Grundlegende Konzepte

  • Artikel

Kapitel 2: Terminologie und Initiativen

Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006

Identitäts- und Zugriffsverwaltung verbindet Prozesse, Technologien und Richtlinien zur Verwaltung digitaler Identitäten und legt fest, wie diese für den Zugriff auf Ressourcen eingesetzt werden.

Initiativen zur Identitäts- und Zugriffsverwaltung sind tendenziell komplexer als die meisten anderen IT-Projekte, allein schon aufgrund der Anzahl und Verschiedenartigkeit der Identitätsspeicher, Protokolle, Verschlüsselungsmechanismen, Richtlinien und Leitungsorgane, die zusammenarbeiten müssen. Eine umfassende Strategie kann den Aufwand zur Verwaltung digitaler Identitäten in einem großen Netzwerk erheblich reduzieren, indem sie Standards implementiert, die Anzahl der Identitätsspeicher senkt, Vertrauen aufbaut, die Benutzeranmeldung verbessert und gleichzeitig die Sicherheit erhöht.

Eine organisatorische Struktur für Identitäts- und Zugriffsverwaltung muss fundierte Antworten auf folgende Fragen liefern:

  • Welche Vorteile sollten Initiativen zur Identitäts- und Zugriffsverwaltung bieten?

  • Welche Herausforderungen muss jede Initiative meistern?

  • Welche spezifischen organisatorischen Faktoren müssen angesprochen werden?

  • Welche geschäftlichen und technologischen Projekte und Lösungen sind zur Unterstützung jeder Initiative erforderlich?

Ihr Unternehmen muss eine klare Vorstellung von den spezifischen Vorteilen haben, die Initiativen zur verbesserten Identitäts- und Zugriffsverwaltung mit sich bringen sollten. Ohne diese Leitidee wird das Ergebnis keine konkreten Verbesserungen erzielen und das System vermutlich noch komplexer und schwerfälliger machen.

Wenn Sie die potenziellen Vorteile beurteilen, müssen Sie auch die Herausforderungen berücksichtigen, die in der Implementierung einer speziellen Technologielösung liegen. Zwischen den erwarteten Vorteilen und der Größe und Komplexität einer jeden Lösung sollte ein gesundes Gleichgewicht herrschen.

Auf dieser Seite

Terminologie für die Identitäts- und Zugriffsverwaltung
Geschäftsanforderungen
Initiativen in einer Strategie für die Identitäts- und Zugriffsverwaltung

Terminologie für die Identitäts- und Zugriffsverwaltung

Die folgenden Begriffe beschreiben Komponenten oder Prozesse der Identitäts- und Zugriffsverwaltung. In den übrigen Artikeln dieser Reihe werden diese Begriffe verwendet und näher erläutert.

  • Digitale Identität. Der eindeutige Bezeichner und die beschreibenden Attribute für eine Person, Gruppe, ein Gerät oder einen Service. Zu den Beispielen für digitale Identitäten gehören Benutzer- oder Computerkonten in Active Directory, E-Mail-Konten in Microsoft Exchange Server 2003, Benutzereinträge in einer Datenbanktabelle und Anmeldeinformationen für eine benutzerdefinierte Anwendung.

  • Anmeldedaten. Im Allgemeinen sind dies Informationen, die sich auf ein Geheimnis einer digitalen Identität beziehen oder davon abgeleitet sind. Geheimnisse sind allerdings nicht in allen Fällen enthalten. Zu den Beispielen für Anmeldedaten gehören Kennwörter, X.509-Zertifikate und biometrische Informationen.

  • Sicherheitsprinzipal. Eine digitale Identität mit mindestens einem Satz Anmeldedaten, die für die Interaktion mit dem Netzwerk authentifiziert und autorisiert werden kann.

  • Identitätsspeicher. Ein Repository, das digitale Identitäten enthält. Identitätsspeicher liegen üblicherweise in der Form von Verzeichnissen oder Datenbanken vor, deren Verwaltung und Zugriff über einen Anbieter wie Active Directory oder Microsoft SQL Server erfolgt. Identitätsspeicher können zentral, zum Beispiel auf einem Mainframe-Computer, oder dezentral geführt werden. Active Directory ist ein Beispiel für einen dezentralen Identitätsspeicher. Identitätsspeicher verfügen in der Regel über gut definierte Schemata für die Art und Weise, wie Informationen gespeichert und in welchem Format sie aufgezeichnet werden können. Sie beinhalten normalerweise eine Art Verschlüsselungs- oder Hash-Algorithmus zum Schutz des Speichers und der Komponenten der digitalen Identität, beispielsweise der Anmeldedaten. Ältere und benutzerdefinierte Identitätsspeicher verfügen ggf. nicht über solch strikte Sicherheitsmechanismen und speichern die Kennwörter möglicherweise im Klartext (ohne Verschlüsselung).

  • Identitätssynchronisierung. Bezeichnet den Prozess, der sicherstellt, dass die Daten in mehreren Identitätsspeichern für eine gegebene digitale Identität konsistent bleiben. Dies kann durch Programmiermethoden wie Skripte oder ein dediziertes Produkt wie MIIS 2003 SP1 erreicht werden.

  • Identitätsintegrationsdienst. Dies sind Dienste, die Identitätsinformationen über mehrere, miteinander verbundene Identitätsspeicher hinweg aggregieren, synchronisieren und eine zentrale Bereitstellung sowie Aufhebung von Identitätsinformationen sicherstellen. MIIS 2003 SP1 und Identity Integration Feature Pack 1a (IIFP) für Active Directory bieten Dienste zur Identitätsintegration.

  • Bereitstellung. Bezeichnet den Prozess, bei dem Identitäten in einen Identitätsspeicher eingefügt und erste Anmeldedaten sowie Berechtigungen dafür eingerichtet werden. Die Aufhebung von Identitätsinformationen hat die entgegengesetzte Wirkung und führt zum Löschen oder Deaktivieren einer Identität. Bereitstellung und Aufhebung arbeiten im Normalfall mit Identitätsintegrationsdiensten zusammen, um Hinzufügungen, Löschungen und Deaktivierungen an verbundene Identitätsspeicher weiterzuleiten.

  • Verwaltung von Identitätslebenszyklen. Bezeichnet die Prozesse und Technologien, mit denen digitale Identitäten auf dem neuesten Stand gehalten werden und deren Einhaltung der geltenden Richtlinien sichergestellt wird. Die Verwaltung von Identitätslebenszyklen umfasst Synchronisierung, Bereitstellung, Aufhebung und die laufende Verwaltung von Benutzerattributen, Anmeldeinformationen und Berechtigungen.

  • Authentifizierung. Bezeichnet den Prozess, mit dem die Anmeldeinformationen eines Sicherheitsprinzipals anhand von Werten in einem Identitätsspeicher überprüft werden. Authentifizierungsprotokolle wie Kerberos Version 5, Secure Sockets Layer (SSL), NTLM und Digestauthentifizierung schützen den Authentifizierungsprozess und verhindern das Abfangen von Anmeldedaten.

  • Berechtigung. Bezeichnet eine Reihe von Attributen, die die Zugriffsrechte und Berechtigungen eines authentifizierten Sicherheitsprinzipals festlegen. Die Sicherheitsgruppen und Zugriffsrechte von Windows sind Beispiele für Berechtigungen.

  • Autorisierung Bezeichnet den Prozess, bei dem die Berechtigungen eines Benutzers anhand der auf einer Ressource konfigurierten Berechtigungen verifiziert werden, um den Zugriff zu steuern und zu kontrollieren. Die Autorisierung im Windows-Betriebssystem umfasst Zugriffssteuerlisten (Access Control Lists, ACLs) für Dateien, Ordner, Freigaben und Verzeichnisobjekte. Anwendungen wie SQL Server, SharePoint® Portal Server und Exchange Server implementieren Zugriffssteuermechanismen auf den von ihnen verwalteten Ressourcen. Anwendungsentwickler implementieren rollenbasierte Zugriffssteuerung mithilfe des Windows-Autorisierungs-Managers oder der ASP.NET-Rollen.

  • Vertrauen. Ein Zustand, der die Vereinbarungen zwischen verschiedenen Parteien und Systemen zur gemeinsamen Nutzung von Identitätsinformationen beschreibt. Vertrauen dient normalerweise dazu, den Zugriff auf Ressourcen in kontrollierter Weise zu erweitern und dabei den administrativen Aufwand zu eliminieren, der andernfalls für die Verwaltung der Sicherheitsprinzipale der anderen Partei entstehen würde. Vertrauensmechanismen beinhalten die Gesamtstruktur abdeckende Mechanismen in Windows Server 2003 und zwischen Bereichen wirkende Mechanismen auf der Grundlage des Authentifizierungsprotokolls von Kerberos Version 5.

