In den mehr als zehn Jahren, seit das Thema Identitätsmanagement das erste Mal aufgetaucht ist - zu Beginn noch in Form von Meta-Directories - , hat sich die Technologie rasant weiterentwickelt. Inzwischen befinden wir uns in der dritten Generation und zwei weitere Generationen zeichnen sich schon am Horizont ab. Den Anfang machte die einfache Zugangskontrolle zu Systemen und Ressourcen. In einem zweiten Schritt wurden die Technologien zur Zugriffsüberwachung ausgefeilter, seitdem kommen Multifaktor-Authentifizierung, Biometrie und Meta-Verzeichnisdienste zum Einsatz. Statt lediglich Zugriff einzuräumen, beziehungsweise zu verweigern, ging es schnell um das Management von Verzeichnisdiensten und um Metaverzeichnisdienste, die eine Vielzahl an Systemen synchronisieren. In der aktuellen dritten Phase stehen Rollen und Rechte im Vordergrund sowie Genehmigungsprozesse und deren Dokumentation. Jeder kann so nur gemäß seiner Rolle auf Unterlagen und Systeme zugreifen. Die Sicherheitsrisiken, die Unternehmen aus eigenen Reihen drohen, werden dadurch minimiert. Seit dieser Generation verschiebt sich der ursprüngliche Fokus bereits auf die Anwendungen, aber es geht nach wie vor um Authentifizierung und Autorisierung. Im Kern wird das auch so bleiben. Nur die Herausforderungen, die damit gelöst werden, ändern sich in der nahen Zukunft.
Die vierte Generation wird zeigen, dass Identitätsmanagement-Systeme die besten Depots für Informationen über ihre Nutzer sind. Mit diesen Informationen lässt sich weitaus mehr machen, als lediglich Nutzer verwalten und in Gruppen einteilen. Compliance Systeme können zum Beispiel Identitäten nutzen, um Richtlinien einzuhalten und webbasierte Anwendungen können unter Verwendung der Identitäts-Informationen personalisierte Dienste anbieten. Dabei gilt: Je mehr Informationen die Anwendungen über ihre Nutzer haben, desto besser können sie personalisiert zur Verfügung stehen. Durch Identitätsmanagement als Service-basiertes Modell können Anwendungen leichter Informationen über Identitäten verwenden. Gleichzeitig werden die Administration und der Zusammenschluss von Identitäten (Federation) vereinfacht und so Identitätsmanagement schneller, besser und kostengünstiger.
Paradigmenwechsel in der vierten und fünften Generation
In dieser Generation, die sich schon mehr und mehr durchsetzt, wird es also einen Paradigmenwechsel geben, weg vom Fokus auf Authentifizierung hin zu einem Fokus auf verschiedene Services, die Identitätsmanagement-Systeme den Anwendungen über eine konsistente Oberfläche zur Verfügung stellen. Das heißt, es wird weniger um die Technologie gehen, die Zugriffe, Zugänge und Zutritte regelt, sondern viel mehr darum, was mit den Identitäten gemacht werden kann. Dieser Paradigmenwechsel wird sich in der dann folgenden fünften Generation noch stärker herausbilden. Im Modell der Zukunft wird es verschiedenste Nutzer von Identäten geben. Jeder dieser “Kunden” ist dabei beispielsweise eine andere Anwendung mit anderen Anforderungen an die Personalisierung. Identitäten müssen auf vielfache Arten definiert werden, je nach Datenbank und Quelle. Identitätsmanagement rückt damit technologisch sehr nah an das Konzept der Service-orientierten Architektur (SOA) und inhaltlich an die Ideen von Business Intelligence heran.
Einige der Daten-Quellen sind vielleicht vom Unternehmen selbst definiert, nach den Zugriffsregelungen im Unternehmen. Andere sind eigene Definitionen der Nutzer, zum Beispiel bei der Verwendung einer Internetbasierten Dienstleistung. Diese Veränderung hat es in sich: Es wird nicht mehr um Inselsysteme zur Aufbewahrung von Identitäten gehen, sondern darum, Quellen und Eigenschaften von Identitäten auf schlüssige Art und Weise zusammenzuführen und den verschiedenen Konsumenten zur Verfügung zu stellen.
