Identitäten ohne Grenzen

Feature | 28. November 2007 von admin 0

Das unternehmensweite Management von Benutzeridentitäten gewährleistet, dass Anwender über Attribute eindeutig beschrieben werden und auf alle für die Ausübung ihrer Rolle notwendigen Software-Applikationen zugreifen können. Diese Aufgabe geht weit über die offenkundige Notwendigkeit hinaus, neue Benutzerkonten anzulegen. Kommt ein neuer Mitarbeiter ins Unternehmen, erhält er im zentralen Personalwirtschaftssystem eine Identität mit bestimmten Attributen, wie Name, Vorname oder E-Mail-Adresse. Dann wird die Identität über die Provisionierung auch in allen Geschäftsanwendungen bereitgestellt, auf die der Mitarbeiter entsprechend seiner organisatorischen Rolle und fachlichen Aufgaben zugreifen soll. Anschließend gilt es, über den gesamten Lebenszyklus der Benutzeridentität jede Änderung der Identitätsdaten in allen betroffenen Systemen vorzunehmen, bis der Mitarbeiter das Unternehmen verlässt und sein Account gelöscht wird.
Die Aufgabe, für einen Anwender Identitäten in verschiedenen Software-Systemen bereitzustellen, wird umso anspruchsvoller, je heterogener die IT-Landschaft ist. Um Identitätsdaten in Anwendungen verschiedener Hersteller zu provisionieren, sind technologiespezifische Schnittstellen nötig – die allerdings noch mehr Komplexität in die IT bringen und Aufwand für Entwicklung und Pflege verursachen.
Eine andere Herausforderung ist die Provisionierung von Identitäten über Unternehmensgrenzen hinweg, die im Rahmen von Business-to-Business-Kooperationen stetig an Bedeutung gewinnt. Wenn etwa ein Einkäufer auf das Portal eines Lieferanten zugreifen möchte, um den Status einer Lieferung zu überprüfen, benötigt er hierfür eine Identität und damit verbundene Berechtigungen im fremden IT-System. Aber was schon unternehmensintern nicht effektiv war, ist auch unternehmensübergreifend nicht sinnvoll – nämlich für die Provisionierung jeden Geschäftspartner mit spezifischen Schnittstellen anzubinden.

Komplexität verringern

Um hier die Komplexität zu reduzieren, sind Standards ein probates Mittel. Für die Bereitstellung von Anwenderidentitäten müssen die notwendigen Provisionierungsoperationen und lediglich eine entsprechende Schnittstelle definiert werden. Dies leistet seit 2003 die Service Provisioning Markup Language (SPML): SPML beschreibt und standardisiert typische Provisionierungsoperationen wie Add (Hinzufügen), Modify (Verändern), Delete (Löschen) und Search (Suchen). Als offener OASIS-Standard setzt SPML auf etablierte Web-Service-Technologie, denn die für die verschiedenen Operationen notwendigen Nachrichten werden in XML geschrieben. Als Transportprotokoll dient HTTP, als Anwendungsprotokoll SOAP – beide ebenfalls Web-Service-konform. SPML spezifiziert lediglich das Format und die Bedeutung der Provisionierungsoperationen im Nutzdatenfeld der SOAP-Nachrichten, dem SOAP Body. Außerdem legt der Standard fest, dass jede Provisionierungsoperation aus genau einer Request- und einer zugehörigen Response-Nachricht besteht.
In einem SPML-Provisionierungsszenario sendet beispielsweise ein Personalwirtschaftssystem als auslösende Instanz einen Add-Request, um eine neue Benutzeridentität hinzuzufügen. Die Anfrage wird von einem Zielsystem, dem so genannten Provisioning Service Provider (PSP), angenommen und verarbeitet. Der PSP sorgt dafür, dass in allen betroffenen Backend-Systemen eine den Angaben im SPML-Request entsprechende neue Identität angelegt wird. Deren Attribute wie Name, Titel oder E-Mail-Adresse des Anwenders sowie einmalige Identifizierungsmerkmale wie die User-ID werden in Datenbanken oder LDAP-Verzeichnissen gespeichert. Mit der anschließenden Response gibt der PSP dem Personalwirtschaftssystem Auskunft, ob der Request erfolgreich verarbeitet wurde oder nicht – eine mögliche Fehlermeldung wäre, dass das Kennwort gegen eine bestimmte Sicherheitsregel verstößt.