  • Verbund Bezeichnet eine besondere Art der Vertrauensbeziehung zwischen verschiedenen Organisationen, die über interne Netzwerkgrenzen hinausreicht.

  • Sicherheitsüberprüfung. Ein Prozess, der bedeutende Authentifizierungs- und Autorisierungsereignisse und Änderungen an Identitätsobjekten protokolliert und zusammenfasst. Verschiedene Unternehmen definieren bedeutende Ereignisse in unterschiedlicher Weise. Datensätze zur Sicherheitsüberprüfung können im Windows-Sicherheitsereignisprotokoll aufgezeichnet werden.

  • Zugriffsverwaltung. Bezeichnet die Prozesse und Technologien, die zur Steuerung und Überwachung des Zugriffs auf Ressourcen gemäß geltenden Richtlinien erforderlich sind. Zugriffsverwaltung umfasst Authentifizierung, Autorisierung, Vertrauen und Sicherheitsüberprüfung.

Geschäftsanforderungen

Jüngste Entwicklungen im Bereich der verteilten Datenverarbeitung, insbesondere über das Internet, haben zu einer Verbreitung von Anwendungen und anderen Mechanismen für den Zugriff auf Informationen in einem typischen Unternehmen geführt. Gleichzeitig wollen Unternehmen ihren Mitarbeitern, Partnern und Kunden einen sicheren Zugriff auf wichtige Informationen bieten und dabei ihr Wachstum fortschreiben, Zugriffskosten reduzieren, die Sicherheit erhöhen und gesetzliche Anforderungen erfüllen.

Ein sicherer Zugriff auf wichtige Informationen muss auch in IT-Umgebungen mit wachsender Komplexität gewährleistet bleiben. Benutzerdefinierte Anwendungen oder Anwendungspakete verfügen oft über eigene Authentifizierungs- und Autorisierungssysteme sowie über Tools zur Erstellung und Verwaltung von Benutzerkonten, die sich jedoch nicht in eine umfassende Identitäts- und Zugriffsverwaltungsplattform integrieren lassen. Solche Anwendungen führen häufig zu isolierten digitalen Identitätsinformationen und zu steigender Komplexität.

Solche komplexen und schwierig zu verwaltenden Systeme erschweren es IT-Verantwortlichen, den Zugriff auf wichtige Informationen einzurichten und die geschäftlichen Anforderungen der Unternehmen zu erfüllen, die sie bedienen. Eine sorgfältig ausgeführte Struktur für die Identitäts- und Zugriffsverwaltung, die auf eine solide Plattform aufbaut, kann IT-Verantwortlichen helfen, diese geschäftlichen Anforderungen zu erfüllen.

Reduzieren von Gesamtbetriebskosten (TOC)

Wenn ein Unternehmen keine solide entwickelten, automatisierten und überprüfbaren Mechanismen zur Durchsetzung der Zugriffskontrolle implementiert, sind Realisierung und Pflege einer umfassenden Richtlinie für die Zugriffsverwaltung kostspielig. Die nachstehenden Abbildungen sind der 2002 von der PricewaterhouseCoopers/Meta Group durchgeführten Untersuchung „The Value of Identity Management“ (Der Wert der Identitätsverwaltung) entnommen. Diese Untersuchung steht auf der Website des Unternehmens unter http://www.pwcglobal.com zur Verfügung. Die Abbildungen enthalten einige wichtige Beispiele für die mit der Verwaltung digitaler Identitäten verbundenen Kosten.

  • Anmeldung und Authentifizierung. Durch die Reduzierung der Zeit, die für die Anmeldung in verschiedenen Systemen benötigt wird, kann die Produktivität von Knowledge Workern erheblich gesteigert werden. Ein durchschnittlicher Benutzer wendet 16 Minuten pro Tag für die Authentifizierung und Anmeldung auf. Bei großen Unternehmen (in der Untersuchung definiert als Unternehmen mit 10.000 Benutzern) entspricht dies 2.666 Stunden oder 1,3 Jahren der Vollbeschäftigungseinheiten (VbE).

  • Verwalten des Lebenszyklus. Es ist wichtig, dass sich das IT-Personal eines Unternehmens auf die bedeutenden Aufgaben der Bereitstellung von verfügbaren Ressourcen und Gewährleistung der Netzwerksicherheit konzentrieren kann. Die mit der Verwaltung von Identitäten über ineffiziente Mechanismen verbrachte Zeit könnte sinnvoller für wichtigere Aufgaben aufgewendet werden. Die durchschnittlich für die Verwaltung von Benutzern, Benutzerspeichern sowie für die Authentifizierungs- und Zugriffssteuerung aufgewendete Zeit beträgt 54.180 Stunden pro Jahr. Selbst eine Effizienzsteigerung von nur 25 Prozent würde 13.545 Stunden (oder 6,7 VbE) für ein großes Unternehmen entsprechen.

  • Zurücksetzen von Kennwörtern. 45 Prozent der Helpdesk-Anrufe beziehen sich auf das Zurücksetzen von Kennwörtern. Ein automatisiertes Zurücksetzen von Kennwörtern reduziert diese Rate um etwa ein Drittel. Für ein Unternehmen mit 10.000 Benutzern entspricht dies jährlichen Kosteneinsparungen von bis zu 648.000 Euro.

  • Datenduplikate. Die Beseitigung von Identitätsdatenduplikaten kann Verwaltungsprozesse rationalisieren und die Gesamtbetriebskosten (TCO) senken. 38 Prozent der externen und 75 Prozent der internen Benutzer werden in mehreren Datenspeichern geführt. Die durchschnittliche Zeitersparnis durch eine zentrale und konsolidierte Verwaltung der Benutzerspeicher wird auf 1.236 Stunden pro Jahr in großen Unternehmen geschätzt.

Unternehmen, die Probleme mit der Identitäts- und Zugriffsverwaltung lösen, können erhebliche Einsparungen bei den Gesamtbetriebskosten erzielen. Selbst geringfügige Änderungen, wie z. B. eine Reduzierung von Helpdesk-Anrufen zur Rücksetzung von Kennwörtern, können zu bedeutenden Produktivitätssteigerungen der Endbenutzer und der Helpdesk-Mitarbeiter führen.

Verbesserung der Sicherheit

Beim Thema Sicherheit geht es nicht nur darum, wen oder was Sie abwehren, sondern auch darum, wem Sie den Zugang zum Netzwerk gewähren und welches Zugriffsniveau Sie einräumen. Mitarbeiter, Lieferanten, Kunden und Geschäftspartner haben unterschiedliche Bedürfnisse in Bezug auf den Zugriff auf Daten und Anwendungen. Die Definition und Implementierung einer Richtlinie für die Zugriffsverwaltung, die nur speziell autorisierten Benutzern den Zugriff auf vertrauliche Informationen erlaubt, sind für Unternehmen von entscheidender Bedeutung.

Zum Thema Sicherheit gehört auch effektive betriebliche Verwaltung. Mangelhafte Verwaltungsprozesse für die Konten, die Mitarbeiter, Partner und Kunden repräsentieren, können erhöhte Sicherheitsrisiken darstellen. Die Verwaltung von Millionen von Online-Kunden kann zum Beispiel konventionelle Systeme zur Verwaltung von Benutzerkonten überlasten. Unternehmen verfügen außerdem nicht über die gleichen Kenntnisse und Kontrollmöglichkeiten über die Mitarbeiter ihrer Partner wie über ihre eigenen Mitarbeiterkonten.

Eine kontrollierte Identitäts- und Zugriffsverwaltung ermöglicht es Unternehmen, den Zugriff auf ihre Informationssysteme ohne Kompromisse in Bezug auf Sicherheit zu erweitern. Unternehmen bieten diesen erweiterten Zugriff durch strikte Verwaltung der Identitäten und unverzügliche Änderung oder Aufhebung der Zugriffsrechte.

Die nachfolgend beschriebenen Sicherheitsaktivitäten sind normalerweise mit Identitäts- und Zugriffsverwaltung verbunden:

  • Verbesserte Durchsetzung der Kontenrichtlinien. Sicherheit kann durch die Verwaltung von Konten gemäß vordefinierten Standards erhöht werden. Die Durchsetzung einer Kontenrichtlinie definiert Regeln und Verfahren für die Implementierung erweiterter Sicherheitsmaßnahmen. Zu den Beispielen dafür gehören die Verpflichtung von Administratoren, Smartcards zu verwenden und sicherzustellen, dass alle Benutzer über komplexe Kennwörter verfügen und diese regelmäßig ändern.