Praxisbeispiel
Herr Müller ist im Meta-Verzeichnisdienst seines Unternehmens als Abteilungsleiter gelistet, das heißt, er kann in allen angebundenen Systemen zum Beispiel auf die Personal-Daten seiner Mitarbeiter, nicht aber auf die seiner Vorgesetzten zugreifen. Er nutzt außerdem eine webbasierte Anwendung, um seine Geschäftsreisen zu buchen und das Intranet, um sein Passwort zu ändern, wenn er es nach dem Urlaub wieder einmal vergessen haben sollte. Identitätsmanagement der ersten, zweiten und dritten Generation verschafft ihm Zugriff zu all diesen Systeme oder blockiert neugierige Blicke in Systeme, die ihn nichts angehen. Die Reiseplanungs-Anwendung im Internet begrüßt ihn mit “Hallo Herr Müller” und zeigt ihm seine bisherigen Reisepläne auf. Mit der vierten und fünften Generation von Identitätsmanagement ist das alles natürlich nach wie vor möglich, aber zudem kennt die Anwendung die Reisekostenrichtlinien des Unternehmens und bietet Herrn Müller für seine anstehende Dienstreise nach Berlin die günstigsten Verbindungen per Bahn an, wenn auf dieser Strecke Flugreisen weder preiswerter noch schneller zu haben sind. Die Möglichkeiten sind quasi unbegrenzt.
Feinschliff durch Open Source Projekte
Den letzten Schliff werden allerdings nicht einzelne Hersteller alleine anlegen können. Gute Ansätze für die Erweiterung der Modelle bilden Open Source Projekte wie das Bandit Projekt (www.banditproject.org). Im Rahmen dieses Projekts wird ein freies Framework für Identitätsmanagement-Systeme geschaffen. Teil der Entwicklungsarbeit sind diverse Komponenten, auf deren Basis sich Anwendungen und Dienste entwickeln lassen, die auf eine Reihe von Identitätsquellen und Authentifizierungsmethoden zurückgreifen können.
Ein weiterer Baustein des Bandit-Projektes ist Common Identity, eine Implementierung des Higgins-Frameworks, das Anwendern und Unternehmen einen plattformübergreifenden Zugriff auf Anmeldungsdaten und Profile gestatten soll. Im Unterschied zu herkömmlichen Ansätzen, bei denen die Daten auf zentralen Servern von Unternehmen und Anbietern verwaltet werden, ist das Identitätsmanagement beim Higgins-Model anwenderzentriert. Nutzer sollen dabei selbst enstscheiden, welchen Webseiten sie welche persönlichen Informationen zur Verfügung stellen.
Identitätsmanagement-Systeme müssen sich zu Dienstleistungen wandeln und so Daten aus ganz verschiedenen Quellen zusammenführen, harmonisieren und die richtigen Ableitungen vornehmen, so dass diese den Anwendungen zur Verfügung stehen. Die Anwender fordern es so und die Technologie ist ebenfalls fast reif dafür.
Die vierte Generation wird zeigen, dass Identitätsmanagement-Systeme die besten Depots für Informationen über ihre Nutzer sind. Mit diesen Informationen lässt sich weitaus mehr machen, als lediglich Nutzer verwalten und in Gruppen einteilen. Compliance Systeme können zum Beispiel Identitäten nutzen, um Richtlinien einzuhalten und webbasierte Anwendungen können unter Verwendung der Identitäts-Informationen personalisierte Dienste anbieten. Dabei gilt: Je mehr Informationen die Anwendungen über ihre Nutzer haben, desto besser können sie personalisiert zur Verfügung stehen. Durch Identitätsmanagement als Service-basiertes Modell können Anwendungen leichter Informationen über Identitäten verwenden. Gleichzeitig werden die Administration und der Zusammenschluss von Identitäten (Federation) vereinfacht und so Identitätsmanagement schneller, besser und kostengünstiger.
