Share via

Plattform und Infrastruktur

  • Artikel

Kapitel 2: Vorgehensweisen beim Auswählen einer Plattform

Veröffentlicht: Mai 11, 2004 | Aktualisiert : Juni 26, 2006

Beim Erstellen einer Plattform zur Identitäts- und Zugriffsverwaltung sind einige wichtige Entscheidungen zu treffen, die sich darauf auswirken, welche IT-Funktionen in einer Organisation zur Verfügung stehen. Zuerst muss man sich in einer Organisation entscheiden, ob die Lösung eines einzigen Anbieters oder mehrere so genannte Best-of-Breed-Produkte, die zu einer Komplettlösung zusammengefasst werden können, eingesetzt werden sollen.

Verwendet man die Lösung eines einzigen Anbieters, kann dies unter anderem folgende Vorteile haben:

  • Leichtere Integration

  • Umfassende Unterstützung aus einer einzigen Quelle

  • Rabatt auf Lizenzen oder Paketlizenzen

Verwendet man eine Best-of-Breed-Lösung, kann dies manchmal folgende Vorteile haben:

  • Auswählen einzelner Produkte je nach Anforderungen

  • Lizenzieren und Einsetzen lediglich der benötigten Produkte

Viele Organisationen nutzen die Vorteile beider Modelle, indem sie sich für einen Großteil der Infrastruktur für einen einzigen Anbieter entscheiden (gewöhnlich einen Plattformanbieter) und zusätzlich weitere Produkte von anderen Anbietern einsetzen. So bleiben hinsichtlich der Funktionen keine Wünsche offen. Entscheidet man sich in einer Organisation für diesen Weg, muss der Plattformanbieter nachweisen, dass die Technologie zusammen mit zahlreichen Produkten anderer Anbieter in unterschiedlichen Technologiebereichen eingesetzt werden kann.

Im verbleibenden Teil dieses Kapitels werden die Optionen besprochen, die beim Auswählen einer einzigen Plattform oder eines Best-of-Breed-Produkts in den folgenden Technologiebereichen zur Auswahl stehen:

  • Verzeichnisdienste

  • Zugriffsverwaltungsdienste

  • Vertrauensmechanismen

  • Tools zum Verwalten des Identitätslebenszyklus

  • Anwendungsplattform

Auf dieser Seite

Auswählen von Verzeichnisdiensten
Auswählen von Zugriffsverwaltungsdiensten
Auswählen von Tools zum Verwalten des Identitätslebenszyklus
Auswählen einer Anwendungsplattform
Microsoft Identity and Access Management-Plattform

Auswählen von Verzeichnisdiensten

Damit die Identitäts- und Zugriffsverwaltungsplattform problemlos betrieben werden kann, ist ein Ort erforderlich, an dem Anwendungs- und Identitätsinformationen sicher gespeichert werden können. Obwohl zum Speichern von Benutzerinformationen mehrere Optionen zur Auswahl stehen, hat man sich in der Branche schnell darauf geeinigt, für diesen Zweck standardmäßig Verzeichnistechnologie einzusetzen. Von den meisten kommerziell erhältlichen Verzeichnissen wird inzwischen ein Standardsatz an Funktionen unterstützt, der beispielsweise folgende Funktionen umfasst:

  • Unterstützung für LDAP (Lightweight Directory Access Protocol), DAP (Directory Access Protocol) oder beide Protokolle basierend auf dem X.500-Standard der ITU (International Telecommunication Union)

  • Standardisierte Attributtypen basierend auf dem X.520-Standard

  • Standardisierte Objektklassen basierend auf dem X.521-Standard

Da Verzeichnisobjektspeicherung und Verzeichniszugriffsmechanismen für die meisten Verzeichnisse relativ ähnlich sind, unterscheiden sich Verzeichnisdienstprodukte häufig durch folgende Funktionen:

  • Suchleistung

  • Speicher- und Multiprozessoreffizienz zum Aufwärtsskalieren

  • Datenreplikationsleistung zum Ausskalieren

  • Stabile Failover- und Wiederherstellungsfunktionen

  • Integration in unterschiedliche Arten von Sicherheitsdiensten

  • Integration in unterschiedliche Arten von Anwendungs- und Systemverwaltungsdiensten

  • Veröffentlichungstechnologien

  • Genaue Zugriffssteuerung auf der Objekt- und Attributebene

  • Lizenzierung

  • Unterstützung

Verzeichnisanforderungen können auch von der Rolle abhängen, die einem Verzeichnis zugewiesen wurde. Die erforderlichen Funktionen können von Rolle zu Rolle unterschiedlich sein. In vielen Organisationen kann beispielsweise der Einsatz von Verzeichnisdiensten zum Ausführen folgender Rollen erforderlich sein:

  • Intranetverzeichnis (Unternehmen)

  • Extranetverzeichnis (Umkreis)

  • Anwendungsverzeichnis

In den folgenden Abschnitten dieses Kapitels werden Aspekte beschrieben, die für Verzeichnisse in diesen Rollen wichtig sind.

