Provisioning mit Identity Management: Das System bestimmt, wer zugreifen darf

Den Vorgang, eine Person mit allen Ressourcen auszustatten, die sie für die Arbeit benötigt, nennt man Provisioning. Darüber hinaus brauchen Mitarbeiter Zugriffsrechte auf IT-Ressourcen. Wie man mit einem Identitätsmanagement die Autorisierung unter Kontrolle behält, sagt diese Microsite.

Das System bestimmt, wer zugreifen darf

Von Peter Riedlberger im Auftrag von Oracle Deutschland

Bevor James Bond eine neue Mission antritt, bekommt er von Q alles, was er an Technikspielzeug braucht. Die „Lizenz zum Töten“ hat 007 sowieso. Den Vorgang, eine Person mit all den Ressourcen auszustatten, die sie für die Arbeit benötigt, fasst man unter dem Begriff „Provisioning“ zusammen. Wenn es gerade nicht um Agenten geht, ist das klassische Beispiel der neue Mitarbeiter, der zum Monatsersten in die Firma eintritt.

Der neue Mitarbeiter braucht einen Schreibtisch, einen Stellplatz auf dem Firmenparkplatz, eine Chipkarte für den Gebäudezugang, eine zweite Chipkarte für die Kantine usw. Vielleicht erhält er auch noch ein Laptop zugewiesen oder gar Firmenwagen und Firmenkreditkarte. Um diese Aspekte kümmert sich in der Regel die Personalabteilung.

Das ist die handfeste Ausstattung. Darüber hinaus braucht der Mitarbeiter aber auch Rechte und IT-Ressourcen, also einen Benutzernamen, ein E-Mail-Account, Zugriff auf den Verzeichnisdienst, eine Quote auf dem Fileserver und dergleichen mehr. Für all dies ist die IT-Abteilung zuständig, und nur dieser Aspekt des Provisioning soll im Weiteren interessieren.

Sicher ausstatten und abmelden

Die Aufgabe des Provisioning erscheint auf den ersten Blick nicht schwer. In Wirklichkeit steckt sie voller Tücken. Das liegt daran, dass die meisten Firmen eine mehr oder weniger uneinheitliche Infrastruktur haben. Das bedeutet, dass der Administrator den Benutzer oft in verschiedenen Systemen anlegen muss und dass dessen Daten in unterschiedlichen Identitätsspeichern hinterlegt werden müssen.

Wenn man solche Abläufe von Hand durchführen muss, können sich leicht Fehler einschleichen: Ändert sich die Infrastruktur, so müssen auch die Daten schlimmstenfalls noch einmal von Hand geändert werden. Ändert ein Benutzer sein Passwort, dann gilt das nur für einen einzigen Identitätsspeicher, und er wird nicht verstehen, warum er sich bei einem anderen System plötzlich nicht mehr anmelden kann.

So sehen die häufigsten Problemfälle aus. Weitere Beispiele gibt es in der Praxis ohne Ende.

Und das ist nur die eine Seite der Medaille. Nötig ist außerdem ein sorgfältiges Deprovisioning, das Gegenstück zum Provisioning: Verlässt ein Mitarbeiter die Firma, endet der Vertrag eines Externen oder gibt es sonst irgendeinen Grund, den Ressourcenzugang zu verändern, muss der Administrator genau darauf achten, dass er keines der aktiven Konten vergisst. Sonst bleiben sie möglicherweise dauerhaft als gefährliches Einfallstor offen. Die Fehlergefahr ist hier noch größer als bei der Rechteverteilung im Provisioning, denn ein neuer Mitarbeiter wird sich bald beschweren, wenn er keinen Zugang bekommt. Ob das ein ausgeschiedener Mitarbeiter auch tut, der immer noch zugreifen kann?

Profile, Gruppen und Rechte regeln

Die einzig praktikable Lösung für das Provisioning-Problem ist ein Identity Management (IdM). Gemeint ist damit jedes System, das Benutzer, ihre Kontodaten und ihre Rechte umfassend verwaltet. Ein leistungsfähiges Identitätsmanagement nimmt dem Administrator die gesamte Mühe beim Provisioning ab, kann aber noch mehr. Moderne Identity-Management-Lösungen sind in der Lage, weitere wichtige Aspekte aus dem Themenbereich Benutzeridentitäten abzudecken.

Weil eine leistungsfähige IT-Landschaft im Idealfall mit beweglichen Einheiten und intelligent verknüpften Modulen funktioniert, die voneinander Daten beziehen, können die meisten modernen Unternehmen erst mit Identitätsmanagement effektiv arbeiten. Mit klassischen Datenbanken kommt ein solches System ebenso zurecht wie mit ausgefeilter Serviceorientierter Architektur (SOA), wo es ohne IdM gar nicht geht.

Oracle kurz vorgestellt

Oracle Deutschland.gif

Oracle weiß gut, was „mittelständisch“ heißt. Knapp 75 % der Kunden kommen aus diesem Segment. Schließlich stellt man hier bereits seit 1977 diejenigen in den Mittelpunkt, die der Motor ihrer Märkte sind: Unternehmen aus dem Mittelstand.

