Business Value des Identity Management - usp MarCom

Identity Management:Prozessorientierung, Business Value,EinführungsstrategienMartin KuppingerKuppinger Cole + PartnerDigital ID Analysis + Evaluationhttp://www.kuppingercole.demk@kuppingercole.de

Die Rolle von digitalen IDs unddem IdentitätsmanagementDigitale IDsIdentitätsspeicher:Verzeichnisdienste, Smartcards, RFID-Tags,…Technisches Identitätsmanagement:Meta Directories, Kennwortsynchronisation,…Prozessorientiertes Identitätsmanagement:Provisioning, Auditing, Federation,…Identitäten in Anwendungen:Geschäftsprozesse, DRM, eGovernment,Portale/Personalisierung, SCM+RFID,…Keine Anwendung kommtohne digitale Identitäten aus.Identitätsmanagement ist dieBasis für Sicherheit undIndividualisierung vonApplikationen.Seite 2© Kuppinger Cole + Partner 2004

Flexible Geschäftsprozessebrauchen eine flexible ITFlexible GeschäftsprozesseFlexible IT – Prozessorientierung statt FunktionsorientierungIdentitätsmanagement: Integrierte Identitäten über den gesamten ProzessProzessorientiertes Systemmanagement: Status des Prozess, nicht des ServerAnwendungsinfrastruktur: Die Basis für AnwendungenProzesse (Service Oriented Architecture)Service Service Service Service ServiceAnwendungAnwendungAnwendungSeite 3© Kuppinger Cole + Partner 2004

Business-Treiber für dasIdentitätsmanagementoooDie Forderung nachflexiblen Geschäftsprozessen(adaptive) istheute der wichtigsteTreiber für dasIdentitätsmanagementCompliance gewinntimmer mehr anBedeutungNeue Anwendungen (z.B.DRM, Schutz vongeistigem Eigentum)kommen - und basierenauf digitalen IdentitätenSicherheitFlexibleGeschäftsprozesseIdentitätsmanagement„Easeof use“ComplianceNeueAnwendungenKostenreduktionSeite 4© Kuppinger Cole + Partner 2004

Einige aktuelle Studien undUmfragen…o IDC: Identity Management-Markt Westeuropa wächstvon 170 Mio US$ 2002 auf 1,17 Mrd US$ 2007o Frost & Sullivan: Bis 2006 wächst der IdentityManagement-Markt durchschnittlich um 45% pro Jahro Information Security Magazine Heat Index April 2004:1. Identity Management2. User Provisioning3. Single Sign-Ono Global CEO Study:• „…the pendelum swings back to growth…“• „Responsiveness: the new key competence“Seite 5© Kuppinger Cole + Partner 2004

Identity ManagementooIdentity Management• Auch „Identity und Access Management“• Umfasst alle Dienste fürooodas Management und die Speicherung von Identitäten(Verzeichnisdienste,…)die Nutzung dieser Identitäten, insbesondere für dasZugriffsmanagementdas Management der ZugriffeProzess und Infrastruktur für die Erstellung, Pflege undNutzung von digitalen Identitäten (Identity ManagementLifecycle)• Technologie und Prozesse• Verwaltung von IDs, Attributen, Zugriffsinformationen(Credentials), Berechtigungen• Muss von internen Systemen bis hin zu externen,unternehmensübergreifenden Einsatzbereichen skalierenSeite 6© Kuppinger Cole + Partner 2004

Teilelemente des IdentityManagementAuthentifizierungAccess ManagementPlattformspezifischeAutorisierungWeb AccessManagementPlattformenAnwendungenWeb ServicesAndere RessourcenUserProvisioningRights/ResourceProvisioningSingle Sign OnPasswordmanagementIdentity AdministrationProvisioning-DiensteAuditingMeta Directory-DiensteVirtuelle VerzeichnisseVerzeichnisdiensteSeite 7© Kuppinger Cole + Partner 2004

IBM‘s Strukturierung des IdentityManagementidentity federationUnternehmensübergreifendesIdentity Managementidentity lifecyclemanagementVerwaltung vonIdentitäten, Provisioningidentity controlAutorisierung,Authentifizierung,Überwachungidentity foundationBasistechnologien für das Identity ManagementSeite 9© Kuppinger Cole + Partner 2004

Novell‘s Strukturierung des IdentityManagementSelf ServiceDelegationSecure Logging•Log storage•Reporting•AuditingFederationPolicy LifecycleManagement•Testing•Versioning•Ownership•Evaluation•ReconciliationAccountRestrictionsAuthentication•Strong•Graded•ChainedRole-BasedAdministrationIntegratedIdentity•Principals•Groups•Roles•Hierarchy•PoliciesRole EngineeringBest PracticesEventsNotificationsMonitoringWorkflowTriggers•Database query•External events•Etc.SchedulingSystems Integration•Help Desk•ERP•Portal, etc.Identity AutomationRules Engine•SIM-specific systemsintegration logicPolicy DecisionPointsPolicy EnforcementPointsQuelle: NovellSeite 10© Kuppinger Cole + Partner 2004

Mehr als ein Schlagworto Identity Management ist nicht neuo Identitäten werden heute genutzto Technologien werden heute eingesetzt• Verzeichnisdienste, Authentifizierung, AccessManagemento Was ändert sich:• Reifegrad der Technologien• Neue/neuere, integrierende Technologien (z.B.Provisioning, Virtual Directories)• Anwendungsbereich (intern à extern)• Strategische Relevanz und BetrachtungsweiseSeite 11© Kuppinger Cole + Partner 2004