  • Entfernen von veralteten Konten. Die Computersicherheit kann durch das rechtzeitige Entfernen veralteter Konten wesentlich erhöht werden. Unternehmen müssen Konten für Mitarbeiter, Lieferanten, Partner und Kunden deaktivieren, wenn diese Konten nicht mehr benötigt werden. Werden solche Konten nicht deaktiviert, können die ursprünglichen Inhaber sie missbrauchen, um unberechtigten Zugang zu Systemen zu erhalten. Veraltete Konten sind attraktive Ziele für böswillige Benutzer und Angreifer, da sie überholte statische Anmeldeinformationen enthalten und ein Missbrauch oder eine Gefährdung des Kontos kaum bemerkt wird.

  • Verbessern des Schutzes von Anwendungsdaten. Um die Sicherheitsanforderungen eines Unternehmens zu erfüllen, müssen Anwendungen Daten über sichere Mechanismen übertragen. Für den Zugriff auf vertrauliche Daten müssen ordnungsgemäße Authentifizierung und Autorisierung gewährleistet sein. Außerdem müssen diese Daten im Netzwerk geschützt werden, um zu verhindern, dass Angreifer sie abfangen.

  • Implementieren leistungsfähiger Authentifizierung. Übliche Authentifizierungstechniken und Anmeldeinformationen bieten eventuell nicht das für kritische Anwendungen und Daten erforderliche Sicherheitsniveau. Microsoft empfiehlt die Verwendung leistungsfähiger Authentifizierungsmechanismen, wie z. B. das Protokoll von Kerberos Version 5 und Infrastrukturtechnologien für öffentliche Schlüssel (Public Key Infrastructure, PKI), um die Gesamtsicherheit von Computerressourcen zu erhöhen.

  • Verwalten von Anmeldeinformationen mit Verzeichnisdiensten. Während Verzeichnisdienste in einem Unternehmen für verschiedenste Zwecke eingesetzt werden, können sie auch spezielle Sicherheitsvorteile bieten. So können erweiterte Authentifizierungsmethoden wie Smartcards und Biometrik das Sicherheitsniveau in einem Unternehmen erheblich steigern. Leider führen solche Systeme auch zu größerer Komplexität und umfangreicheren Benutzerdaten, die dann rigoros gepflegt und zentral zugänglich sein müssen. Die Bereitstellung solcher Systeme ist einfacher, wenn eine robuste Infrastruktur vorhanden ist.

  • Verbesserte Autorisierung. Autorisierungsvorgänge müssen so flexibel sein, dass sie sowohl einen allgemeinen als auch einen präzisen Zugriff auf Ressourcen ermöglichen. Bei einem allgemeinen Zugriff beispielsweise können alle Mitarbeiter auf eine bestimmte Anwendung zugreifen, während der präzise Zugriff nur den Mitarbeitern aus der Verkaufsabteilung erlaubt, einen bestimmten Vorgang in einer Anwendung zwischen 9.00 Uhr und 17.00 Uhr durchzuführen. Benutzern sollten logische Rollen wie Datenbankadministrator, Helpdesk-Mitarbeiter oder Anwendungsbenutzer innerhalb eines Unternehmens oder einer Anwendung zugewiesen werden.

  • Verwalten von Berechtigungen über Bereitstellung. Ein ordnungsgemäß implementiertes Bereitstellungssystem forciert die konsistente Anwendung von Richtlinien für die Anforderung und Genehmigung von Berechtigungen. Eine Durchsetzung wird sogar noch einfacher, wenn alle Geschäftseinheiten auf einfache Weise den gleichen Prozess durchführen können. Ein Bereitstellungssystem bietet einen Audit-Trail, der aufzeichnet, wann und von wem welche Entscheidungen getroffen und Genehmigungen erteilt wurden.

  • Implementieren einer Verwaltung von Identitätslebenszyklen. Ein Prozess zur Identitätslebenszyklusverwaltung trägt dazu bei, dass Benutzerberechtigungen während des gesamten Werdegangs eines Benutzers auf dem neusten Stand gehalten werden. Wenn zum Beispiel ein Mitarbeiter von der Finanz- zur Vertriebsabteilung wechselt, kann der Prozess zur Identitätslebenszyklusverwaltung die Zugriffsrechte dieses Mitarbeiters für Finanzanwendungen aufheben und ihm entsprechende Rechte für Marketinganwendungen einräumen. Prozesse zur Identitätslebenszyklusverwaltung können manuell durchgeführt oder automatisiert werden. Automatisierte Prozesse erhöhen in der Regel das Sicherheitsniveau in einem Unternehmen, da sie Zugriffrechte rechtzeitig aufheben oder einrichten und bei Bedarf sicherstellen, dass beide Maßnahmen gleichzeitig stattfinden.

  • Verwalten von Gruppen. Gute Sicherheitsverfahren setzen voraus, dass Unternehmen die Kontrolle über die Gruppenzugehörigkeit durch effektive Gruppenverwaltung behalten. Die Gruppenzugehörigkeit kann Zugriffsrechte und -privilegien beinhalten. Daher muss sichergestellt werden, dass jede Gruppe ausschließlich die richtigen Konten enthält. System zur Identitäts- und Zugriffsverwaltung können Benutzerkonten der richtigen Gruppe zuweisen oder dynamische Gruppen in Abhängigkeit von den Attributen eines Kontos einrichten und diese Gruppen dann in Verzeichnisdiensten und E-Mail-Systemen bereitstellen.

  • Reduzieren der Angriffsfläche. Mehrere Identitätsspeicher beinhalten die erhöhte Gefahr, dass Benutzerkonten bedroht sind, wenn jeder Speicher nicht gemäß einem gemeinsamen hohen Sicherheitsstandard verwaltet wird. In ähnlicher Weise bedeutet eine große Anzahl von Authentifizierungsmechanismen normalerweise, dass die Gefahren für das gesamte System weniger bekannt und daher schwieriger zu bekämpfen sind. Eine Senkung der Gesamtzahl der Sicherheitssysteme und -mechanismen bedeutet, dass die verbleibenden besser verwaltet und geschützt werden können.

  • Benutzern die richtigen Schritte leicht machen . Einmalige Anmeldung (SSO) erleichtert Benutzern die Einhaltung der Kennwortrichtlinie eines Unternehmens. Angesichts des Problems, sich mehrere Kennwörter zu merken und sie zu verwalten, ist es nur natürlich, das Benutzer einfache Kennwörter anlegen oder sich komplexe aufschreiben und ungeschützt in ihrem Arbeitsbereich aufbewahren.

Verbessern des Zugriffs

Um den Zugriff auf wichtige Informationen zu verbessern, sollten Technologien zur Identitäts- und Zugriffsverwaltung folgende Anforderungen erfüllen:

  • Sofortige Mitarbeiterproduktivität und den Zugriff auf Informationsressourcen durch die effiziente Bereitstellung von Konten und Hardware ermöglichen

  • Mitarbeitern eine höhere Produktivität durch die Bereitstellung eines Fernzugriffs auf Schlüsselanwendungen außerhalb der internen Netzwerkumgebung des Unternehmens ermöglichen

  • Partnern die direkte Nutzung von Unternehmensanwendungen in gesteuerter und kontrollierter Weise erlauben und dadurch die Prozesse zu rationalisieren, die über unternehmerische Grenzen hinausgehen

  • Kunden gewinnen durch personalisierte Informationen und die Möglichkeit, Produkte und Services online zu bestellen Benutzerfreundlichkeit und Kundenzufriedenheit durch erhöhte Rentabilität verbessern

  • Einsparungen durch Implementieren eines Verbundes erzielen, der wachsende Unternehmenschancen für die direkte Zusammenarbeit mit Partnern bietet, ohne die Mitarbeiter durch die Verwaltung von Identitäten und Anmeldeinformationen zu belasten

Durch die Erfüllung dieser Schlüsselanforderungen für die Identitäts- und Zugriffsverwaltung können Unternehmen eine höhere Mitarbeiterproduktivität, Kostensenkung und bessere Geschäftsintegration erreichen.

Sicherstellen der gesetzlich vorgeschriebenen Konformität

Identitäten sind schnell in den Mittelpunkt von zahlreichen Regierungs- und Gesetzesrichtlinien gerückt. Diese Betonung der Rolle von Identitäten ist das Ergebnis der zunehmenden Bedeutung von Datenschutz, da immer mehr persönliche Informationen in Informationssystemen gespeichert werden. Die Kontrolle des Zugriffs auf Kunden- und Mitarbeiterinformationen entspricht nicht nur guten Geschäftsmethoden. Ein Unternehmen, das in diesem Bereich Fehler macht, ist erheblichen finanziellen und gesetzlichen Haftungsansprüchen ausgeliefert.