Oracle ist ein Softwareanbieter, der Unternehmen erfolgreich dabei unterstützt, ihre Kommunikation zu verbessern und Prozesse intelligent zu integrieren. Als Spezialist für standardisierte Lösungen kann Oracle auf jahrzehntelange Erfahrung und die Zusammenarbeit mit starken Partnern bauen. Ausbaufähige Module oder ganze Architekturen optimieren die gesamten Abläufe, so dass auch kleine und mittlere Unternehmen im globalen Wettbewerb erfolgreich bestehen können.

Bewährte Produkte und Lösungen

  • Oracle Database: Eines der bekanntesten Produkte ist nach wie vor Oracle Database. Das Datenbanksystem hält Informationen sicher parat, liefert die Reaktionszeiten, die Kunden heute fordern, und verringert kostspielige Ausfallzeiten. Real Application Clusters sorgt für hohe Verfügbarkeit und Skalierbarkeit bei niedrigen Kosten. Die aktuelle Version Oracle Database 11g ist die erste speziell für Grid Computing konzipierte Datenbank. Gegenüber seinen Vorgängern bietet 11g ungeahnte Performance für Windows, Linux und Unix-Server. Binärdaten werden nicht nur schnell geschrieben und gelesen, sondern durch ein neues Kompressionsverfahren gleichzeitig um die Hälfte bis auf ein Drittel der Größe reduziert. Und: Oracle Database 11g macht Unternehmen fit für weiteres Wachstum. Ohne eine einzelne Zeile Codeänderung lässt sich 11g vom Einzelserver zu Grid-Computing migrieren. Oracle Database ist für große, kleine und mittelständische Unternehmen gleichermaßen geeignet – schließlich sind Verfügbarkeit und Performance bei straffen Strukturen nicht weniger wichtig.
  • Informationsmanagement und Prozessteuerung: Die Produktlinien Oracle E-Business Suite und PeopleSoft Enterprise, JD Edwards EnterpriseOne und JD Edwards World, Siebel und Hyperion sind speziell für die Bereiche Corporate Performance Management, Customer Relationship Management, Financial Management, Human Capital Management, Procurement, Project Management und Supply Chain Management ausgelegt. Unternehmen aller Art gewinnen damit eine bessere Informationsgrundlage und können entscheidende Prozesse gezielt beeinflussen.

Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.


ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de

Angenommen, ein Unternehmen hat mehrere verschiedene Verzeichnisdienste im Einsatz. Eine gute IdM-Lösung fragt sie mittels eines virtuellen Verzeichnisdiensts transparent ab und präsentiert sie als eine einzige Datenquelle. Dem Benutzer erscheint es dann so, als wäre nur ein einziger Verzeichnisdienst im Einsatz.

Zugriff und Identität
Aufgrund der umfassenden Funktionen moderner IdM-Lösungen spricht man heute oft von Identity and Access Management (IAM), weil die meisten dieser Erweiterungen die Zugriffsrechteverwaltung betreffen.

Passwortsynchronisierung ist ein weiteres wichtiges Beispiel. Diese Fähigkeit sorgt dafür, dass sich eine einzige Passwortänderung unternehmensweit auf alle Konten auswirkt. Das gilt auch dann, wenn sie in verschiedenartigen Identitätsspeichern liegen, die sonst nichts miteinander zu tun haben.

Mehr Sicherheit erreicht man heute nur mit einer so genannten Public Key Infrastructure (PKI), d.h. einem System zur Ausgabe und Verwaltungen von digitalen Zertifikaten. Eine solche PKI muss für die ganze Organisation einheitlich sein, und daher integriert man sie am besten ebenfalls ins Identity Management.

Die unmittelbaren Vorteile einer gut ausgebauten IdM-Lösung liegen in der Entlastung des Administrators und in der Beseitigung von Fehlerquellen und Sicherheitslücken, was speziell im Risikomanagement oder für Zertifizierungen immer wichtiger wird. Hier helfen die Protokoll- und Reportfunktionen ganz enorm. Nicht zu unterschätzen ist außerdem der angenehme Seiteneffekt der Kostenoptimierung, denn professionelles Provisioning läuft praktisch revisionsfrei.

Wenn man den Blickwinkel vom „neuen Mitarbeiter“ löst, rückt ein weiterer Pluspunkt in die Mitte: Ein Unternehmen, das sich zur Anschaffung neuer Software entschließt, muss nicht länger an alle Türen einzeln klopfen und Nutzerrechte austeilen. Mit IdM kommen die Anwendungen sofort und ohne weiteres Anlaufstottern zum Einsatz. Wer weiß, wie viel Zeit oft mit solchen Umstellungen vertan wird, kann den Wert einer reibungslosen Rechtevergabe leicht abschätzen.

Fazit: Identity Management behält den Überblick

Auf einen festgelegten Provisioning-Prozess können nur sehr kleine Firmen mit familiären Strukturen verzichten. Sobald ein Unternehmen aber eine bewegliche Größe erreicht hat, ist es unbedingt notwendig, dass die Zuweisung von Ressourcen und Zugriffsrechten festen Regeln folgt. Das gilt ebenso für die Wegnahme im Deprovisioning. Das kann nur mithilfe einer soliden Identitätsmanagementlösung geschehen. Sie lässt sich problemlos weiter ausbauen und kann dann zusätzliche Funktionen übernehmen, so dass sie Benutzer und ihre Zugriffsrechte zuverlässig im Griff hat.

Nützliche Links