Intranetverzeichnis

In den meisten Organisationen ist derzeit mindestens ein Verzeichnisdienst im Intranet vorhanden. Intranetverzeichnisdienste müssen über folgende Funktionen verfügen:

  • Zentrales Repository für Benutzerkonten

  • Zentralisiertes, sicheres Speichern von Anmeldedaten, die für die Authentifizierung verwendet werden

  • Zentralisiertes Speichern von Attributinformationen, die für die Authentifizierung verwendet werden

  • Informationen zum Suchen von Netzwerkressourcen

  • Informationen zum Suchen von Personen und Gruppen

Abgesehen von diesen Funktionen ist es äußerst nützlich, wenn der Intranetverzeichnisdienst auch eng in Sicherheitsdienste, die sich häufig im Intranet befinden, integriert werden kann.

Extranetverzeichnis

In den meisten Organisationen gelten für Extranetverzeichnisse dieselben grundlegenden Anforderungen wie für Intranetverzeichnisse. Darüber hinaus gelten für das Auswählen eines Verzeichnisses, das von Partnern, Kunden und Mitarbeitern genutzte Anwendungen unterstützen muss, folgende Voraussetzungen:

  • Skalieren auf Millionen von Benutzern

  • Kosteneffektive Lizenzierung

  • Unterstützung für mit dem Internet kompatible Authentifizierungsmechanismen

  • Darstellen mehrerer unterschiedlicher Communitys oder Organisationen (z. B. Partner oder Kunden) in einem einzigen Verzeichnis

Anwendungsverzeichnis

Anwendungsverzeichnisse werden in Organisationen verwendet, in denen Verzeichnisdiensttechnologien den Anforderungen des Szenarios gerecht werden, die im Verzeichnis gespeicherten Daten jedoch für viele Benutzer oder Anwendungen nicht nützlich sind. Anwendungsverzeichnisse verfügen gewöhnlich über untergeordnete Verzeichnisse, die auf der Organisationsebene genutzt werden, und es gelten weitere Anforderungen im Hinblick auf die Verwaltbarkeit und Bedienbarkeit. Anwendungsverzeichnisse sollten folgende Merkmale aufweisen:

  • Speichern anwendungsspezifischer Informationen

  • Einfaches Einrichten und Bereitstellen

  • Einfaches Administrationsmodell

  • Geeignete Funktionen zum Aufwärtsskalieren und für Failover

  • Kostengünstige Lizenzierung

Auswählen von Zugriffsverwaltungsdiensten

Durch Zugriffsverwaltungsdienste können Benutzer von den in der Organisation eingesetzten Anwendungen sicher authentifiziert sowie eine stabile Autorisierung durchgeführt werden. Entscheiden Sie sich im Rahmen der Zugriffsverwaltung für Technologien, die sich gut in das Verzeichnisdienstprodukt integrieren lassen.

Auswählen von Authentifizierungsmethoden

Die Anforderungen und Aspekte, die für Authentifizierungsmechanismen wichtig sind, können je nach Szenario äußerst unterschiedlich sein. Beispiele für typische Anforderungen, durch die die unterschiedlichen Authentifizierungsmethoden bestimmt werden:

  • Welche Anforderungen kann die Organisation vom Benutzer verlangen?

  • Welche Infrastruktur kann zur Unterstützung des Benutzers eingerichtet und beibehalten werden?

  • Soll für den Benutzer SSO (Single Sign-on) verwendet werden?

  • Auf welche Art von Anwendungen muss der Benutzer zugreifen?

Obwohl zwischen den Szenarios Unterschiede vorhanden sein können, bietet die Intranet- und Extranetauthentifizierung eine Möglichkeit, Benutzer und anwendbare Authentifizierungsmechanismen zu kategorisieren.