Datenintegrität oder Isolationskonformität sind in den Vereinigten Staaten jetzt gesetzlich vorgeschrieben. Unternehmen dort müssen eventuell eine oder mehrere der nachfolgenden gesetzlichen Bestimmungen erfüllen:

  • Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act

  • Gramm-Leach-Bliley Financial Services Modernization Act

  • Health Insurance Portability and Accountability Act (HIPAA)

Als ein Beispiel der Auswirkungen dieser Bestimmungen für Unternehmen sei hier die „HIPAA Security Rule“ genannt, die in strikten Richtlinien festlegt, wie Unternehmen im Gesundheitswesen mit persönlich identifizierbaren Daten umgehen kann. Diese Richtlinie umfasst Aspekte wie ordnungsgemäße Überwachungskontrollen, Zugriffsverwaltung und Autorisierung. Eine effektive Infrastruktur zur Identitäts- und Zugriffsverwaltung verbindet über verschiedene Informationssysteme verteilte Patientendatensätze genau mit dem richtigen Patienten. Darüber hinaus prüft eine solche Infrastruktur den Zugriff auf Datensätze und authentifiziert die Identitäten der Personen, die sie einsehen.

US-amerikanische Unternehmen sind nicht die einzigen, die sich mit einer stärkeren Regulierung konfrontiert sehen, wie die Statuten der Datenschutzrichtlinie der Europäischen Union von 1998 und das kanadische Gesetz „Personal Information Protection and Electronic Documents Act (PIPEDA)“ verdeutlichen. Beide enthalten strikte Richtlinien in Bezug auf Identitätsinformationen. Außerdem bestimmen zahlreiche regionale Gesetze, wie identitätsbezogene Daten gespeichert und verwendet werden.

Die Einhaltung dieser gesetzlichen Bestimmungen stellt sicher, dass Unternehmen die Anforderungen aller geltenden Vorschriften im Hinblick auf Datenschutz, Authentifizierung, Autorisierung und Überprüfung erfüllen.

Berücksichtigung von Fusionen und Übernahmen

Die Integration der Systeme zur Identitäts- und Zugriffsverwaltung eines Unternehmens, das mit einem anderen fusioniert oder dieses übernommen hat, bietet einzigartige Herausforderungen und einmalige Chancen. Um den Wert des neuen Unternehmens zu maximieren, muss IT gemeinsame Standards verwenden, damit die Daten und Informationen des neu gebildeten Unternehmens kombiniert und schnellstmöglich den Mitarbeitern zur Verfügung gestellt werden können.

Die Integration der Systeme zur Identitäts- und Zugriffsverwaltung ist von besonderer Bedeutung, da für alle Mitarbeiter im neuen Unternehmen die richtigen Zugriffsebenen für die konsolidierten Daten eingerichtet werden müssen. Darüber hinaus müssen redundante Identitätsspeicher und Verwaltungsprozesse, die im neuen Unternehmen nicht mehr benötigt werden, konsolidiert werden, um Verwaltungskosten auf einen vernünftigen Rahmen zu beschränken.

Zu den IT-Herausforderungen bei Fusionen und Übernahmen gehören:

  • Sicherstellen der Kompatibilität der Identitätsspeicher der beiden Unternehmen

  • Zusammenfassen der aus einzelnen Systemen stammenden Konten in einem konsolidierten System

  • Zusammenführen der Systeme für die Identitäts- und Zugriffsverwaltung mittels Verbund und Vertrauen

  • Synchronisierung der Identitätsspeicher; dies ist häufig eine kurzfristige, akzeptable Lösung, wenn eine sofortige Konsolidierung unterschiedlicher Systeme nicht während einer Fusion oder Übernahme machbar ist.

  • Aktualisierung der Sicherheitsrichtlinien, um neue gesetzliche Anforderungen als Ergebnis der Fusion oder Übernahme einzubinden und zu erfüllen

Initiativen in einer Strategie für die Identitäts- und Zugriffsverwaltung

Jedes Unternehmen hat eigene Gründe für die Festlegung und Implementierung einer Strategie für die Identitäts- und Zugriffsverwaltung. Um maximale Erfolgschancen sicherzustellen, muss sich die Strategie mit den Geschäftszielen vereinbaren lassen, damit die gewünschten Geschäftsergebnisse erreicht werden können. Bei der Festlegung der Projektprioritäten sollten folgende Aspekte berücksichtigt werden:

  • Schnelle Ergebnisse verbessern die Aussicht auf Unterstützung durch hochrangige Förderer. Erzielen Sie einige schnelle, kostengünstige Ergebnisse, um die Entwicklung zu beschleunigen und die Genehmigung durch das Management zu verstärken.

  • Sprechen Sie risikoreiche Bereiche frühzeitig an. Sicherheitsfragen sind oft von primärer unternehmerischer Bedeutung und sollten so schnell wie möglich gelöst werden.

  • Standards und Infrastruktur sind häufig Vorbedingungen für andere Initiativen. Je nach vorangegangenen Investitionen kann die Einrichtung von Standards mithilfe von Richtlinien und der zu ihrer Unterstützung erforderlichen Infrastruktur erhebliche Kosten und erheblichen Aufwand mit sich bringen. Allerdings lohnen sich die Investitionen angesichts der Tatsache, dass der Erfolg der meisten anderen Projekte davon abhängt, dass Standards und Infrastruktur vorhanden sind.

Jedes Unternehmen, das eine Strategie zur Identitäts- und Zugriffsverwaltung in Betracht zieht, muss eine einzigartige Mischung aus Zielen und Prioritäten berücksichtigen. In den folgenden Abschnitten werden einige der üblicheren Initiativen erörtert. Jede Initiative setzt sich aus einem oder mehreren Geschäfts- und Technologieprojekten zusammen. Dazu gehören:

  • Einrichtung von Sicherheits- und Zugriffsrichtlinien

  • Einrichtung von Verzeichnisdienst- und Sicherheitsstandards

  • Implementierung von Identitätsaggregation und -synchronisierung

  • Automatisierung von Bereitstellungs- und Aufhebungsverfahren

  • Bereitstellung einer effektiven Benutzerverwaltung

  • Konsolidierung von Identitätsspeichern

  • Einrichtung von Kennwortverwaltung und -synchronisierung

  • Schaffung von Interoperabilität und einmaliger Anmeldung

  • Stärkung der Authentifizierungsmechanismen

  • Verbesserung des Zugangs für Mitarbeiter, Kunden und Partner

  • Einrichtung einer Richtlinie zur Sicherheitsüberprüfung

  • Aktualisierung der Standards zur Softwarebeschaffung

  • Einrichtung von Standards für die Softwareentwicklung zur Nutzung von Identitäten

  • Entwicklung und Migration von identitätsabhängigen Anwendungen

Einrichtung von Sicherheits- und Zugriffsrichtlinien

Viele schriftliche Sicherheitsrichtlinien eines Unternehmens, die Mitarbeiter-, Prozess- und Technologieelemente beinhalten, können direkt in Verzeichnisdiensten implementiert werden, während andere von Prozessen und spezifischen Systemen gesteuert werden, die in der Lage sind, Sicherheitsrichtlinien durchzusetzen. Organisatorische Zugriffsrichtlinien könnten auf globaler Ebene die Geschäftsregeln für den Zugriff auf spezifische Anwendungsgruppen festlegen. Solche Zugriffsrichtlinien sind in der Regel im Hinblick auf Rollen, Ressourcen, Vorgänge und Einschränkungen definiert.

Zu den Beispielen für Sicherheits- und Zugriffsrichtlinien und die darin definierten Regeln gehören:

  • Richtlinien zur Kontenverwaltung, die festlegen können, dass veraltete Konten regelmäßig aus den Identitätsspeichern entfernt werden müssen.

  • Kennwortrichtlinien, die festlegen können, dass Kontenkennwörter regelmäßig geändert werden und eine Mindestlänge und Komplexität haben müssen.

  • Richtlinien zur Sicherheitsüberprüfung, die festlegen können, zu welchen Aktionen Berichte zu erstellen sind.

  • Datenschutzrichtlinien, die festlegen können, wann unerwünschte Kommunikation wie Spams abgewiesen wird, und Einzelpersonen das Recht einräumen, die Erfassung und Verwendung ihrer persönlichen Daten zu steuern.

  • Richtlinien zur Zugriffsverwaltung, die folgende Aspekte sicherstellen:

    • Für den VPN-Zugriff ist eine Smartcard oder eine andere, mehrstufige Authentifizierung erforderlich.

    • Für spezielle Anwendungen ist eine biometrische Authentifizierung erforderlich.

    • Der Extranet-Zugriff auf bestimmte Systeme wird auf authentifizierte Benutzer beschränkt und durch Edge-Firewall-Dienste forciert.

    • Für eine Anmeldung als Domänenadministrator ist eine Smartcard erforderlich.