Die Treiber für das IdentityManagementPositive undnegative TreiberWandelder ITPortaleNeue Geschäftsmodelle (Web)Schutz von IntellectualPropertyIdentityManagementAdministrativeKostenCompliancePrivacySarbanes-OxleHIPAA…Seite 12© Kuppinger Cole + Partner 2004

Business Driver für IdentityManagementBusiness DriversBusinessFacilitationServiceLevelCost Reduction& ProductivitySecurityRegulatoryCompliance•Reach globalcustomers•Tighter supplierrelationships•More productivepartnerships•Focused,personalizedcontent•Comprehensiveprofile view•Self-service•Eliminateredundantadministration tasks•Reduce helpdeskburden•Fast employeeramp-up•Consistent securitypolicy•Immediate systemwideaccess updates•Consistent identitydata•Sarbanes-Oxley•HIPAA•European DataPrivacy Regulation•Graham-Leach-BlileyQuelle: NovellSeite 13© Kuppinger Cole + Partner 2004

Der Business NeedooooUnternehmen müssen flexibel auf neue Anforderungenreagieren können• Märkte• Kunden• PartnerDie IT ist Dienstleister und muss flexibel, schnell undkostengünstig auf die Business-AnforderungenreagierenDas geht nur durch die Prozessorientierung der ITIT-Prozesse funktionieren aber nur, wenn es eineeinheitliche Sicht auf die Identitäten über dengesamten Prozess hinweg gibtSeite 14© Kuppinger Cole + Partner 2004

Buzzwords of the year…o On Demando Adaptive Enterpriseo Realtime Enterpriseo Agile, dynamic,…Seite 15© Kuppinger Cole + Partner 2004

…meinen alle das GleicheSam Palmisano, IBM:„An enterprise whose businessprocesses – integrated end-to-endacross the company and with keypartners, suppliers and customers –can respond with speed to anycustomer demand, marketopportunity or external threat“Seite 16© Kuppinger Cole + Partner 2004

On Demand- und Realtime-StrategienooooooUnternehmen müssen• externe Einflüsse• Abweichungen vom Normalzustand• neue Chancenschnell erkennen undSchnell darauf reagieren könnenAgile Unternehmen sind in der Lage, schnell auf sichändernde Situationen zu reagieren und damit flexibleram Markt zu agieren und produktiver zu seinOn Demand (IBM): Anforderungen können schnellumgesetzt werden.Realtime (Gartner): Abweichungen werden frühzeitigerkannt und adressiert.Seite 17© Kuppinger Cole + Partner 2004

Was On-Demand für die ITbedeutetooooDie Sicht verändert sich von der Anwendung und ihrerFunktion zum ProzessÄnderungen der Business-Anforderungen müssen schnellund zuverlässig durch die IT umgesetzt werdenDie IT bewegt sich in einem immer komplexeren Raum• Die Zahl an Anwendungen wächst• Der Kostendruck auf die IT ist hoch• Die IT muss Lösungen für konkrete Unternehmensproblemeliefern – die oft erforderlichen Infrastruktur-Anpassungenlassen sich nur in diesem Rahmen durchsetzen• Die Anforderungen an Compliance und Risiko-Managementsteigen kontinuierlich – nicht nur in den USAeBusiness ist vom Hype zur Realität geworden. Mehr undmehr Anwendungen sind unternehmensübergreifend(Partner, Kunden), nutzen zunehmend Web Services. Internmüssen Anwendungen und ihre Daten integriert werden.Seite 18© Kuppinger Cole + Partner 2004

Konkrete Herausforderungen für dasIdentitätsmanagement der On Demand-ITooooMehr Identitäten: Nicht mehr „nur“ Mitarbeiter,sondern Partner und KundenEinheitliche Identitäten: Wenn in Prozessen und nichtin Anwendungen gedacht wird, muss es eine Identitätim Prozess geben – und nicht viele in den beteiligtenAnwendungenSicherheit: Gerade die Öffnung von Prozessen überdas Unternehmen hinaus erhöht die Anforderungen andie Sicherheit – was durch fehlende, zentraleIdentitäten behindert wirdFlexibilität: Benutzer, Profile und Berechtigungenmüssen zuverlässig und schnell vergeben undentzogen werden könnenSeite 19© Kuppinger Cole + Partner 2004

Schlüsselelemente des IdentityManagement für „On Demand-IT“ooooIdentity Integration/Federation:• Einheitliche Identitäten für mehrere Systeme,gemeinsame/verteilte Nutzung von Identitäten imUnternehmen und über die Unternehmensgrenze hinwegProvisioning:• Prozessorientierte Bereitstellung von Ressourcen (Identitäten,Systemressourcen, Anwendungen,…) – übergreifendeFunktion, mehr als nur digitale IdentitätenAccess Management:• Sicherung des Zugriffs von internen und externen Benutzern –die Trennung zwischen Web Access Management und internemAccess Management ist künstlich und wird mit zunehmendvernetzten Prozessen verschwindenAuditing:• Nachvollziehbarkeit als Basis für die Compliance-/RiskManagement-AnforderungenSeite 20© Kuppinger Cole + Partner 2004

Geschäftsprozesse sind nicht„identitätslos“Lieferanten Unternehmen KundenGeschäftsprozesseAnwendungenBenutzerWer darf was im Geschäftsprozess?Seite 21© Kuppinger Cole + Partner 2004

