektzuschnitt



Je höher die Reife der ManagementProzesse (z.B. nach CMMI) umso
leichter fällt die Einführung von IAMProzessen, -Regeln, -Rollen, -Policies.
Reife IAM-Prozesse in einem unreifen
Prozess-Umfeld finden wenig Akzeptanz
(Aufwandstreiber).
SW-Implementierungsprojekte sind
überfordert, wenn sie die
organisatorischen Voraussetzungen erst
schaffen müssen
Prozess- und Rollen-Definitionen
erfordern eigene Definitionsprojekte vor
der oder parallel zur Implementierung.
Marktkonsolidierung


Mergers & Acquisitions führen zu wenig
kompatiblen Produktsammlungen.
Die Software übernommener
Unternehmen wird häufig nicht mehr
optimal unterstützt.
SiG
... Komplexitätsfaktoren

Technische Risiken





IAM-SW-Suiten sind komplex und
schwer zu handhaben.
Ohne Implementierungserfahrung
in exakt der geforderten
Umgebung sind die Projektrisiken
nicht kalkulierbar.
Hinter „harmlosen“
Versionssprüngen (z.B.: 5.6 auf
6.0) stecken oft komplette
Neuentwicklungen.
Die Matrix der vom Hersteller
unterstützten Komponenten vs.
Version ist of sehr dünn besetzt.
Ersatz von InfrastrukturKomponenten führt oft zu hohem
Aufwand.

Verfügbarkeit von Fachspezialisten
Verfügbarkeit von Fachpersonen
mit Domänen-Wissen ist oft der
Engpass-Faktur bei Rollen- und
Prozess-Definitionen.
 Sie werden in der Anforderungsdefinition und der QS benötigt.
 Wartezeiten (auf Spezialisten) sind
Aufwandstreiber.


From scratch vs. Templates
Nur ein Teil der IAM-Prozesse ist
wirklich unternehmensspezifisch.
 Die Übernahme von Prozessen und
/ oder Rollen aus anderen
Projekten oder generischen
Modellen kann Projekte
beschleunigen.

SiG
Inkrementelle Entwicklung

1st Inc.
2nd Inc.
Wegen des hohen
immanenten
Projektrisikos für
Identity
Management
Projekte ist dringend
anzuraten,
Methoden des
„agilen Projektmanagements“ zu
verwenden.
Projekt Management
Prozess Design
Rollen & Regeln
Architektur
Design
Implementierung 1st Inc.
AnwendungsImplemenspezifisches
tierung
Design
Kickoff
05-10
05-11
05-12
Test
06-01
Implementierung
2nd Inc.
potentielle weitere
Segmentierung
06-02
06-03
06-04
06-05
SiG
Ausblick
Was kommt auf uns zu?





Was haben wir bisher erreicht?
Markt Trends
Die Bewegung zum Identity
Management
Die Entwicklung des Identity
Managements
Erwartung – Der Hype wird bald
enden.
SiG
Was haben wir bisher erreicht?
Federated
Identity
Portals
Business Value
Web single signon, enabled
through a portal,
provides access to
web-enabled
applications,
content and
services based on
your identity.
Integrated
Authoritative
Source
Identity
Roles
Define user roles
and policies
User
Account
Provisioning
Using identity to
provision
applications and
services
Populating the
Identity Repository
from HR, CRM or
other authoritative
source
Strong
Authentication
Identity
Repository
Consolidate user
identities into a
centralized
repository
Allows the
interoperability of
identities across
companies and
networks.
Access
Management
Incorporation of
encryption, PKI,
biometrics, and
smart cards provide
stronger levels of
authentication.
Access management
that provides
authorization and
authentication of
users.
Vision
SiG
Markt Trends:
Markt Gewicht
Die Verschiebung von Verzeichnisdiensten zum Identity Management
LDAP Verzeichnis
IdM Strategie
Identity Management
Identity Management Strategien gewinnen Gewicht am Markt.
(Burton Group)
SiG
Die Entwicklung des Identity Management

Wertschöpfung

Erst allmählich wird deutlich, wie hoch die
Voraussetzungen für ein Unternehmensübergreifendes e-Business sind
Identity Management steht an
erster Stelle
e-Business
Mit Geschäftspartnern
Unternehmensintern




Kostensenkung
Sicherheitsgewinn


Integration Lieferketten
Auftragsabwicklung
Lager und Beschaffung
Optimierung Vertriebskanäle




Real-time B2B-Verträge
Real-time B2B-Prozesse
Single-Sign-On für Kunden
vert. Sicherheitsinfrastruktur
Zeitverlauf
Quelle: RSA
SiG
Erwartung – der Hype wird bald enden.
Hier sind wir heute
SiG
Identity Management - Zusammenfassung








Der Begriff Identity Management scheint sich zu etablieren.
Unternehmen implementieren automatisierte und unternehmensübergreifende Geschäftsprozesse mit dem Internet als Trägermedium.
Dualistische Einteilung der Netzwelt nicht mehr aktuell (internes
Intranet und externes Internet). Spezielle Extranets als Behelfskonstrukt.
Implementierung eines ganzheitlichen Identity Managements
erforderlich, für eine sichere und feingranulare Zugriffssteuerung.
Aktuelle Bestrebungen zur Ressourcenvirtualisierung wie WebServices oder Grid-Computing erhöhen den Handlungsdruck weiter.
Gleichzeitig haben viele Marktangebote eine für einen unternehmensweiten Einsatz hinreichende Reife erlangt.
Amortisationsdauern unter zwei Jahren, lassen Investitionen in
bestimmte Systeme auch in wirtschaftlich schwierigen Zeit als sinnvoll
erscheinen.
Es ist ratsam die Implementierung einzelner Lösungen in eine
Gesamtarchitektur einzubetten.
SiG
Danke
SiG
Achtung
Anhang
Hier kommen die berüchtigten back-up-Folien ...
SiG

Identity Management