    • Computerverbindungen zu höherwertigen Systemen müssen per IPSec verschlüsselt werden.

    • Betriebliche Beschränkungen wie „Abbuchungen dürfen von Kassierern auf Benutzerkonten nur zwischen 9.00 Uhr und 17.00 Uhr initiiert werden“ werden eingehalten.

Vorteile

Zu den potenziellen Vorteilen, die eine Einrichtung von Sicherheits- und Zugriffsrichtlinien bietet, gehören:

  • Erhöhte Sicherheit im gesamten Unternehmen

  • Erhöhte Sicherheit für spezielle hochwertige Systeme

  • Verbesserte Sicherheitsüberprüfungen

  • Gesetzlich vorgeschriebene Konformität

Herausforderungen

Zu den Herausforderungen, die eine Einrichtung von Sicherheits- und Zugriffsrichtlinien bietet, gehören:

  • Festlegung der entsprechenden Sicherheitsanforderungen für jedes Zugriffsszenario

  • Implementierung der Richtlinien mit den gewählten Technologien und gleichzeitige Berücksichtigung der Einschränkungen

  • Umgang mit einem steigenden Verwaltungsaufwand und geringerer Effizienz, die höhere Sicherheit ohne Automatisierung mit sich bringen kann

  • Betreiben komplexerer Sicherheitsmechanismen

  • Verwaltung von widersprüchlichen Sicherheitsanforderungen

Einrichtung von Verzeichnisdienst- und Sicherheitsstandards

Unabhängig davon, ob Active Directory oder eine Alternative eingesetzt wird: Das Vorhandensein eines Standardverzeichnisdienstes ist Grundvoraussetzung für die Identitäts- und Zugriffsverwaltung. Allerdings stellen Unternehmen oft fest, dass sie mehr als einen Verzeichnisdienst benötigen. Durch Fusionen, Übernahmen und Anwendungswahlmöglichkeiten können oft zwei, drei oder sogar mehr Verzeichnisdienste in einem Unternehmen eingeführt werden. Eine effektive Strategie zur Identitäts- und Zugriffsverwaltung konsolidiert diese Dienste in einer Mindestanzahl an Identitätsspeichern, die kollektiv als Standardverzeichnisdienste im ganzen Unternehmen genutzt werden.

Verzeichnisdienste können zwar Standards zur Sicherheitspolitik durchsetzen, allerdings stellen Unternehmen eventuell erhebliche Unterschiede in ihrer internen Funktion fest. Beispielsweise wird eine Abteilung aufgrund einer Übernahme geschaffen. Sie verfügt über einen separaten Verzeichnisdienst und eine separate Sicherheitsrichtlinie, die vom vorhandenen Verzeichnisdienst des Unternehmens abweicht. Da Sicherheitsstandards, die sich auf Identitäten beziehen, oft eng in Verzeichnisdienste integriert sind, sollten sie auch zusammen erörtert werden.

Die Einrichtung von Verzeichnisdienst- und Sicherheitsstandards ist eine notwendige Voraussetzung für die Festlegung von Normen zur Anwendungsentwicklung und -beschaffung, senkt die Verwaltungskosten und erweitert den Zugriff auf sichere Weise.

Vorteile

Zu den potenziellen Vorteilen, die das Einrichten von Standardverzeichnisdiensten und einheitlichen Sicherheitsstandards bietet, gehören:

  • Geringerer Verwaltungsaufwand

  • Vereinfachte Bereitstellung

  • Erhöhte Sicherheit im gesamten Unternehmen

Herausforderungen

Die Herausforderungen, die das Einrichten von Standardverzeichnisdiensten und einheitlichen Sicherheitsstandards mit sich bringt, sind erheblich und können folgende Aspekte umfassen:

  • Line-of-business (LOB)-Anwendungen und Plattformen mit speziellen Verzeichnisanforderungen

  • Inkompatible Sicherheitsrichtlinien, die nicht abgestimmt werden können

  • Unternehmensinterne Probleme wie die Abteilungsautonomie

  • Gesetzliche Anforderungen im Hinblick auf Informations- und Verwaltungsgrenzen innerhalb von Unternehmen wie Finanzinstituten - beispielsweise die Trennung des Privatkundengeschäfts vom Versicherungsgeschäft

  • Vereinbaren eines gemeinsamen Authentifizierungsprotokolls, das von bestehenden Anwendungen und Identitätsspeichern im ganzen Unternehmen genutzt werden kann

  • Präsentation von Berechtigungen in einem einheitlichen Format, das von unterschiedlichen Anwendungen und Systemen unternehmensweit verarbeitet werden kann

Der Artikel „Plattform und Infrastruktur“ in dieser Serie bietet weitere Informationen zur Festlegung von Verzeichnisdienst- und Sicherheitsstandards.

Implementierung von Identitätsaggregation und -synchronisierung

In vielen Fällen ist es nicht sinnvoll, Identitätsspeicher und Anwendungen zu einem Standardverzeichnisdienst zu migrieren. Allerdings ist es oft möglich, durch Integration solcher Systeme Verwaltungskosten zu senken und Produktivitätsverluste zu minimieren. Auf diese Weise können sie ihre Identitätsinformationen gemeinsam nutzen und die gleichen Berechtigungen aufgrund gemeinsamer Richtlinien erstellen und pflegen.

Identitätsaggregation beinhaltet diese Verknüpfung von mehreren digitalen Identitäten aus einer Reihe von Identitätsspeichern. Ohne Identitätsaggregation ist es unmöglich festzustellen, dass „Müller, Georg T.“ im System der Personalabteilung (HR) die gleiche Person wie „Georg Müller“ im Intranet und „G. Müller“ im E-Mail-Verzeichnis ist. Mit Identitätsaggregation und -synchronisierung kann Ihr Unternehmen eine digitale Identität als Einheit mittels Identitätsintegrationsdiensten wie denen von MIIS 2003 SP1 erstellen und pflegen.

Vorteile

Zu den Vorteilen von Identitätsaggregation und -synchronisierung gehören:

  • Reduzierter Verwaltungsaufwand bei der Verknüpfung von Identitätsinformationen, die über mehrere Identitätsspeicher verteilt sind

  • Umfangreichere Geschäftsinformationen, die aus einer einheitlichen Ansicht aller digitalen Identitäten im Unternehmen abgeleitet werden

  • Verbesserte Identitätsverwaltung über einen einzigen Identitätsspeicher

Herausforderungen

Zu den speziellen Herausforderungen, die mit der Aggregation mehrerer Identitätsspeicher verbunden sind, gehören:

  • Ermittlung aller verwalteten Identitätsspeicher im Unternehmen

  • Zustimmung zur Aggregation und Synchronisierung der Informationen

  • Auswahl der Attribute, die Identitätsspeichern zugewiesen werden

  • Aufbau einer abteilungsübergreifenden Zusammenarbeit zwischen der Personal-, IT-, Rechtsabteilung und anderen beteiligten Geschäftsbereichen

  • Festlegung der Autoritätsquelle für die verschiedenen Attribute, die die unternehmensweit verwendete digitale Identität bilden

  • Schaffung einer globalen Ansicht der Informationen für das Unternehmen

  • Überprüfung von Änderungen anhand einer globalen Ansicht aller Identitätsinformationen des Unternehmens

  • Synchronisierung der Identitätsinformationen aus verschiedenen Identitätsspeichern im Unternehmen

Der Artikel „Identitätsaggregation und -synchronisierung“ in dieser Serie bietet weitere Informationen zu diesem Thema.

Automatisierung von Bereitstellungs- und Aufhebungsverfahren

Unternehmen liegt viel daran, dass neue Mitarbeiter und Lieferanten so schnell wie möglich produktiv werden. Sie können es sich nicht leisten, dass ihre Mitarbeiter Stunden, Tage oder sogar Wochen darauf warten, den Zugriff auf Anwendungen zu erhalten.

Automatisierte Bereitstellung kann aufgrund eines neuen Eintrags in einem Identitätsspeicher in jedem anderen verwalteten Identitätsspeicher entsprechende Einträge erstellen. Die Aufhebung von Identitätsinformationen funktioniert in umgekehrter Weise: Eine Änderung in einem Speicher, beispielsweise die Deaktivierung einer Identität, wird festgestellt und auf die anderen Identitätsspeicher übertragen. Deshalb kann die Änderung eines Werts in einem einzigen Feld eines damit verbundenen Identitätsspeichers (beispielsweise die Änderung des Mitarbeiterstatus von „Mitarbeiter“ zu „ehemaliger Mitarbeiter“ im Personalsystem) bewirken, dass in wenigen Minuten eine Reihe von digitalen Identitäten in mehreren Speichern deaktiviert oder gelöscht wird.