Generelle Auswahlkriterien fürIdentity Management-Lösungeno Umfassende Unterstützung heterogenerInfrastrukturen – die IT ist heterogen (undwird es bleiben)o Lösungskompetenz des Anbieters – keinSystem kann alle vorhandenen Bausteinestandardmäßig unterstützeno Interoperabilität mit Standardso Verständnis des Zusammenhangs• Identity Management• Business Needs• Heterogenität der bestehenden IT undInvestitionsschutzSeite 22© Kuppinger Cole + Partner 2004

Teilsegmente des IdentityManagementooooooooooooVerzeichnisdiensteMeta Directory-DiensteVirtuelle VerzeichnisseIdentity AdministrationAccess Management-SystemeSingle Sign-On-LösungenPasswordmanagementProvisioning(Starke) AuthentifizierungslösungenÜberwachungFederation… (Profilierung, Personalisierung,…)Seite 23© Kuppinger Cole + Partner 2004

VerzeichnisdiensteooooSpeicher für Identitäten• Personen, Organisatorische Einheiten, Gruppen, Rollen,…• Profile werden durch Attribute definiertBasis für das Identitätsmanagement• Authentifizierung basiert auf Verzeichnisinformationen• Autorisierung basiert auf Benutzerattributen (Rollen, Gruppen)• Personalisierung basiert auf AttributenVerschiedene Ausprägungen• Enterprise Directories: Unternehmensinformationen• eBusiness Directories: Kunden- und Partnerinformationen• Anwendungsverzeichnisse: Spezifische Informationen für einzelneAnwendungen• NOS Directories: Verzeichnisse für Netzwerk-Betriebssysteme (ActiveDirectory, Novell eDirectory)• „one size doesn‘t fit all“Anbieter: Microsoft, Novell, Sun, Siemens, CriticalPath, IBM,…Seite 24© Kuppinger Cole + Partner 2004

Die Rolle von VerzeichnisdienstenooooVerzeichnisdienste sind ein Speicher für digitaleIdentitäten von• Mitarbeitern• Kunden• Partnern• Objekten und GüternVerzeichnisdienste stellen IdentitätsinformationenbereitAnwendungen nutzen diese InformationenVernetzte Anwendungen erfordern eine Vernetzungvon VerzeichnisdienstenSeite 25© Kuppinger Cole + Partner 2004

Arten von VerzeichnisdienstenInstanzen(disparateInstallationen)Instanzen (proInstallation)Objekte(Benutzer,Gruppen,…)KomplexitätNOS-Verzeichnisse1 bis wenigeOft sehr viele(Domänencontroller,…)Bestimmt durchAnzahl derMitarbeiterHoch, vor allemdurch Verteilungund ReplikationAnwendungsverzeichnisseMeist sehr viele1 bis sehr wenigeBestimmt durchAnzahl der Nutzerder AnwendungAbhängig vonAnwendung, oftgering, aber sehrspezifischeBusiness-VerzeichnisseIdealerweisewenige, oft aberzu vieleOft mehrere,LastverteilungBestimmt durchAnzahl derPartner oderKundenSchema kannkomplex seinUnternehmensverzeichnisse1 bis wenige1 bis sehr wenige,Lastverteilung,lokale ZugriffeBestimmt durchAnzahl derMitarbeiterSchema kannkomplex seinSeite 26© Kuppinger Cole + Partner 2004

Meta Directory-Diensteo Dienste, die Informationen ausverschiedenen Verzeichnissen integriereno Verwenden ein zentrales Repository(Verzeichnis oder Datenbank)o Synchronisation von Informationenzwischen den verschiedenen Verzeichnisseno Eine oder mehrere autoritative Quelleno Anbieter: Siemens, Microsoft, Novell,CriticalPath, IBM, Maxware,…Seite 27© Kuppinger Cole + Partner 2004

Virtuelle Verzeichnisseo Logische Sicht auf Informationen inverschiedenen Verzeichnisseno Schemata der Verzeichnisse werden in diejeweils benötigte Struktur gebrachto Dynamische Zugriffe auf die Informationenin den Verzeichnisseno Mehr Flexibilität in der Strukturierung vonVerzeichnisinformationen fürunterschiedliche Anwendungen, schnellerund pragmatischer Lösungsansatzo Anbieter: Radiant Logic, Octet String,Maxware,…Seite 28© Kuppinger Cole + Partner 2004

Identity Administrationo Verwaltung von Identitäten über mehrereVerzeichnisse hinwego Zentrale Werkzeuge für das Managementvon Identitäten, ohne dabei aber Workflowsdes Provisioning zu unterstützeno Benutzer-, Gruppen-, Rollenmanagemento Delegierte Administration, Self Serviceo Anbieter: Sun, Oblix, Calendra,…Seite 29© Kuppinger Cole + Partner 2004

Access Management-Systemeo Richtlinien für die Steuerung von Zugriffenauf Ressourcen• Web Access Management• Access Management für interne Anwendungeno Web Access Management• Identifikation von Objekten meist über URLs• Integration mit unterschiedlichenAuthentifizierungsmechanismen• Dynamische Mechanismen (z.B.Berücksichtigung von Buchungsbeträgen)o Anbieter: IBM, Sun, Oblix, Netegrity, OpenNetwork,…Seite 30© Kuppinger Cole + Partner 2004