Intranetauthentifizierung

Die Intranetauthentifizierung weist folgende Merkmale auf, durch die entschieden wird, welche Authentifizierungsmechanismen Sie auswählen:

  • Hohes Maß an Steuerungsmöglichkeiten (durch Richtlinien), durch die bestimmt wird, wie Computerbenutzer (Mitarbeiter) das Netzwerk verwenden können

  • Vollständige Steuerung der Netzwerkumgebung und der Verfügbarkeit von Diensten

  • Steuerung der Konfiguration von Benutzerarbeitsstationen

  • Mehrere Anwendungstypen wie Client/Serveranwendungen und Anwendungen, die auf dem Internet oder auf Microsoft® Windows® Forms basieren

Aufgrund dieser Merkmale kann man Authentifizierungsmechanismen für das Intranet auswählen, die ein hohes Maß an Sicherheit bieten und gleichzeitig SSO ermöglichen. Allerdings ist dazu auch eine Kombination aus technisch ausgereifter Infrastruktur, Konfiguration und bestimmtem Benutzerverhalten erforderlich. Folgende Authentifizierungstechnologien erfüllen beispielsweise diese Kriterien:

  • Authentifizierungsprotokoll von Kerberos 5

  • Digitales X.509-Zertifikat auf Smartcards

  • Hardwaretoken wie RSA SecurID

Weitere Informationen über diese Technologien finden Sie im Artikel „Intranet-Zugriffsverwaltung“, der ebenfalls Bestandteil dieser Serie ist.

Extranetauthentifizierung

Mit Ausnahme von Mitarbeitern (und in einigen wenigen Fällen von Partnern), die auf Extranetressourcen unter Verwendung von VPN-Technologien über das Internet zugreifen, hat der webbasierte Extranet-Zugriff vollkommen andere Merkmale:

  • Niedriges Maß an Steuerungsmöglichkeiten (durch Richtlinien), durch die bestimmt wird, wie Computerbenutzer (Kunden, Partner) das Netzwerk verwenden können

  • Geringe oder keine Steuerung der Netzwerkumgebung und der Verfügbarkeit von Diensten außerhalb des Umkreisnetzwerks

  • Keine Steuerung der Konfiguration von Benutzerarbeitsstationen

  • Überwiegend webbasierte Anwendungen für Zugriff erforderlich

Aufgrund dieser Merkmale sollten Authentifizierungsmechanismen für das Extranet ausgewählt werden, die für ein geeignetes Maß an Sicherheit sorgen, ohne dass Benutzer dadurch unrealistisch hohe Anforderungen erfüllen müssen. Folgende Authentifizierungstechnologien erfüllen beispielsweise diese Kriterien:

  • Auf Forms basierende Authentifizierung

  • Digitale X.509-Zertifikate für Mitarbeiter

  • Microsoft Passport Services für Kunden und Partner

Trotz der äußerst expliziten Einschränkungen der Extranetumgebung erwarten Extranetbenutzer für verschiedene Anwendungen dieselben SSO-Funktionen, in deren Genuss Intranetbenutzer kommen. Darüber hinaus ist es in vielen Organisationen erforderlich, dass für verschiedene Anwendungen, die auf unterschiedlichen Plattformen ausgeführt werden, dieselben SSO-Benutzerfunktionen zur Verfügung stehen. Auf dem inzwischen starken Markt unabhängiger Softwareanbieter (Independent Software Vendor, ISV) wurde das Problem gelöst, dass bisher kein Web-SSO für heterogene Plattformen angeboten wurde, und es stehen nun viele geeignete Lösungen von zahlreichen Anbietern zur Auswahl.

Weitere Informationen über diese Technologien finden Sie im Artikel „Extranet-Zugriffsverwaltung“, der ebenfalls Bestandteil dieser Serie ist.

Implementieren der Autorisierung

Von den meisten Plattformen wird eine Art von ACL-Mechanismus (Access Control List) zum Gewähren von Zugriffsrechten auf statische Objekte wie Dateien und Drucker unterstützt. Der Zugriff auf diese Objekte wird dann gewährt, wenn ein Benutzer entsprechende Zugriffsrechte hat oder Mitglied einer Gruppe ist, die über solche Rechte verfügt.

Darüber hinaus überlegt man in den meisten Organisationen, ob man eine Art von rollenbasierter Zugriffssteuerung (Role-based Access Control, RBAC) verwenden sollte. RBAC ist gewöhnlich intuitiver und daher flexibler und leichter zu verwalten.