Vorteile

Zu den Vorteilen der automatischen Bereitstellung und Aufhebung gehören:

  • Kostensenkung durch automatische Erstellung oder automatisches Löschen von Konten in mehreren Identitätsspeichern

  • Erhöhte Produktivität durch die Reduzierung der Zeit, die für die Einrichtung von Konten, Kennwörtern und Zugriffsrechten für neue Mitarbeiter erforderlich ist

  • Automatisierte Festlegung der erforderlichen Attribute wie Mailboxen und Kontennamen.

  • Einfachere Verwaltung der Gruppenmitgliedschaft

  • Einfache Rollenverwaltung

  • Erhöhte Sicherheit, da sichergestellt ist, dass die Zugriffsrechte von ausscheidenden Mitarbeitern sofort aufgehoben werden

Herausforderungen

Zu den Herausforderungen der automatischen Bereitstellung und Aufhebung gehören:

  • Bestimmung des Geschäftsprozesses, der zur Bereitstellung führt

  • Festlegung, welche Abteilungen und Genehmigungen für die Bereitstellung neuer Konten erforderlich sind

  • Behandlung von Verzögerungen in Geschäftsprozessen, die die rechtzeitige Bereitstellung und die sichere Aufhebung beeinträchtigen

  • Ersetzen der vorhandenen manuellen Aufgaben durch automatisierte Prozesse, die Workflow und Überprüfung beinhalten

  • Bereitstellung digitaler Identitäten für mehrere Identitätsspeicher

  • Einrichtung und Verwaltung einer konsistenten anwendungsübergreifenden Gruppe von Berechtigungen für Benutzer mit unterschiedlichen Identitätsspeichern oder Autorisierungsmechanismen

  • Schnelle Zusammenstellung der erforderlichen Informationen, um eine prompte Bereitstellung zu gewährleisten

Automatisieren der Gruppenverwaltung

Gruppenverwaltung ermöglicht eine automatisierte Bereitstellung und Aufhebung. Unternehmen setzen in der Regel der Bequemlichkeit halber Verteilergruppen zum Verteilen von E-Mails und Sicherheitsgruppen für Gruppenbenutzer mit ähnlichen Berechtigungen ein.

Wenn Mitarbeiter in ein Unternehmen eintreten, sollten ihre Benutzerkonten automatisch in die Verteiler- und Sicherheitsgruppen aufgenommen werden, denen die Mitarbeiter zur Erledigung ihrer Arbeit angehören müssen. Darüber hinaus richten Unternehmen ggf. Gruppen auf der Grundlage gemeinsamer Attributwerte ein, wie z. B. „Alle Mitarbeiter aus Hessen“. Die manuelle Einrichtung von attributbasierten Gruppen ist zeitaufwändig und fehleranfällig, daher ist die automatisierte Einrichtung und Zuweisung von Gruppen eine erwünschte Komponente der Identitäts- und Zugriffsverwaltung.

Vorteile

Zu den Vorteilen der automatisierten Gruppenverwaltung gehören:

  • Erhöhte Sicherheit aufgrund einer besseren Kontrolle der Gruppenmitgliedschaften und -berechtigungen

  • Zuweisung der Mitarbeiter zu den richtigen Gruppen während der Bereitstellung

  • Entfernen von Konten aus Gruppen (wenn Benutzer das Unternehmen verlassen, andere Rollen übernehmen oder die Abteilung wechseln)

  • Einrichtung abfragebasierter Gruppen wie Verteilerlisten aller Personen, die einem bestimmten Manager direkt unterstellt sind

Herausforderungen

Zu den Herausforderungen der automatisierten Gruppenverwaltung gehören:

  • Identifizierung der entsprechenden Sicherheits- und Verteilergruppen

  • Standardisierung der Attributwerte, um die unnötige Einrichtung abfragebasierter Gruppen zu vermeiden

  • Implementierung eines geeigneten Überprüfungsprozesses, um die Gruppeneinrichtung und -mitgliedschaft nachzuverfolgen

  • Erfüllung der gesetzlichen Bestimmungen

Konsolidierung von Identitätsspeichern

Neben der Aggregation und Synchronisierung von Identitätsdaten ist es wichtig, die Anzahl der verwendeten Identitätsspeicher zu reduzieren. Wenn zum Beispiel ein Unternehmen mit zwei Anwendungen arbeitet, die Lightweight Directory Access Protocol (LDAP) zur Authentifizierung und Autorisierung einsetzen, dann können die separaten LDAP-Identitätsspeicher eventuell zu einem einzigen Speicher verbunden werden.

Identitätsdaten beider Identitätsspeicher können ggf. über größtenteils automatisierte Mechanismen synchronisiert und verwaltet werden. Allerdings verursacht die Pflege dieser Mechanismen und der Ausnahmen, die mit großer Wahrscheinlichkeit auftreten, einen höheren Verwaltungsaufwand und vergrößert die Angriffsfläche für Sicherheitsattacken.

Vorteile

Zu den Vorteilen konsolidierter Identitätsspeichern gehören:

  • Verringerter Verwaltungsaufwand

  • Reduzierte TCO durch den Wegfall von Servern und Lizenzen

  • Verringerung des erforderlichen Wartungsaufwands für Server

  • Kostengünstigere Hardware- und Softwareupgrades

  • Einfachere Bereitstellung von Anwendungen

Herausforderungen

Zu den Herausforderungen konsolidierter Identitätsspeichern gehören:

  • Erstellung eines Aggregatschemas in einem einzigen Identitätsspeicher

  • Unterschiede zwischen LDAP oder anderen Protokollimplementierungen in unterschiedlichen Identitätsspeichern

  • Anwendungsmigrationen

Einrichtung von Kennwortverwaltung und -synchronisierung

Kennwortverwaltung und -synchronisierung sind ein weiterer Schritt im Prozess zur Identitätsaggregation. Kennwortverwaltung umfasst eine Reihe von Bereichen wie die Einrichtung und Durchsetzung von Kennwortrichtlinien und die Änderung oder Rücksetzung von Kennwörtern. Mit der Kennwortsynchronisierung werden diese Kennwortänderungen an alle verbundenen Identitätsspeicher weitergeleitet. So können Benutzer mithilfe der Kennwortverwaltung und -synchronisierung zum Beispiel ihre Kennwörter für die Netzwerkanmeldung, die Anmeldedaten für ihr SAP-Konto, ihre E-Mail-Anmeldedaten und Kennwörter für die Extranet-Zusammenarbeitssite in einem Vorgang ändern. Kennwortsynchronisierung ermöglicht die Gruppenbildung mit leistungsfähigen Kennwortrichtlinien auf kritischen Systemen und weniger strikten Richtlinien für Systeme, die die strikten, modernen Kennwortstandards nicht erfüllen können.

Vorteile

Zu den Vorteilen von Kennwortverwaltung und -synchronisierung gehören:

  • Geringere Verwaltungs- und Supportkosten, da Helpdesk-Mitarbeiter Benutzerkennwörter nicht für mehrere Identitätsspeicher zurücksetzen müssen.

  • Erhöhte Sicherheit durch die Begrenzung der Anzahl an Kennwörtern, die sich Benutzer merken müssen, und der Verringerung der Wahrscheinlichkeit, dass sich Benutzer Kennwörter aufschreiben.

  • Erhöhte Sicherheit aufgrund der konsistenten Anwendung der Kennwortrichtlinie im Hinblick auf Richtlinienelemente, wie z. B. erforderliche Kennwortlänge und Komplexität.

  • Weniger Leerlaufzeit, in der Benutzer auf Unterstützung durch das Helpdesk beim Zurücksetzen ihrer Kennwörter warten.

Herausforderungen

Zu den Herausforderungen der Kennwortverwaltung und -synchronisierung gehören:

  • Umgang mit mehreren Kennwortrichtlinien, die unterschiedliche Kriterien für Länge und Komplexität aufweisen.

  • Umgang mit dem Ablauf von Kennwörtern und mit Verlaufsintervallen, die sich über mehrere Plattformen erstrecken.

  • Festlegung der Systeme, die aufgrund unsicherer Identitätsspeicher, Authentifizierungsmethoden oder anderen Schwächen nicht an der Kennwortverbreitung beteiligt sein sollten.

  • Bei Bedarf Erfassung von Kennwortänderungen, die sich über mehrere Plattformen erstrecken.

  • Verbindung zu Zielidentitätsspeichern und sichere Übertragung aktualisierter Kennwörter.

  • Bei einer angeforderten Kennwortrücksetzung sicherstellen, dass Benutzer auch die tatsächlich angegebene Identität haben.

  • Sicherstellen, dass die zurückgesetzten Kennwörter auf sichere Weise an den Endbenutzer übertragen werden.

  • Umgang mit Anwendungen und Diensten, die über hart codierte oder lokal konfigurierte Kennwörter verfügen.