Single Sign-On-LösungenooooooZentrale Verwaltung von CredentialsCredentials werden in einem zentralen RepositorygespeichertBeim Zugriff auf andere Anwendungen werden diejeweils erforderlichen Credentials übergebenTechnisch komplexe Implementierungen, erfordern inden meisten Fällen eine aufwändige Integration mitden ZielsystemenWichtig, wenn Synchronisation oderStandardverfahren für die Authentifizierung (X.509)nicht eingesetzt werden könnenAnbieter: Protocom, Passlogix, IBM,…Seite 31© Kuppinger Cole + Partner 2004

Password ManagementoooooooManagement von KennwörternPotenzial für schnellen und hohen ROI durch Reduktion vonHelpdesk-Kosten (signifikanter Anteil der Helpdesk-Kostenfür Password Resets)Zwei Ansätze:• Kennwort-Synchronisation (bis hin zu Credential-Synchronisation)• Kennwort-ResetNur Synchronisation löst das Problem wirklich. Technischaber komplex in der Implementierung.Einheitliche Richtlinien für Kennwörter über verschiedeneAnwendungen müssen durchgesetzt werdenSelf Service für Resets müssen handhabbar seinAnbieter für Synchronisation: Courion, Blockade, Proginet,…Seite 32© Kuppinger Cole + Partner 2004

ProvisioningoooooProvisionierung = Bereitstellung, VersorgungProvisioning stellt Informationen für das Identity Management(und nicht nur das) für unterschiedliche Systeme bereitZwei Ansätze:• Workflow-orientiert, Fokus Provisioning: Definition von zentralenWorkflows, mit denen sowohl Benutzer angelegt, Berechtigungenvergeben als z.B. auch Mobiltelefone bestellt werden können• Identity-orientiert, Fokus User und Access Management: Benutzer wirdangelegt, anschließend werden ihm alle erforderlichen Berechtigungengegeben (RBAC-orientiert, role based access control)Prozess-orientierter Ansatz im Gegensatz zu den TechnologieorientiertenMeta Directory-DienstenAnbieter:• Netegrity, Sun, Thor, HP, Courion,…• IBM, Siemens,…Seite 33© Kuppinger Cole + Partner 2004

Provisioning – mehr als nurIdentitätsmanagementooooProvisioning ist ein wichtigerTeil desIdentitätsmanagements –aber es geht darüber hinausProvisioning(„Bereitstellung“) definiert dieBereitstellung - vonSystemressourcen,Informationen, BenutzernIBM hat beispielsweiseThinkDynamics für dieSystem-Provisionierunggekauft, RedHat hat einProvisioning-Modul für seineLinux-Systeme vorgestelltProvisioning wird sich ineinen Workflow-orientiertenund einen UmsetzungsorientiertenTeil gliedernProvisioningIdentitätsmanagementProvisioning-WorkflowAdapter Adapter Adapter AdapterSeite 34© Kuppinger Cole + Partner 2004

Die Rolle des Provisioning im „OnDemand-Identitätsmanagement“o Prozessorientiert statt technischo Aber nicht ausreichend ohneInfrastrukturo Es geht nicht ohne, es reicht aberauch nichtSeite 35© Kuppinger Cole + Partner 2004

AuthentifizierungslösungenoooooTechnologien für die Authentifizierung von Benutzern• Insbesondere starke und mehrstufige/differenzierteAuthentifizierungsverfahren• PKIs (Public Key Infrastructures) sind heuteStandardtechnologieBiometrische Verfahren, Zertifikatsdienste,…Zielsetzung: Eine zentrale Authentifizierung für alleDiensteViele etablierte Verfahren und Anbieter, aber keinwirklicher StandardAnbieter: RSA Security, Entrust, Novell, (Microsoft),…Seite 36© Kuppinger Cole + Partner 2004

ÜberwachungooooooÜberwachung der EreignisseIm Zusammenhang mit Compliance zunehmendbedeutendes ThemaEreignisse müssen in den Kontext des Geschäftsvorfallsgesetzt werden• Warum wurde eine bestimmte Aktivität wie die Zuordnungeines Benutzers zu einer Gruppe durchgeführt?Fokus ändert sich von Revision zu Aktion – wenn bestimmteEreignisse auftreten, müssen diese erkannt werden undHandlungen ausgelöst werdenFast jedes Produkt kann mittlerweile auch ein ProtokollanlegenTendenz zu zentralen Auditing-Lösungen: Novell NsureAudit, Microsoft MACS (Microsoft Audit Collection System),NetVision‘s Ansatz für Richtlinienmanagement und -überwachungSeite 37© Kuppinger Cole + Partner 2004

Identity FederationooooooNutzung von Identitäten über System- undUnternehmensgrenzen hinwegBenutzer meldet sich am Unternehmensportal an, bestelltein neues Notebook, Bestellung wird mit einigenInformationen über den Benutzer an den Dienstleistergesendet, der dann überprüft, ob dieser Benutzer (aufgrundseiner Rolle) das Notebook bekommt. Authentifizierung undAutorisierung werden hier verteiltDiverse Standards definiert, wenige etabliertEinige Anbieter (z.B. Sun, Netegrity, Oblix) habenTechnologien in ihre Produkte integriert, insbesondereSAML, weitere haben das angekündigt.Sun hat die Liberty Alliance initiiert, an der mittlerweilemehr als 150 Unternehmen teilnehmenIBM, Microsoft und andere treiben insbesondere das ThemaWS-* (Web Service Security, Trust, Federation)Seite 38© Kuppinger Cole + Partner 2004

