Blog - Artikel

Provisioning, Identity Management, Verzeichnisdienste, Metadirectories?

von (Kommentare: 0)

I. Geschäftsprozesse

Provisioning

Provisioning umfasst alle Geschäftsprozesse zur Bereitstellung von Betriebsmitteln und Informationen an Mitarbeiter. Beispiele für allgemeine Betriebsmittel sind Arbeitsplätze, Zutrittskarten für Gebäude und Räume, Besprechungsräume, Dienstwagen, Telefon. IT-Betriebsmittel sind u.a. Benutzerkonten und Berechtigungen.

Alle Betriebsmittel unterliegen üblicherweise einem Beantragungs- und Genehmigungsverfahren. Die Verfahren zum Beantragen und Genehmigen von Berechtigungen in der EDV gehören damit auch zum Provisioning. Das Provisioning sollte von den Fachabteilungen durchgeführt werden, weil dort die Anwender selbst die Geschäftsprozesse am besten kennen. Bei IT-Betriebsmitteln wird nach erfolgreicher Genehmigung dann die IT-Abteilung tätig.

Meist wird das Thema Provisioning verkürzt auf die Bereitstellung von Benutzerkonten und Berechtigungen und entspricht dann dem Identity Management.


Identity Management (auch: User Management, Access Management)

Als Identity Management werden alle Prozesse bezeichnet, die der Verwaltung von Anwendern in den verschiedenen IT-Systemen dienen.

Hier geht es z.B. darum, für jeden Mitarbeiter sämtliche Benutzerkonten (= Identität in einem System) zu verwalten, die für ihn eingerichtet wurden, und die dazugehörigen Berechtigungen. Für die Revision muss jederzeit feststellbar sein, ob die Berechtigungen den beantragten und genehmigten Berechtigungen entsprechen, oder ob nicht genehmigte Berechtigungen vorhanden sind.

Beim Ausscheiden eines Mitarbeiters aus dem Unternehmen müssen sämtliche Benutzerkonten deaktiviert bzw. gelöscht werden. Auch beim Wechsel in eine andere Abteilung ändern sich die Berechtigungen und Systemzugänge.

Beim Identity Management muss besonders beachtet werden:

  • Anwender haben üblicherweise Konten in mehreren Systemen
  • es gibt Anwender, die aus Sicherheitsgründen mehrere Konten in einem System haben (Trennung von Verantwortung; vor allem bei Administratoren oder Buchhaltern mit mehrere Buchungskreisen).

    Beim Ausscheiden eines Anwenders müssen alle Konten, egal ob in einem oder mehreren Systemen, gelöscht bzw. deaktiviert werden. Je komplexer dabei die IT-Landschaft ist, desto größer ist das Risiko, Konten zu übersehen.

  • Für Anwender, die nicht dem Unternehmen angehören (z.B. Kunden und Lieferanten), ist keine zentrale Verwaltungsstelle vorgesehen, wie sie die Personalabteilung für Mitarbeiter darstellt, so dass eine Beendigung der Tätigkeit oft nicht den IT-Administratoren mitgeteilt wird und daher Phantomkonten entstehen.
  • Bei Anwendern mit zeitlich beschränkten Zugriffen (z.B. externe Mitarbeiter, Praktikanten, Urlaubsvertretungen, Wirtschaftsprüfer) wird oft der Ablauftermin übersehen und das Konto bleibt auch nach Beendigung der Tätigkeit aktiv.

Ziel des Identity Managements ist eine zentrale Übersicht über alle Anwender und die ihnen zur Verfügung gestellten Benutzerkonten und Berechtigungen. Dabei darf jeder Anwender nur genauso viele Konten und Berechtigungen haben, wie er tatsächlich benötigt.

II. Technik

Verzeichnisdienste (engl. directory services)

Ein Verzeichnisdienst ist ein Programm, das Daten in einem hierarchischen Verzeichnis speichert. Diese Verzeichnisse wurden ursprünglich von Telefongesellschaften entwickelt und sollten als elektronische Telefon- und Adressbücher für große Unternehmen und Organisationen dienen. Die Hierarchie in diesen Verzeichnissen beginnt mit dem Land, anschließend folgt die Organisation (z.B. ein Unternehmen) und anschließend die Organisationseinheiten, bis am Ende die einzelnen Datensätze abgelegt sind (z.B. für Personen). Der genaue Aufbau eines Verzeichnisses, d.h. welche Daten gespeichert werden können, wird in einem sog. Schema definiert.