Der Artikel „Kennwortverwaltung“ in dieser Serie bietet weitere Informationen zu diesem Thema.

Schaffung von Interoperabilität und einmaliger Anmeldung

Szenarios zur plattformübergreifenden Interoperabilität unterscheiden sich erheblich von Unternehmen zu Unternehmen, da jede Organisation über eine einzigartige Kombination aus Verzeichnisdiensten, Datenbanken, Anwendungen und zugehörigen Identitätsspeichern verfügt, die integriert werden müssen.

Die Methoden für die Interoperabilität und einmalige Anmeldung (SSO) umfassen:

  • Integration in das Betriebssystem des Servers (von Produkten wie Microsoft Exchange Server 2003 und SQL Server 2000 verwendet)

  • Verwendung eines sicheren, standardisierten Authentifizierungsprotokolls, z. B. Kerberos Version 5

  • Einsatz der LDAP-Authentifizierung und Autorisierung für Anwendungen und Plattformen, die das Protokoll Kerberos Version 5 unterstützen

  • Einsatz der Zuordnung von Anmeldeinformationen und SSO für Unternehmen (von Produkten wie Microsoft Biztalk® Server 2004, SharePoint Portal Server 2003 und Host Integration Server 2004 verwendet)

  • Synchronisierung von Benutzernamen und Weiterleitung von Kennwörtern an mehrere Plattformen und Anwendungen Diese Methode stellt keine echte SSO bereit, sondern reduziert die Zahl der Benutzernamen und Kennwörter, die sich Benutzer merken müssen. Dies wird durch Verbesserungen der Identitätssynchronisierung und Kennwortverwaltung erreicht.

  • Implementierung von Web-SSO für Intranet und Extranetszenarios

Vorteile

Zu den Vorteilen von Interoperabilität und einmaliger Anmeldung gehören:

  • Rationalisierung der Anwendungsbereitstellung

  • Höhere Standards für die Authentifizierung und Datensicherheit im Netzwerk

  • Zeitersparnis bei der wiederholten Authentifizierung mithilfe von Intranet SSO in mehreren Identitätsspeichern

Herausforderungen

Zu den Herausforderungen von Interoperabilität und einmaliger Anmeldung gehören:

  • Wahl der richtigen Mechanismen für die Plattformen in einem Unternehmen

  • Entscheidung zwischen Web- und Netzwerk-SSO-Mechanismen, wenn beide Optionen verfügbar sind

  • Entscheidung, wie und wann LDAP-Verzeichnisdienste für Authentifizierungs- und Autorisierungszwecke einzusetzen sind

  • Entscheidung, wann Anwendungen und Plattformen für die Implementierung der Kennwortweiterleitung neu konfiguriert werden müssen

  • Unterschiede zwischen LDAP-Protokollen oder Schemaimplementierungen

  • Umgang mit geringfügigen Abweichungen in den Implementierungen von standardisierten Authentifizierungsmechanismen

Der Artikel „Intranet-Zugriffsverwaltung“ in dieser Serie enthält weitere Informationen zur Interoperabilität und Intranet-SSO.

Stärkung der Authentifizierungsmechanismen

Es gibt viele Gründe für die Entscheidung, leistungsfähigere Authentifizierungsmechanismen zu implementieren. Die Initiative könnte Teil eines allgemeinen Plans zur Verstärkung der Sicherheit für die Computerressourcen eines Unternehmens, eine Reaktion auf eine spezielle Bedrohung oder (im schlimmsten Fall) eine Reaktion auf einen erfolgreichen Angriff sein. Schließlich könnte es erforderlich werden, branchenspezifische oder gesetzliche Standards zu erfüllen, um den Status der Nichtabstreitbarkeit oder ähnliche Merkmale zu erreichen.

Die Mehrzahl der Unternehmen nutzt weiterhin die Kombination aus Benutzernamen und Kennwort zur Authentifizierung gegenüber ihren Anwendungen und Ressourcen. Kennwortbasierte Authentifizierungsmechanismen können von sehr sicher bis sehr unsicher reichen. Dies hängt von der Implementierung der Anwendung, des Protokolls, des Identitätsspeichers und der Länge und Komplexität des Kennworts ab.

Heute sind zuverlässigere Mechanismen und Technologien, die nicht auf Kennwörtern basieren, stärker verbreitet, z. B. digitale X.509-Zertifikate, zeitabhängige Hardware-Tokens, die auch als Einwegkennwörter-Geräte (One Time Password, OTP) bekannt sind, oder Zusatzbestätigung mittels Biometrik.

Mit der Kombination unterschiedlicher Authentifizierungsmechanismen (oder -stufen) zur Einrichtung einer mehrstufigen Authentifizierung wird die höchste Sicherheitsstufe erzielt. Ein Beispiel dafür ist die Kombination eines digitalen X.509-Zertifikats auf einer Smartcard (etwas, was Sie besitzen) mit einer PIN (etwas, was Sie wissen), die den privaten, dem Zertifikat zugeordneten Schlüssel entsperrt. Auf diese Weise entstehen leistungsstarke Anmeldedaten und infolgedessen eine leistungsstarke Authentifizierung.

Vorteile

Zu den Vorteilen leistungsstarker Authentifizierungsmechanismen gehören:

  • Verbesserte Sicherheit

  • Einhaltung gesetzlicher Bestimmungen, die eine zusätzliche Überprüfung beim Zugriff auf Ressourcen fordern

Herausforderungen

Zu den Herausforderungen leistungsstarker Authentifizierungsmechanismen gehören:

  • Abwägen der Kosten für eine zusätzliche Infrastruktur gegenüber der Forderung nach höherer Sicherheit

  • Integration leistungsfähigerer Anmeldemechanismen und Authentifizierungsprotokolle über verschiedene Plattformen und Anwendungen hinweg

  • Vermeidung einer größeren Endbenutzer- und Verwaltungskomplexität Mehrstufige Mechanismen erhöhen oft die Fehlerhäufigkeit (beispielsweise verlieren Benutzer ihre Smartcards oder vergessen ihre PINs).

  • Senkung der Kosten und Ressourcen, die mit der Bereitstellung der Hardware (z. B. Smartcards oder OTP-Tokens) zur Unterstützung von Anmeldeinformationen verbunden sind

Verbesserung des Zugangs für Mitarbeiter, Kunden und Partner

Viele Unternehmen möchten ihre Informationssysteme optimieren, um einen Wettbewerbsvorteil zu erzielen, indem sie den Zugang auf weitere Benutzer-, Anwendungs- und Netzwerktypen ausdehnen. Dieser Ansatz wird häufig als „Erweiterung des Netzwerkumkreises“ bezeichnet, da Firewalls, die das Netzwerk eines Unternehmens umgeben, nicht mehr als einzige Barriere zur Abwehr externer Benutzer dienen.

So entstehen beispielsweise neue Geschäftsmöglichkeiten, wenn Kunden Zugriff auf Informationen und Anwendungen erhalten. Geschäftspartner vereinfachen Lieferketten durch die Integration von Bestands-, Versand-, Finanz- und Produktentwicklungssystemen, damit sie vertrauliche Preis-, Produkt- und Supportinformationen gemeinsam nutzen können. Mitarbeitern erschließen sich mehr Möglichkeiten zur Zusammenarbeit und Fernkommunikation, da sie enger mit Kunden und Partnern zusammenarbeiten.

Vorteile

Zu den wichtigsten Vorteilen eines verbesserten Zugriffs gehören:

  • Extrem schnelle Anwendungsentwicklung

  • Schnellere Bereitstellung von Anwendungen

  • Verstärkte Kontrolle des Zugriffs auf Ressourcen

  • Höhere Benutzerfreundlichkeit

  • Geringerer Verwaltungsaufwand

Herausforderungen

Die Herausforderungen bei der Verbesserung des Zugriffs für externe Benutzer sind erheblich und umfassen folgende Aspekte:

  • Integration in vorhandene Anwendungen

  • Wahl der entsprechenden Identitätsspeicher

  • Wahl der entsprechenden Authentifizierungsmechanismen für jede Benutzerklasse

  • Wahl des entsprechenden Autorisierungsmodells

  • Skalierung der Authentifizierungs- und Autorisierungsmechanismen

  • Verwaltung der Identitäten für zahlreiche Partner und Kunden

  • Gewährung des Benutzerzugriffs auf entsprechende Ressourcen auf der Grundlage der Rolle der Benutzer im Unternehmen und der Anwendungen, mit denen sie arbeiten

  • Die mit der Schaffung des notwendigen Vertrauens zwischen Partnerunternehmen verbundenen Schwierigkeiten

Im Artikel „Extrane-Zugriffsverwaltung“ dieser Serie werden die Konzepte für die Bereitstellung eines sicheren Zugriffs auf interne Anwendungen für Mitarbeiter, Kunden und Partner mithilfe einer einmaligen Anmeldung erörtert.