AgendaooooIdentity Management• Begriffsklärung• MarktsegmenteAnbieter im Markt• „Komplett“anbieter• Best-of-BreedTrends, Hype, Anforderungen• Trends und Hypes• „Putting it all together“Identity Management und Web Services• Keine Web Services ohne Identity Management• Standards, Lösungen, AnbieterstrategienSeite 39© Kuppinger Cole + Partner 2004

Best-of-Breed oder Suite?o Best-of-Breed: Die besten Lösungen undTechnologien für die verschiedenenTeilprobleme werden verwendeto Suite: Ein Anbieter liefert die gesamteTechnologie für das Identity Managemento Je nach Position der Anbieter werden dieVorteile des einen oder anderen AnsatzesbetontSeite 40© Kuppinger Cole + Partner 2004

Argumente für Suiteno Ein Anbieter – ein Ansprechpartner beiProblemen. Klare Zuständigkeiteno Anbieter beherrscht die Integration derverschiedenen Teilkomponenten der Suiteo Potenziell größere Interoperabilität und eineVerwaltungsschnittstelleo Suiten-Anbieter sind große Unternehmen –mehr Sicherheit für Entscheider und dieProjektumsetzungSeite 41© Kuppinger Cole + Partner 2004

Argumente gegen Suiteno Kein Anbieter kann heute das komplettePortfolio bereitstellen – auch IBM nichto Die „Suiten“ sind in den meisten Fällendurch den Zukauf von vielenEinzelprodukten entstanden und sindzumeist mehr schlecht als recht integrierto Integrationsprobleme werden durchManpower gelösto Abhängigkeit von einem Anbietero Identity Management-Strategie wird stärkervom Hersteller bestimmtSeite 42© Kuppinger Cole + Partner 2004

Argumente für Best-of-Breedo Technisch beste Lösungen können ausgewählt werden –und in vielen Bereichen kommen die besten Lösungen vonkleineren Anbieterno Identity Management-Projekte lösen heute zumeist kleinereFragestellungen und versuchen nicht, das Problem komplettzu adressieren – und dann bietet es sich an, mit einerkleineren, schlankeren Software zu beginnen, um schnellein Ergebnis vorweisen zu könneno Es gibt mehr und mehr Standards für die Interoperabilität(auch wenn die meisten davon noch nicht etabliert sind)o Identity Management ist ein so dynamischer Markt, dassman heute noch nicht die endgültige Lösung für einenlängeren Zeitraum definieren kann – also kann man auchan einem Punkt beginneno Die meisten kleineren Anbieter haben eine oder mehrerestrategische Partnerschaften mit anderen Anbietern, die oftauch die tatsächliche Integration von Produkten beinhaltetSeite 43© Kuppinger Cole + Partner 2004

Argumente gegen Best-of-Breedo Potenzielle Integrationsproblemezwischen verschiedenen Systemeno Umgang mit mehreren Herstellern,keine eindeutige Zuordnung vonProblemen und Verantwortlichkeiteno Etliche Hersteller sind noch Venturefinanziertund etliche sind in denroten ZahlenSeite 44© Kuppinger Cole + Partner 2004

Interoperabilität entscheideto Generell ist die Interoperabilität vonSystemen von zentraler Bedeutung• Unterstützung modularerAuthentifizierungsmechanismen• Nutzung unterschiedlicher Verzeichnisdienste alsRepository• Integration mit bestehenden Workflows inUnternehmen• Bereitstellung von umfassenden Audit-Informationen für unterschiedliche Auditing-Systeme• Unterstützung von spezifischen Standards fürdas Identity Management (SAML, SPML,…)Seite 45© Kuppinger Cole + Partner 2004

Die Key-PlayerooooooooIBM: Breitestes Portfolio aller Anbieter am Markt, allerdings noch Defizitebei der Integration zwischen den verschiedenen TeilkomponentenMicrosoft: Kein wirkliches Komplettangebot, stark fokussiert auf Windows-Kerntechnologien (z.B. Kerberos), vor allem bei einer „pure Microsoft“-Strategie interessantNovell: Positioniert sich als Anbieter von Identity Management fürheterogene Umgebungen, Fokus auf Linux, Windows, NetWare, sehr breitesPortfolioSun: Stärken vor allem rund um Verzeichnisse, Identity Management,Provisioning, Access Management – durch die Akquisition von Waveset zueinem Key Player aufgestiegenCA: Hat unlängst die Integration der eTrust-Komponenten zu einer SuiteangekündigtBMC: Kein komplettes Portfolio, kooperiert z.B. auch mit Oblix, aber starkePosition aus dem Systemmanagement herausSiemens/Oblix: Siemens mit Stärken bei Verzeichnisdienst und MetaDirectory, Oblix im Bereich Identity Administration und Web AccessManagement – in der Kombination ein umfassendes AngebotHP: Durch die Akquisition von Trulogica sowie Teilen von Baltimoremittlerweile ernstzunehmen, Identity Management als Teil der „AdaptiveEnterprise“-StrategieSeite 46© Kuppinger Cole + Partner 2004

Die etablierten Spezialisteno Meta Directory-Anbieter:• MaXware, Critical Patho Provisioning-Spezialisten:• Netegrity, Beta Systems, aber auch Couriono Web Access Management:• Netegrity, Oblix, aber auch RSA Security,Entrusto Authentifizierung/Security:• RSA Security, Entrust, Courion à Entwicklunghin zum Web Access Management oderProvisioningSeite 47© Kuppinger Cole + Partner 2004