Der lesende und schreibende Zugriff auf diese Verzeichnisse erfolgte ursprünglich über den technischen Standard X.500. Da dieser Standard kompliziert, aufwendig und eine technische Implementierung wegen ihres Umfangs sehr teuer ist, hat er sich nie in der Breite durchgesetzt. Anfang der 90er Jahre wurden dann die sinnvollen Funktionen als neues Protokoll LDAP (engl. lightweight directory access protocol) definiert (für Techniker: RFC 1487, aktuell ist RFC 2251 [LDAP v3]).

Auch andere Dienste im Internet, z.B. DNS (engl. domain name service), d.h. die Ermittlung von technischen Rechneradressen über symbolische Namen wie www.parks-informatik.de, sind formal gesehen Verzeichnisse. Da sie aber nicht über LDAP, sondern über eigene Protokolle angesprochen werden, sind sie im engeren Sinne keine Verzeichnisdienste.

Metadirectories

Nach der Erfindung von LDAP und den ersten Implementierungen von Adressverzeichnissen, vor allem in Universitäten und großen Unternehmen, entdeckten auch die Hersteller von Standardsoftware die Möglichkeiten der Verwaltung von Benutzerdaten in einem Verzeichnisdienst. Novell begann mit der Auslieferung der ersten Version ihres Produkts Mitte der 90er Jahre, es folgten Microsoft (Active Directory), Oracle, Lotus Notes und SAP. Mittlerweile verwendet eigentlich jede namhafte Standardsoftware LDAP-basierte Verzeichnisse als Datengrundlage (die Datenbasis lässt sich zumindest über das LDAP-Protokoll ansprechen).

In jedem größeren Unternehmen existieren heute also verschiedene LDAP-Verzeichnisse nebeneinander, die die Daten der Systeme und Anwender beinhalten. Jetzt stellt sich die Frage, wie Anwenderdaten (Vor- und Nachname, Telefonnummer etc.) einheitlich gehalten werden, die ja in allen Systemen einzeln gepflegt werden müssen (bzw. gepflegt werden sollten, in der Praxis sieht das ganz anders aus...). Nicht zu vergessen auch alle Systeme, die ihre Daten in proprietären Speichern ablegen (z.B. bei Eigenentwicklungen).

Es bieten sich zwei Möglichkeiten an:

  1. man versucht, ein einheitliches Verzeichnis mit allen Daten zu schaffen, d.h. alle Anwendungen holen sich ihre Daten aus einem zentralen Verzeichnisdienst. Dann kann man ein Feld, z.B. den Vornamen, einmal ändern, und alle Anwendungen haben sofort den neuen Wert.
  2. man pflegt alle Daten in allen Systemen 'vor Ort' und etabliert einen übergeordneten Kopierprozess, der Daten von einem Verzeichnis in ein anderes 'schaufelt'. Das kann auch auf einzelne Felder eingeschränkt werden: die Telefonnummer aus dem Verzeichnis der Telefonanlage nehmen, Vor- und Nachname aus dem Personalverzeichnis verwenden und diese Werte dann in alle anderen Verzeichnisse kopieren. Wenn alle Kopiervorgänge erfolgreich waren, sind die Daten in allen Systemen gleich.

Lösung 1 ist theoretisch sinnvoll, in der Praxis aber unmöglich. Hauptproblem sind die proprietären Schemata der Anwendungshersteller. Leider sind die zu beachtenden Aspekte insgesamt so vielfältig, dass sie in einem gesonderten Beitrag behandelt werden müssen.

Die zweite Lösung wird als Metadirectory bezeichnet. Bestimmendes Merkmal eines Metadirectories ist also eine dezentrale Verzeichnispflege mit einem definierten Verteilungsprozess.

III. Fazit

Identity Management und User Provisioning sind Bezeichungen für Geschäftsprozesse zur systemübergreifenden Verwaltung von Benutzern und Berechtigungen.

Verzeichnisdienste und Metadirectories sind im Prinzip Datenbanken, die Informationen für diese Sicherheits-Geschäftsprozesse liefern.

(Dies ist ein Fachartikel unserer früheren Kolumne "Einwurf")

Zurück