Attribute abfragen

Der SPML-Standard legt nicht fest, welche Attribute zu einer Identität gehören. Aus gutem Grund: In der Vergangenheit waren Versuche, ein herstellerübergreifendes Identitätsmodell mit bestimmten Attributen zu standardisieren, nicht erfolgreich. Aber SPML bietet die Möglichkeit, über einen so genannten Schema Request auf standardisierte Weise beim PSP abzufragen, wie eine Identität beim jeweiligen System auszusehen hat. Als Response liefert der PSP ein Identitätsschema mit allen notwendigen und optionalen Attributen. Damit lassen sich nachfolgende Provisionierungsanfragen so gestalten, dass sie den Anforderungen des PSP und den dort verwalteten Identitätsspeichern in den Backend-Systemen entsprechen.
Im Hinblick auf die netzwerkweite Provisionierung von Identitäten ist der SPML-Standard für SAP eine strategisch bedeutsame Technologie. Deshalb unterstützt die Plattform SAP NetWeaver die Version 1.0 von SPML. Ein SPML-Provisionierungsszenario kann auf zwei Arten abgewickelt werden, je nachdem, wie die Benutzerverwaltung organisiert ist. Zum einen wird die User Management Engine (UME) im Java-Stack des SAP NetWeaver Application Server (AS) über einen SPML-Service in die Lage versetzt, SPML-Requests auch von verteilten Geschäftsanwendungen im Netzwerk zu verarbeiten. Dabei übernimmt die standardisierte SPML-Schnittstelle die Rolle des PSP: Sie nimmt die SPML-Anfrage in Empfang und verarbeitet sie, so dass der Request über das SAP-spezifische Application Programming Interface an die UME weitergeleitet werden kann. Die Java-basierte Komponente zur Benutzerverwaltung legt dann entsprechend ihrer Konfiguration zur Datenhaltung die Identitätsdaten in einer AS ABAP Datenbank, einer AS Java Datenbank oder einem LDAP-Verzeichnis ab.
Als zweite Möglichkeit stellt auch die Komponente SAP NetWeaver Identity Management eine SPML-Schnittstelle zur Verfügung – neben umfangreichen Zusatzfunktionen für die Definition von Benutzerrollen, für zentralisiertes Reporting oder integrierte Zustimmungsprozesse beim Erstellen neuer Identitäten. Gegenüber dem AS Java bietet SAP NetWeaver Identity Management bei der Provisionierung den Vorteil, dass eine größere Bandbreite von Backend-Systemen abgedeckt wird. Die Komponente wirkt als „Übersetzer“, der den SPML-Request verarbeitet und die Identitätsdaten über andere Protokolle in unterschiedlichen Backends bereitstellt – nicht nur in SAP-Systemen, sondern etwa auch in einem Microsoft Active Directory. Diese Fähigkeit und damit SAP NetWeaver Identity Management gewinnt mit zunehmender Komplexität und Größe einer IT-Landschaft an Bedeutung.
Egal, ob ein Unternehmen SAP NetWeaver Identity Management als vollwertiges Werkzeug für unternehmensweites Identitätsmanagement oder lediglich die UME zur Benutzerverwaltung einsetzt: Der Vorteil des SPML-Standards liegt in beiden Fällen darin, dass Provisionierungsanfragen von verteilten Anwendungen und Nicht-SAP-Systemen ohne spezifische Schnittstellen in SAP NetWeaver verarbeitet werden.

Produktivität und Sicherheit

Generell ermöglicht der SPML-Standard, die Bereitstellung und Modifizierung von Identitäten weitgehend zu automatisieren. Administratoren müssen nicht mehr per E-Mail benachrichtigt werden, damit sie anschließend manuell eine Identität anlegen oder verändern. Mit SPML kann eine Anwendung automatisch das benötigte Schema der Identität abfragen, der entsprechend strukturierte Request wird dann automatisch vom PSP verarbeitet und sorgt für die Provisionierung der Identitätsdaten in den gewünschten Backend-Systemen. Dem Administrator bleibt lediglich noch die Prüfung der Aktivitäten.
Wenn verschiedene Unternehmen als Partner eine Provisionierung mit SPML unterstützen, ermöglicht der Standard auch komplexere Szenarien wie das unternehmensübergreifende Single-Sign-On, um die Produktivität der Anwender zu steigern. Wenn sich etwa ein Einkäufer mit dem Login ins System des eigenen Unternehmens gleichzeitig auch noch im Portal eines Lieferanten anmelden möchte, zu dessen Nutzung er autorisiert ist, lässt sich dieses Szenario mit SPML umsetzen. Bei jeder Anmeldung im eigenen Portal wird automatisch ein Search-Request in SPML an das Lieferantenportal geschickt, um zu prüfen, ob auch dort eine gültige Benutzeridentität vorliegt. Falls nicht, wird die Identität anschließend über einen Add-Request gemäß dem Schema des Lieferanten angelegt. Wurde die Identität schon zuvor bereitgestellt, kann sich der Einkäufer sofort über Single-Sign-On anmelden. Dieses „Just-in-Time-Provisioning“ ist ein voll automatisierter Prozess und spart Zeit und Aufwand bei IT-Administratoren – der Ablauf muss lediglich im Vorfeld von beiden Unternehmen vereinbart werden.
Die Automatisierung administrativer Routineaufgaben mit SPML geht in der Regel mit einer Protokollierung der Aktivitäten in den Audit-Logs der betroffenen Systeme einher. Dadurch steigt gegenüber manuellen Abläufen die Nachvollziehbarkeit der Operationen – eine wichtige Voraussetzung zur Einhaltung gesetzlicher Auflagen im Unternehmen. In diesem Zusammenhang ist SPML auch im Hinblick auf das so genannte Deprovisioning von Identitäten von Bedeutung, bei dem Benutzerkonten zum Beispiel beim Austritt eines Mitarbeiters oder einem Wechsel in eine andere Rolle zeitnah gelöscht oder deaktiviert werden. Ungenutzte Benutzerkonten sind oft ideale Wegbereiter für erfolgreiche Angriffe aus dem internen oder externen Netzwerk und können durch eine zentrale Verwaltung und Automatisierung der Provisionierungsprozesse mit SPML vermieden werden.

Buchtipp:

SAP PRESS:
Programmierhandbuch SAP NetWeaver Sicherheit

Leave a Reply