Newcomer im deutschen MarktoooEine Vielzahl von Anbietern sind derzeit vor allem in den USA(oder anderen Ländern) präsent und kommen erst langsam aufden deutschen Markt – viele sind aber auch bereits akquiriertworden:• Maxware: Meta Directories, Virtuelle Verzeichnisse• Octet String, Radiant Logic: Virtuelle Verzeichnisse• M-Tech: Password Management, Provisioning• Blockade: Password Management, Provisioning• …Hier sind die deutschen Strukturen (Consultants,Implementierung) und das Zusammenspiel mit den Herstellernentscheidend – wann und zu welchen Kosten werdenbeispielsweise Spezialisten aus den USA eingeflogen, wenn diedeutschen Ressourcen nicht ausreichen?Anbieter haben in vielen Fällen ausgesprochen interessanteAnsätze und viele große Kunden in USASeite 48© Kuppinger Cole + Partner 2004

„Exoten“o Anbieter, die entweder nur spezielleTeillösungen bieten oder für die IdentityManagement nur ein Teilbereich ist:• Netvision: Historisch mit Fokus auf Punkt-zu-Punkt-Synchronisationslösungen, heuteSchwerpunkt auf zentralemRichtlinienmanagement und -überwachung• Völcker Informatik: Benutzer managen undAnsätze in Richtung Provisioning, primär aberFokus auf Komplettplattform für dieAutomatisierung von IT-Aufgaben (Helpdesk,Outsourcer)• Eurekify: Rollengenerierung auf Basisvorhandener InformationenSeite 49© Kuppinger Cole + Partner 2004

Marktsegmentierung: FalscheSchubladenooooDer Identity Management-Markt ist derzeit sehr dynamisch• Etablierte Technologien haben einen gewissen Reifegraderreicht (Single Sign-On)• Neuere Technologien entwickeln sich erst (Provisioning,Virtuelle Directories)Das birgt die Gefahr, dass Anbieter entweder keineSchublade für ein eigentlich durchaus sinnvolles Produktfinden oder dass sie falsch eingruppiert werdenEs führt auch dazu, dass die Marketing-Aussagen vielerHersteller (z.B. beim Web Access Management) fastidentisch sind und die eigentlichen Stärken kaumherausgearbeitet werden, weil die Checkliste (auch für dieProduktweiterentwicklung) z.B. ein Magic Quadrant ist.Kunden müssen• identifizieren, was sie tatsächlich wollen und brauchen• Anbieter detailliert analysieren, wobei Interoperabilität undErweiterbarkeit von zentraler Bedeutung sindSeite 50© Kuppinger Cole + Partner 2004


Trendso Gesamtsicht auf das IdentityManagemento Erweiterung auf externeBenutzerkreiseo Lösungs- statt Technologieansatzo Pragmatismuso Datenqualität wird zum Themao Mehr als ein VerzeichnisSeite 52© Kuppinger Cole + Partner 2004

Gesamtsicht auf das IdentityManagementooooIdentity Management ist kein neues Thema, sondern einÜberbegriff für eine Vielzahl bestehender Technologien undLösungsansätzeErst jetzt beginnt aber die Gesamtsicht auf das ThemaBezüglich von Projekten gilt es• auf einer strategischen Ebene mit Fokus auf das IdentityManagement insgesamt zu arbeiten• auf der operativen Ebene aber kleinere, schnell lösbare,budgetierbare Probleme mit einem potenziell schnellen undhohen ROI anzupacken (kein „Unternehmensdatenmodell“)Dabei gilt immer: Wer heute relativ weit beim IdentityManagement ist, wird später dennoch manches ändernmüssen, weil der Einsatzbereich größer wird, neue Ansätze(Virtuelle Verzeichnisse) hinzukommen und sichTechnologien verändern werden (Provisioning)Seite 53© Kuppinger Cole + Partner 2004

Erweiterung auf externeBenutzerkreiseooeBusiness ist tot – aber in der Realität werden immermehr interne Anwendungen in Teilbereichen auch fürexterne Benutzer (Partner, Kunden) geöffnetIdentitäten müssen über die Grenzen von Systemenund Unternehmen hinweg beherrscht werden• Interne Web Services: Viele Anwendungen miteigenen Autorisierungsverfahren stellen Dienstebereit – Identitätsmanagement mussanwendungsübergreifend sein• Partner: Federated Web Services und Identities, beidenen Partner die Autorisierung, das Unternehmenaber die Authentifizierung übernimmt• Kunden: Zusammenspiel auch mit externen IdentityManagement-Lösungen (Liberty, Passport)Seite 54© Kuppinger Cole + Partner 2004

Lösungs- statt Technologieansatzo Kein Budget für IT-Infrastruktur…o IT-Projekte müssen konkrete Lösungen fürProbleme bieteno Lösungsorientierte Projekte mit ROI-Versprechen sind einfacher durchsetzbaro Oft fehlt aber die nötige Infrastruktur:• Wie bekommt man die unterschiedlicheDatenqualität in Verzeichnissen in den Griff, umdarauf Provisioning oder Password-Managementaufzusetzen?• Macht es Sinn, viele Verzeichnisse zuprovisionieren oder diese zumindest teilweise zuintegrieren?Seite 55© Kuppinger Cole + Partner 2004