Mit RBAC-Mechanismen sollte es möglich sein, eine Geschäftsregel zum Definieren einer Autorisierungsrichtlinie zu implementieren. Es sollte mit einem RBAC-Mechanismus beispielsweise möglich sein, folgende Art von Geschäftsregel zu erzwingen:

Nur Kassierer können zwischen 9 Uhr und 16 UhrSparkontoeinlagen bearbeiten.

In einer Organisation sollte eine Plattform ausgewählt werden, durch die für eine effiziente ACL-basierte Zugriffssteuerung für statische Objekte sowie für einen robusten, flexiblen RBAC-Mechanismus gesorgt wird, der auf intuitive Weise verwaltet werden kann und mit dem sich komplexe Geschäftsregeln als Zugriffsrichtlinien ausdrücken lassen.

Implementieren von Vertrauensmechanismen

Unter allen bisher besprochenen Technologien ist das Implementieren von Vertrauen wahrscheinlich der Technologiebereich, bei dem unterschiedliche Plattformen die stärksten Unterschiede aufweisen. Auf höchster Ebene handelt es sich bei Vertrauen um die Gewissheit, die ein Computer hinsichtlich eines anderen Computers oder einer Gruppe von Computern hat, um die Identität eines Benutzers feststellen zu können. Vertrauensmechanismen unterscheiden sich überwiegend dadurch, wie Computer und Benutzer in den Kreis aufgenommen werden, dem Vertrauen geschenkt wird.

Hostbasierte Systeme sind beispielsweise von Natur aus sowohl autonom als auch umfassend. Nur wenige Organisationen haben mehr als einen Mainframe. Sollte dies aber der Fall sein, schenken sich diese Computer normalerweise kein gegenseitiges Vertrauen. Als Ausnahme gilt jedoch das explizite gemeinsame Nutzen von Kennwörtern.

UNIX- und Linux-Betriebssysteme sind gewöhnlich entweder eigenständige Systeme (kein Mitglied eines „Vertrauenskreises“) oder Teil einer NIS- oder NIS+-Gruppierung (Network Information Service). Außerdem können Sie UNIX- und Linux-Arbeitsstationen so konfigurieren, dass das LDAP zum Authentifizieren und Autorisieren verwendet wird. In diesem Fall werden all die Arbeitsstationen, die für die Nutzung derselben Verzeichnisinstanz konfiguriert wurden, in diesen Vertrauenskreis aufgenommen.

Damit aus der Plattform ein wahrhaft wertvolles Tool für effektive Identitäts- und Zugriffsverwaltung wird, sollte sie über Vertrauensmechanismen verfügen, die sich auf die ganze Organisation und sogar zwischen Organisationen skalieren lassen. Das Formen von Vertrauenskreisen sollte eine grundlegende Komponente darstellen, die Sie in hierarchischen Gruppierungen organisieren können. So lässt sich die Vertrauensbeziehung auf der geeigneten Ebene leichter verwalten.

Auswählen von Tools zum Verwalten des Identitätslebenszyklus

Mit Tools zum Verwalten des Identitätslebenszyklus lassen sich folgende grundlegende Identitätsaufgaben verwalten:

  • Benutzerverwaltung

  • Anmeldedatenverwaltung

  • Berechtigungsverwaltung

Alle Plattformen verfügen über Tools und Schnittstellen, mit denen der Administrator diese grundlegenden Aufgaben ausführen kann. Aber auch in diesem Bereich haben sich auf dem starken ISV-Markt positive Entwicklungen ergeben, und es stehen jetzt benutzerfreundliche, plattformübergreifende Verwaltungsfunktionen zur Verfügung. In vielen Fällen basieren diese Tools auf dem Internet, was sich hervorragend für Szenarios eignet, in denen es um die Extranetidentitätsverwaltung geht. Dies ist beispielsweise bei der an Partner delegierten Verwaltung der Fall, bei der die Partnerorganisation die Verantwortung für das Verwalten ihrer Benutzer übernimmt.

Sie sollten es in Erwägung ziehen, für Ihr Organisationsszenario Best-of-Breed-Tools zur Identitätsverwaltung zu verwenden, wenn die Anforderungen Ihrer Organisation durch die auf der Plattform zur Verfügung stehenden Tools, die für das in dieser Artikelserie beschriebene Intranetszenario entwickelt wurden, nicht erfüllt werden.

