Identity Management

Feature | 12. Februar 2009 von Bernd Hohgräfe, Leiter des Center of Competence Identity & Access Management bei Siemens Enterprise Communications in Essen 0

Moderne Identity Management-Lösungen gestalten Geschäftsprozesse flexibel, verknüpfen Mitarbeiter mit Geschäftspartnern und verwalten die Berechtigungen aller Beteiligten unternehmensweit einheitlich. Damit sind sie im geschäftlichen Alltag unverzichtbar.

Doch nach einem Firmenaufkauf oder einer größeren betrieblichen Umstrukturierung wird aus der früheren monolithischen Single-Vendor-Architektur unter Umständen eine heterogene Identity-Management-Umgebung. Mancher IT-Verantwortliche steht in dieser Situation vor der Frage: Weiterbetrieb, Migration oder Integration der verschiedenen Lösungen?

Identity Management (IdM)

Unter „Identity“ versteht man eine digitale Repräsentation einer Person mitsamt ihren Kennungen, Berechtigungen und personenbezogenen Attributen. „Identity Management“ umfasst die ganzheitliche Verwaltung dieser Identitäten über ihren kompletten Lebenszyklus (Anlage, Modifikation und Löschung). Dies beinhaltet i. d. R. auch die automatisierte Zuweisung und Anpassung von Berechtigungen sowie das Anlegen, Modifizieren und Löschen von Benutzerkonten in den mit einem Identity-Management-System verbundenen IT-Systemen. Identity Management im weiteren Sinne kann aber auch Funktionen wie Benutzer Self-Service, Genehmigungs-Workflows, Password-Rücksetzung und Audit umfassen.

Für den unveränderten Weiterbetrieb der bisherigen Lösungen spricht zunächst einmal, dass er keine Kosten verursacht und funktioniert. Allerdings wird man damit der Anforderung an die IT nicht gerecht, die Integration neuer Unternehmenseinheiten optimal zu unterstützen. Man stelle sich nur einmal vor, Mitarbeiter müssten bei der Suche nach Kollegen in einem gemeinsamen Adressverzeichnis zwei verschiedene Clients nutzen – je nachdem, in welchem Bereich oder Land ein Kollege arbeitet.

Eine einheitliche Bedienoberfläche ist hier genauso notwendig wie Schnittstellen zum Datenaustausch.

Unveränderter Weiterbetrieb oder Migration?

Nun könnte man argumentieren, dass die bestehenden Lösungen – wenn sie ohnehin schon geändert werden müssen – auch gleich auf eine gemeinsame Plattform migriert werden könnten. Diese Option liegt aber nur dann nahe, wenn es sich nur um vergleichsweise wenige Mitarbeiter und Standardfunktionalitäten handelt, die von allen Produkten erfüllt werden.

Spätestens bei einer Fusion unter Gleichen stellt sich aber die Frage, welche Hälfte der vorhandenen Lizenzen abgeschrieben und vom anderen Hersteller neu beschafft werden sollen. Die bereits getätigten Investitionen in Installation, kundenspezifische Anpassungen (Customizing) und Training wären bei dieser Lösung ebenfalls abzuschreiben.

Noch schlechter fiele die Bilanz aus, wenn man sich für keine der vorhandenen Lösungen entscheiden könnte, sondern aus politischen Gründen eine „neutrale“ Lösung eines dritten Anbieters wählen müsste. Aber auch, wenn die zu integrierende Identity-Management-Lösung nur vergleichsweise wenige Mitarbeiterdaten verwaltet, kann es Gründe gegen eine Migration geben.

So können Zielsysteme wie Enterprise Resource Planning (ERP) oder Human Resource Management (HRM) angebunden sein, die im Rest des Unternehmens nicht verwendet oder von dem dort eingesetzten Produkt nicht ohne weiteres unterstützt werden. Ein Beispiel dafür ist die Integration in eine gewachsene SAP-Landschaft.

Eigene Verfahren für Benutzer- und Rollenmanagement

Zentrale Benutzerverwaltung

Lange Zeit war die zentrale Benutzerverwaltung (ZBV bzw. engl. CUA für Central User Administration) der SAP das Mittel der Wahl für viele Kunden, die zentral aus einem SAP-System ihre Berechtigungen verwalten und vergeben wollten.

Die Anbindung von SAP-Systemen an ein Identity-Management-System kann sehr aufwändig sein, da die SAP-Welt nicht homogen ist. Mit der Technologieplattform SAP NetWeaver und der Software SAP Business Suite lassen sich zwar unternehmensübergreifende Geschäftsprozesse abbilden.

Dennoch arbeiten sowohl die Plattform als auch die Software mit eigenen Verfahren für das Benutzer- und Rollenmanagement. Zudem müssen einzelne SAP-Instanzen separat angebunden werden, wenn sie teilweise oder vollständig ohne die integrierende Zentrale Benutzerverwaltung (ZBV) von SAP arbeiten. Da die ZBV von SAP nicht weiterentwickelt wird, werden Unternehmen sowieso mittelfristig ohne ZBV planen müssen.

Falls eine der zur Verfügung stehenden Identity-Management-Lösungen spezielle Stärken bei der Anbindung von SAP-Systemen mitbringt, so ist es sinnvoll, diese Lösung als dediziertes Identity-Management-Subsystem für SAP einzusetzen. Kriterien dafür sind beispielsweise

•eine Zertifizierung durch SAP
•die Anzahl der Konnektoren zu verschiedenen SAP-Versionen und -Systemen
• bereits vorhandene Anbindungen und deren Funktionalität.