Pragmatismuso Knappe Budgets machen pragmatischeLösungen erforderlicho Identity Management-Projekte an einerStelle beginnen, um ein Problem zu lösen –und dann von dort aus weiter arbeiteno Das Risiko ist, dass Inseln entstehen,Entscheidungen für Hersteller determiniertwerden oder die pragmatische Lösungaufgrund von Schwächen der Infrastrukturschlicht nicht umsetzbar isto Pragmatismus auf Lösungsebene – aber ineinem strategischen GesamtbildSeite 56© Kuppinger Cole + Partner 2004

Datenqualität wird zum ThemaoooInformationen in verschiedenen Verzeichnissen sindoft sehr heterogen• Unterschiedliche eindeutige IDs für Benutzer• Unterschiedliche Werte für Attribute, ohne dasszwingend ein führendes Verzeichnis definiert werdenkönnteDatenqualitätstechnologien aus dem EAI-Bereichkönnen helfen, einen ersten Abgleich vonInformationen durchzuführen und gegebenenfallsauch in späteren Phasen (Ist ein Benutzer mit diesemNamen schon vorhanden?) unterstützen.Das gilt für interne Verzeichnisse, noch mehr aber fürKundenverzeichnisse. Nicht umsonst haben dieTechnologien im CRM-Umfeld schon heute eine hoheBedeutung.Seite 57© Kuppinger Cole + Partner 2004

Mehr als ein VerzeichnisoooDie Idee eines einzigen, zentralen Verzeichnisdienstes ist tot• Microsoft hat ADAM (Active Directory Application Mode) als Ergänzungzum Active Directory herausgebrachtEs gibt verschiedene Anforderungen an Verzeichnisse:• Enterprise Directories: Schnell bei Abfragen, wenige zentrale Instanzen• eBusiness Directories: Hoch skalierbar, Änderungen und Abfragenmüssen auf dedizierte Server verteilt werden können• Anwendungsverzeichnisse: Oft durch Anwendungen vorgegeben undnicht beliebig austauschbar, spezifische Anforderungen an das Schema• NOS-Verzeichnisse: Müssen die speziellen Anforderungen vonNetzwerken und dem Client-Management unterstützeno Gruppenrichtlinieno Softwareverteilungo …Jede Variante von Verzeichnissen hat spezifische Anforderungen.Das erfordert unterschiedliche• Technologien• ImplementierungenSeite 58© Kuppinger Cole + Partner 2004

Hypeso Provisioningo Virtuelle Verzeichnisseo Agent-Lesso Passwordmanagemento Kontexte statt RollenSeite 59© Kuppinger Cole + Partner 2004

ProvisioningooooProvisioning macht SinnAber Provisioning ist kein AllheilmittelWorkflow-Perspektive:• Integration mit bestehenden Workflows (Bestellungvon Mobiltelefonen) ist unverzichtbar• Provisioning von Benutzern, Ressourcen, Systemen(IBM, HP)Identity-Perspektive:• Macht es Sinn, einen Prozess zu haben, bei dem einBenutzer angelegt wird und im Anschluss daran auchdirekt Zugriffsrechte gesetzt werden? Oder ist nichtdie Provisionierung von Ressourcen ein völlig andererProzess als die Provisionierung von Benutzern?Seite 60© Kuppinger Cole + Partner 2004

Virtuelle VerzeichnisseoooVirtuelle Verzeichnisse sind interessant, weil• sie eine flexible Gestaltung von „Sichten“ aufVerzeichnisinformationen ermöglichen• sie damit viele Projekte, die Verzeichnisinformationenbenötigen, schneller und günstiger realisierbarmachenVirtuelle Verzeichnisse sind kritisch, weil• die Verfügbarkeit von der Verfügbarkeit derangeschlossenen Systeme abhängt• Performance zu einem kritischen Faktor werden kann• das Mapping von Informationen aus verschiedenenVerzeichnissen komplex sein kannVirtuelle Verzeichnisse sind ein Ansatz, aber nicht dieeinzige LösungSeite 61© Kuppinger Cole + Partner 2004

Agent-lessoooooAgents:• Eigentlich Module, die auf einem anderen System relativ autonom ablaufen unddort Aktivitäten ausführen• Kommunizieren mit zentralen Systemen, werden auch von diesen parametrisiertVarianten:• Lokale Agents: Laufen auf dem Zielsystem (z.B. ein Verzeichnisserver)• Remote „Agents“: Greifen über das Netzwerk auf das Zielsystem zu• Agent less: Keine lokalen Agents, i.e. nur Remote „Agents“Für lokale Agents spricht die oft effizientere Arbeitsweise und dassbestimmte Aktivitäten nur darüber abgewickelt werden können (z.B. imBereich der Kennwortsynchronisation)Dagegen sprechen• Verteilungsaufwand• Managementaufwand• Eingriff in die entfernten Systeme• ImplementierungsaufwandKeine Glaubensfrage, sondern eine, die auf Basis der vorhandenenInfrastruktur und der Anforderungen beantwortet werden mussSeite 62© Kuppinger Cole + Partner 2004

PasswordmanagementoooPassword-Reset ist kein PasswordmanagementViele Hersteller sprechen von Passwordmanagement,obwohl sie nur einfache Mechanismen zumZurücksetzen von Kennwörtern habenKritische Punkte:• Kennwortänderungen, die über andere Mechanismenerfolgen, werden nicht erkannt• Kennwortrichtlinien müssen definiert unddurchgesetzt werden und dürfen dabei nicht mit denEinstellungen auf Zielsystemen kollidieren• Passphrase-Schnittstellen sind oft sehr umständlichSeite 63© Kuppinger Cole + Partner 2004