Paradigmenwechsel in der vierten und fünften Generation
In dieser Generation, die sich schon mehr und mehr durchsetzt, wird es also einen Paradigmenwechsel geben, weg vom Fokus auf Authentifizierung hin zu einem Fokus auf verschiedene Services, die Identitätsmanagement-Systeme den Anwendungen über eine konsistente Oberfläche zur Verfügung stellen. Das heißt, es wird weniger um die Technologie gehen, die Zugriffe, Zugänge und Zutritte regelt, sondern viel mehr darum, was mit den Identitäten gemacht werden kann. Dieser Paradigmenwechsel wird sich in der dann folgenden fünften Generation noch stärker herausbilden. Im Modell der Zukunft wird es verschiedenste Nutzer von Identäten geben. Jeder dieser “Kunden” ist dabei beispielsweise eine andere Anwendung mit anderen Anforderungen an die Personalisierung. Identitäten müssen auf vielfache Arten definiert werden, je nach Datenbank und Quelle. Identitätsmanagement rückt damit technologisch sehr nah an das Konzept der Service-orientierten Architektur (SOA) und inhaltlich an die Ideen von Business Intelligence heran.
Einige der Daten-Quellen sind vielleicht vom Unternehmen selbst definiert, nach den Zugriffsregelungen im Unternehmen. Andere sind eigene Definitionen der Nutzer, zum Beispiel bei der Verwendung einer Internetbasierten Dienstleistung. Diese Veränderung hat es in sich: Es wird nicht mehr um Inselsysteme zur Aufbewahrung von Identitäten gehen, sondern darum, Quellen und Eigenschaften von Identitäten auf schlüssige Art und Weise zusammenzuführen und den verschiedenen Konsumenten zur Verfügung zu stellen.
Praxisbeispiel
Herr Müller ist im Meta-Verzeichnisdienst seines Unternehmens als Abteilungsleiter gelistet, das heißt, er kann in allen angebundenen Systemen zum Beispiel auf die Personal-Daten seiner Mitarbeiter, nicht aber auf die seiner Vorgesetzten zugreifen. Er nutzt außerdem eine webbasierte Anwendung, um seine Geschäftsreisen zu buchen und das Intranet, um sein Passwort zu ändern, wenn er es nach dem Urlaub wieder einmal vergessen haben sollte. Identitätsmanagement der ersten, zweiten und dritten Generation verschafft ihm Zugriff zu all diesen Systeme oder blockiert neugierige Blicke in Systeme, die ihn nichts angehen. Die Reiseplanungs-Anwendung im Internet begrüßt ihn mit “Hallo Herr Müller” und zeigt ihm seine bisherigen Reisepläne auf. Mit der vierten und fünften Generation von Identitätsmanagement ist das alles natürlich nach wie vor möglich, aber zudem kennt die Anwendung die Reisekostenrichtlinien des Unternehmens und bietet Herrn Müller für seine anstehende Dienstreise nach Berlin die günstigsten Verbindungen per Bahn an, wenn auf dieser Strecke Flugreisen weder preiswerter noch schneller zu haben sind. Die Möglichkeiten sind quasi unbegrenzt.
Feinschliff durch Open Source Projekte
Den letzten Schliff werden allerdings nicht einzelne Hersteller alleine anlegen können. Gute Ansätze für die Erweiterung der Modelle bilden Open Source Projekte wie das Bandit Projekt (www.banditproject.org). Im Rahmen dieses Projekts wird ein freies Framework für Identitätsmanagement-Systeme geschaffen. Teil der Entwicklungsarbeit sind diverse Komponenten, auf deren Basis sich Anwendungen und Dienste entwickeln lassen, die auf eine Reihe von Identitätsquellen und Authentifizierungsmethoden zurückgreifen können.
Ein weiterer Baustein des Bandit-Projektes ist Common Identity, eine Implementierung des Higgins-Frameworks, das Anwendern und Unternehmen einen plattformübergreifenden Zugriff auf Anmeldungsdaten und Profile gestatten soll. Im Unterschied zu herkömmlichen Ansätzen, bei denen die Daten auf zentralen Servern von Unternehmen und Anbietern verwaltet werden, ist das Identitätsmanagement beim Higgins-Model anwenderzentriert. Nutzer sollen dabei selbst enstscheiden, welchen Webseiten sie welche persönlichen Informationen zur Verfügung stellen.
Identitätsmanagement-Systeme müssen sich zu Dienstleistungen wandeln und so Daten aus ganz verschiedenen Quellen zusammenführen, harmonisieren und die richtigen Ableitungen vornehmen, so dass diese den Anwendungen zur Verfügung stehen. Die Anwender fordern es so und die Technologie ist ebenfalls fast reif dafür.