Die meisten Hersteller wie Novell, Siemens, Sun Microsystems und IBM können zwar die Benutzerverwaltung von SAP ERP, SAP ERP Human Capital Management (SAP ERP HCM) und das SAP NetWeaver Portal anbinden und Benutzer bzw. Accounts automatisiert anlegen und löschen. Nicht jede Lösung ist aber in der Lage, zusätzlich Benutzer- und Portalrollen bzw. -berechtigungen zu synchronisieren.

Identity-Management-Lösung als Subsystem

SPML

Die Service Provisioning Markup Language (SPML) ist ein auf XML basierendes Framework, das kooperierende Organisationen beim Austausch von Informationen zu Benutzern, Ressourcen und Diensten unterstützt. Mit Hilfe von SPML wird es möglich, Benutzerkonten auf beliebigen Zielsystemen wie SAP automatisiert zu erzeugen, anzupassen und zu löschen. Dieser Prozess wird als Provisionierung bezeichnet.

Ein Identity-Management-System übernimmt als Subsystem die Synchronisation der vom zentralen Identity-Management-System übergebenen Benutzer- und Berechtigungs-informationen mit den einzelnen SAP-Systemen und -Modulen. Gegenüber dem zentralen Identity-Management-System erscheinen sämtliche SAP-Systeme damit als ein einzelnes Zielsystem. Zeitgleich übernimmt das Subsystem gegenüber SAP die Detail-Synchronisation der einzelnen SAP-Systeme.

Das Subsystem kann dabei eine logische Vorverarbeitung von Benutzerdaten übernehmen. Ein Beispiel ist die Konsolidierung von Informationen zu einem Mitarbeiter, der aufgrund einer Abordnung in mehr als einem Personalsystem geführt wird.

Darüber kann das Identity-Management-Subsystem bei Bedarf auch aktuelle Identity-Management-Schnittstellen wie SPML auf klassische SAP-Schnittstellen wie BAPI/JCo umsetzen (falls noch nicht alle angebundenen Komponenten SPML bzw. Web-Services unterstützen).

SAP-Schnittstellen erforderlich

Die Anbindung an die SAP-Welt ist dabei nicht trivial: Je nach Anwendungsfall müssen Schnittstellen zum SAP-Personalwesen, zur SAP-Benutzerverwaltung (entweder direkt oder über die ZBV), zur SAP-Kundendatenverwaltung und/oder zum SAP NetWeaver Portal realisiert werden. Die SAP-Anbindung der am Markt erhältlichen Identity-Management-Lösungen ist dabei durchaus unterschiedlich stark ausgeprägt und so vielfältig, dass sie hier nicht weiter ausgeführt werden kann.

Einige Analysten und Berater haben sich inzwischen auf die Analyse und Bewertung der Ansätze verschiedener Hersteller – einschließlich SAP selbst – für das Identity Management im SAP-Umfeld spezialisiert.

Dabei betrachten sie nicht nur die reine Synchronisation von Benutzerinformationen zwischen verschiedenen IT-Systemen (auch als Meta-Directory-Funktionalität bezeichnet), sondern darüber hinaus auch das übergeordnete, anwendungsbezogene Management von Benutzerkonten, Rollen, Zugriffsrechten sowie die Anforderungen an Governance, Risk und Compliance Management (GRC).

Multi-Vendor-Architektur als ein Ausweg

Die Entscheidung für eine Multi-Vendor-Architektur, bei der Identity-Management-Produkte verschiedener Hersteller eingesetzt werden, erweist sich damit nicht selten als der Königsweg. Nach der Integration auf technischer Ebene sollte man allerdings auch daran gehen, die konzeptionellen Ansätze ebenfalls zu harmonisieren. Diese können dabei nicht über Nacht vereinheitlicht werden, denn Identity-Management ist ein fortwährender Unternehmensprozess.

Dieser Prozess bedarf durch steigende Anforderungen („Rollenmanagement“), gesetzliche Rahmenbedingungen („Compliance“) und technologische Entwicklungen („SOA“) einer ständigen Veränderung auf Basis einer sauberen, anforderungsgerechten Release-Planung. Hier sollte dann auch die Integration und Weiterentwicklung des Multi-Vendor-Identity-Managements aufgenommen werden. Dadurch kann ein Großteil möglicher Schwierigkeiten bereits im Vorfeld ausgeräumt werden.

Ein „integrierter Parallelbetrieb“ setzt immer eine Aufgabenteilung zwischen den gekoppelten Systemen voraus. Diese Aufgabenteilung kann durch regionale Strukturen, die Art und Anzahl der angebundenen Systeme, bestimmte Nutzergruppen, bereitgestellte Funktionen oder andere Faktoren bestimmt sein. Normalerweise wird man aber eine Aufgabenteilung mit mehr funktionaler Gliederung anstreben, um den vollen Nutzen aus den spezifischen Stärken der jeweiligen Identity-Management-Systeme zu ziehen.

SAP NetWeaver Identity Management

Die Softwarekomponente SAP NetWeaver Identity Management ermöglicht die zentrale Verwaltung und Bereitstellung von User- und Rolleninformationen in heterogenen IT-Umgebungen – unabhängig davon, ob die Anwendungen von SAP stammen oder nicht. Unternehmen können mit ihr den Zugang ihrer Nutzer zu kritischen Online-Anwendungen und Ressourcen erleichtern und kontrollieren.

SAP NetWeaver Identity Management schützt vertrauliche Personal- und Geschäftsdaten vor unbefugten Benutzern und reduziert Aufwand und Kosten für die Verwaltung von Zugriffsrechten und Kennwörtern.
Mehr Informationen zu SAP NetWeaver Identity Management

Tags: ,

Leave a Reply