Kontexte statt RollenooooRollen sind komplex – ein Rollenmodell für Unternehmenaufzubauen, ist ein fast aussichtloses UnterfangenRBAC als Ansatz ist relativ theoretischViele Implementierungen (Microsoft Authorization Manager)sind noch nicht ausgereiftAber:• Es gibt Werkzeuge für die automatisierte Generierung vonRollen• Rollenmodelle können auch pragmatisch und Schritt für Schrittaufgebaut werden• Einen Kontext oder Regeln statt Rollen zu definieren, wirdirgendwann auch komplex• Entscheidend ist weniger das Modell per se als dieImplementierung und Herangehensweise im Projekt• Praktisch alle Hersteller unterstützen heute sowohl Rollen alsauch Regeln (oder andere Modelle, die eigentlich nicht wirklichanders sind)Seite 64© Kuppinger Cole + Partner 2004


Identity Management in a WebServices WorldFest gekoppeltPersistentInternLose gekoppeltDynamischExternInterneSystemeExtranetsInternetMitarbeiter Partner Kunden ?Seite 66© Kuppinger Cole + Partner 2004

Das Zusammenspiel mit PartnernAutorisierungBestellsystemUnternehmen BZugriff auf das BestellsystemInformationen zum BenutzerAuthentifizierungPortalUnternehmen ABenutzerSeite 67© Kuppinger Cole + Partner 2004

Die wichtigsten Standardso WS-*: Web Service Security, Web ServiceTrust, Web Service Federationo SAML: Security Assertion Markup Languageo SPML: Service Provisioning MarkupLanguageo XACML: eXtensible Access Control MarkupLanguageo XKMS: eXtensible Key ManagementServiceSeite 68© Kuppinger Cole + Partner 2004

WS-*oooStandards, die von IBM, Microsoft und einigenanderen Anbietern getrieben werden• WS-Security: Sichert SOAP, kann eine Fülle vonTokens verarbeiten• WS-Trust: Definition von Vertrauensstellungenzwischen Anbietern und Nutzern von Web Services• WS-Federation: Integration von Identitäten übermehrere Systeme hinwegSind nicht unbedingt konträr zu anderen Standardswie SAMLWerden sich mit Sicherheit durchsetzen, sind abergerade erst definiert und in den erstenImplementierungsstufen (Microsoft plant 2005 einevollständige Umsetzung)Seite 69© Kuppinger Cole + Partner 2004

SAMLo XML-Standard für den Austausch vonAuthentifizierungs- undAutorisierungsdaten zwischenSicherheitssystemeno Einziger derzeit etablierter Standard,wird für die Nutzung vonunternehmensübergreifenden WebServices genutztSeite 70© Kuppinger Cole + Partner 2004

SPMLo Auf SAML aufsetzender Standardo Verwendet SAML zum Austausch vonAuthentifizierungs- undAutorisierungsinformationen zwischenSystemeno SPML sorgt dann für dieProvisionierungsaktivitäten auf denangeschlossenen SystemenSeite 71© Kuppinger Cole + Partner 2004

XACMLo XML-Standard für den Austausch vonACL-Informationen zwischenverschiedenen Systemeno Kann genutzt werden, umZugriffsberechtigungen aufZielsystemen detailliert zu steuernSeite 72© Kuppinger Cole + Partner 2004

XKMSo XML-basierender Mechanismus, umAufgaben einer PKI abzuwickelno Kann genutzt werden, umbeispielsweise eine Authentifizierunggegen ein Zertifikat durchzuführenSeite 73© Kuppinger Cole + Partner 2004

Der richtige Ansatz…o …ist die Kombination aus pragmatischenLösungen für konkrete, drängendeProbleme mit einem potenziell schnellenund hohen ROI…o …mit der Entwicklung einer Gesamtsichtund Strategie für das Thema IdentityManagement…o …als Teil einer Gesamtstrategie für eine„On Demand“-ITSeite 74© Kuppinger Cole + Partner 2004

Ohne Identitätsmanagementfunktioniert die IT der Zukunft nichtooooooEine Strategie für das Identitätsmanagement und den Umgang mitdigitalen IDs ist erforderlichDiese Strategie muss von der Integration heterogener Systemestatt einer zwanghaften Homogenisierung geprägt sein – letzteresscheitert aus Kosten- und PraktibilitätsgründenEine Identitätsmanagement-Infrastruktur ist unumgänglich – mitintegrierenden Systemen, aber auch mit klaren Regeln für dieAnwendungsentwicklungIn Zeiten knapper Budgets gilt es dabei, an den richtigen Punktenzu beginnen – dort, wo der Druck und die Einsparungspotenzialeam größten sind, also z.B.• Provisioning• Password ManagementEinige Bereiche des Identitätsmanagements versprechen einenkurzfristigen ROI. Ohne Identitätsmanagement lässt sich dieKostenspirale der IT aber auf Dauer nicht beherrschen, weil dieIntegrationskosten überproportional steigen werden.Wer eine flexible IT möchte, muss den Umgang mit digitalenIdentitäten beherrschen.Seite 75© Kuppinger Cole + Partner 2004

Business Value des Identity Management - usp MarCom

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?