Einrichtung einer Richtlinie zur Sicherheitsüberprüfung

Ein typisches Unternehmen verfügt über Sicherheitsrichtlinien, die eine Überprüfung sowohl auf Ebene der Plattform als auch auf Anwendungsebene erfordern. Einer der wichtigsten Vorteile bei der Implementierung der in diesem Kapitel beschriebenen Initiativen zur Identitäts- und Zugriffsverwaltung liegt in der Konsolidierung der Identitätsspeicher, Plattformen und Authentifizierungs- sowie Autorisierungsmechanismen. Durch diese Konsolidierung wird der Überprüfungsvorgang einfacher und zuverlässiger, da die Anzahl der Orte sinkt, an denen Sicherheitsereignisse ausgelöst werden, und sich die Art und Weise ihrer Auslösung ändert.

Als Nächstes muss ein Unternehmen genau festlegen, welche Art von Überprüfungen erforderlich ist und wie Überprüfungsinformationen erfasst, gespeichert und verwendet werden.

Vorteile

Zu den Vorteilen der Einrichtung einer Richtlinie zur Sicherheitsüberprüfung gehören:

  • Geringerer Aufwand bei der Durchführung einer externen Sicherheitsüberprüfung

  • Bessere Möglichkeiten, forensische Maßnahmen im Fall einer Sicherheitsattacke durchzuführen

  • Bessere Möglichkeiten, Angriffe in Echtzeit festzustellen und Administratoren anzuweisen, Notfallmaßnahmen zu ergreifen

  • Mehr Möglichkeiten, Richtlinien, die zum Zeitpunkt des Auftretens schwierig durchzusetzen waren, nachträglich zu erzwingen

Herausforderungen

Zu den Herausforderungen der Einrichtung einer Richtlinie zur Sicherheitsüberprüfung gehören:

  • Unterschiedliche Prüfungsmechanismen in Plattformen und Anwendungen

  • Unterschiedliche Prüfungsmöglichkeiten bei unterschiedlichem Genauigkeitsgrad

  • Unterschiedliche Prüfungsanforderungen für verschiedene Geschäftseinheiten eines Unternehmens

  • Konsolidierung von Prüfberichten an einem zentralen Speicherort

  • Herausfiltern von Informationen aus Volumes

  • Erstellung sinnvoller Berichte

  • Archivierung großer Prüfdatenmengen

Aktualisierung der Standards zur Softwarebeschaffung

Anwendungen sind oft die eigentliche Ursache für komplexe Systeme zur Identitäts- und Zugriffsverwaltung. Außerdem bringen Anwendungen normalerweise verschiedene Arten von Identitätsspeichern, unterschiedliche Authentifizierungsmechanismen und Autorisierungsrichtlinien mit sich. Sobald Sie Richtlinien für standardisierte Verzeichnisdienste sowie Sicherheits- und Zugriffsrichtlinien eingerichtet haben, müssen Sie die Standards für die Softwarebeschaffung im Unternehmen einrichten oder aktualisieren, damit sich die neue Software gut in die anderen Systeme Ihres Unternehmens integrieren lässt.

Die Entscheidung für Software von unabhängigen Softwarelieferanten sollte sich zum Teil danach richten, wie sich die Software in die von Ihnen gewählten Verzeichnisdienste integrieren lässt und ob sie die etablierten Sicherheits- und Zugriffsrichtlinien erfüllen kann.

Vorteile

Zu den Vorteilen von aktualisierten Standards für die Softwarebeschaffung gehören:

  • Schnelle Bereitstellung neuer Anwendungen

  • Einfache Integration der Infrastruktur für die Identitäts- und Zugriffsverwaltung

  • Geringere TCO

  • Verbesserte Sicherheit

  • Geringerer Schulungsaufwand für Endbenutzer

  • Erhöhte Produktivität der Endbenutzer

Herausforderungen

Zu den Herausforderungen von aktualisierten Standards für die Softwarebeschaffung gehören:

  • Entscheidung für die richtige Software mit den richtigen Funktionen

  • Wissen, welche Komponenten verwendet oder gekauft werden müssen

  • Auswahl der Software zur Maximierung der Sicherheit

  • Auswahl der Software zur Maximierung der Produktivität

Einrichtung von Standards für die Softwareentwicklung zur Nutzung von Identitäten

In dem Maße, wie die geschäftlichen Anforderungen eines Unternehmens steigen, erhöht sich auch die Zahl der neuen Anwendungen, die ein Unternehmen zur Implementierung einer neuen Geschäftsfunktionalität benötigt. Die Festlegung und Durchsetzung von Entwicklungsstandards, die beschreiben, wie Anwendungen mit der Infrastruktur zur Identitäts- und Zugriffsverwaltung interagieren, schafft den Rahmen für die Senkung der TCO und Verbesserung des Sicherheitsniveaus.

Vorteile

Zu den Vorteilen der Einrichtung von Standards für die Softwareentwicklung zur Nutzung von Identitäten gehören:

  • Anwendungen schaffen keine neuen Probleme für die Identitäts- und Zugriffsverwaltung.

  • Anwendungen können schneller entwickelt werden.

  • Geringere Verwaltungskosten

  • Erhöhte Sicherheit dank einer kleineren Angriffsfläche

Herausforderungen

Zu den Herausforderungen bei der Einrichtung von Standards für die Softwareentwicklung gehören:

  • Schaffung einer Autoritätsquelle für Identitätsinformationen, die neue Anwendungen nutzen können.

  • Sicherstellen, dass Anwendungen vorhandene Identitätsspeicher sowie vorhandene Funktionen zur Authentifizierung und Autorisierung nutzen.

  • Erstellung und Veröffentlichung klarer Richtlinien, Integration in alle SDLC-Methodiken (Software Development Life Cycle), um festzulegen, wie Anwendungen in die Infrastruktur zur Identitäts- und Zugriffsverwaltung integriert werden müssen.

  • Schulung interner und externer Entwickler in der Einhaltung dieser Richtlinien

Entwicklung und Migration von identitätsabhängigen Anwendungen

Sobald ein Unternehmen Standards für die Anwendungsentwicklung eingeführt hat, können neue Anwendungen auf der Grundlage dieser Standards entwickelt werden. Vorhandene Anwendungen sollten ebenfalls das gleiche Maß an Integration in die Infrastruktur zur Identitäts- und Zugriffsverwaltung aufweisen.

Zu diesem Zweck muss eine Bestandsaufnahme der vorhandenen Anwendungen durchgeführt werden, die mit der Kategorisierung der Anwendungen einhergeht. Dabei sind der Wert jeder Anwendung, die von ihr bereitgestellten Informationen und ihre Sicherheitsmerkmale zu beurteilen, um die relative Bedeutung der jeweiligen Anwendung festzustellen. Wägen Sie diese Aspekte gegenüber den Kosten für eine Migration oder Änderung der jeweiligen Anwendung ab, um den Anwendungen Priorität zuzuweisen, die zuerst migriert werden müssen.

Vorteile

Zu den Vorteilen der Entwicklung und Migration identitätsabhängiger Anwendungen gehören:

  • Geringerer Aufwand bei der Verwaltung von Identitäten

  • Verbesserte Sicherheit

  • Anwendungsübergreifende Konsistenz

Herausforderungen

Zu den Herausforderungen bei der Entwicklung und Migration identitätsabhängiger Anwendungen gehören:

  • Verständnis der Funktionsweise von Anwendungen, damit Entscheidungen hinsichtlich ihrer optimalen Integration getroffen werden können

  • Auswahl einer Plattform für die Migration von Anwendungen

  • Auswahl einer Sprache oder Entwicklungsumgebung für die Entwicklung von Anwendungen

  • Auswahl eines Identitätsspeichers, der Unternehmens- und Anwendungsanforderungen erfüllt

  • Auswahl von Authentifizierungs- und Autorisierungstechniken zur Erfüllung von Anforderungen

Im Artikel „Entwickeln identitätsabhängiger ASP.NET-Anwendungen“ dieser Serie werden die Methoden erläutert, die erforderlich sind, um Anwendungen zu entwickeln, die sich in die Microsoft Identity and Access Management-Plattform integrieren lassen.

In diesem Beitrag

Download

Laden Sie die vollständige Serie in englischer Sprache herunter.

Update Notifications

Lassen Sie sich automatisch über neue Veröffentlichungen zu Themen wie diesem informieren (in englischer Sprache).

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).

 Dd443689.pageLeft(de-de,TechNet.10).gif 2 von 9 Dd443689.pageRight(de-de,TechNet.10).gif