Implementieren von Identitätsintegration

Identitätsintegrationstools sind häufig selbst ausgereifte, komplexe Produkte. Mit diesen Tools können die Informationen zusammengefasst und synchronisiert werden, die zur Beschreibung der digitalen Identitäten (Attribute) zwischen den zahlreichen vorhandenen Identitätsspeichern in etablierten Organisationen dienen. Einige dieser Produkte werden auch als Metaverzeichnisprodukte bezeichnet.

Folgende Merkmale sind beim Beurteilen eines Identitätsintegrationsprodukts zu berücksichtigen:

  • Mit wie vielen unterschiedlichen Arten von Identitätsspeichern kann eine Verbindung hergestellt werden?

  • Ist für jeden „Connector“ ein so genannter Footprint (ein Benutzerkonto oder eine zusätzliche Tabelle) auf dem angeschlossenen System erforderlich?

  • Wie beständig sind die Regeln, die für den Attributfluss zwischen Identitätsspeichern gelten?

  • In welchem Ausmaß kann man die im Produkt bereits vorhandenen Regeln erweitern?

  • Können vom Produkt Benutzerkennwörter synchronisiert und von einem Speicher in einen anderen übertragen werden?

  • Unterstützt das Produkt sowohl statusbasiertes (auf dem aktuellen Status eines Objekts basierendes) als auch ereignisbasiertes (auf Änderungen innerhalb des angeschlossenen Identitätsspeichers basierendes) Verarbeiten?

  • Lässt sich das Produkt gut in die von der Organisation ausgewählten Plattformverzeichnisdienste integrieren?

Bereitstellen und Entziehen

Die Funktionen zum Bereitstellen und Entziehen von Benutzerkonten in mehreren Identitätsspeichern können Bestandteil eines Identitätsintegrationsprodukts sein oder in einem eigenständigen Produkt implementiert werden. Die Merkmale, auf die man beim Beurteilen von Bereitstellungsprodukten achten muss, sind mit den Merkmalen vergleichbar, auf die es bei Identitätsintegrationsprodukten ankommt. Die Unterstützung unterschiedlicher Workflowebenen ist beim Bereitstellen ein weiterer wichtiger Aspekt.

Auswählen einer Anwendungsplattform

Anwendungsentwicklungsumgebungen sind dafür bekannt, dass sie sich gut in die systemeigene Plattform integrieren lassen, bei anderen Plattformen werden jedoch schlechtere Ergebnisse erzielt. Aus diesem Grund entscheidet man sich in Ihrer Organisation wahrscheinlich für eine Anwendungsplattform, die mit der Infrastrukturplattform kompatibel ist, die für den Anwendungsserver in der Umgebung verwendet wird.

In vielen Organisationen werden Anwendungen auf zwei oder mehr Plattformen entwickelt oder verwendet. Für solche Organisationen ist es wichtig zu verstehen, wie heterogene Anwendungen durch die Verwendung gemeinsamer Protokolle und Infrastrukturdienste zusammen betrieben werden können. Entscheiden Sie sich nicht für eine Anwendungsplattform, die sich nicht gut integrieren lässt und die auch hinsichtlich der Interoperabilität schlecht abschneidet. Anbieter von Anwendungsplattformen sollten nachweisen können, dass Interoperabilität für sie wichtig ist, und die relevanten Bemühungen in Bezug auf Standards, durch die die Interoperabilität überhaupt erst möglich wird, unterstützen.

Microsoft Identity and Access Management-Plattform

In den folgenden Abschnitten dieses Kapitels werden die Hauptprodukte und -technologien, aus denen sich die Microsoft Identity and Access Management-Plattform zusammensetzt, sowie die Vorteile beschrieben, die durch diese Plattform für Organisationen entstehen.

Verzeichnisdienste

Microsoft Windows Server™ 2003 unterstützt den Microsoft Active Directory®-Verzeichnisdienst und einen Anwendungsverzeichnisdienst, der ADAM (Active Directory Application Mode) genannt wird. Aus der folgenden Abbildung geht hervor, welche zentrale Rolle Active Directory spielt und wie sich dieser Dienst in andere Microsoft- und ISV-Technologien integrieren lässt.

Dd443698.Plat2-1(de-de,TechNet.10).gif

Abbildung 2.1: Active Directory-Integration in andere Netzwerkkomponenten

Abbildung vergrößern

Active Directory

Active Directory weist folgende Merkmale auf, wodurch sich dieser Dienst sowohl für die Rolle des Intranet- als auch des Extranetverzeichnisdiensts eignet:

  • Zentraler Speicherort für die Netzwerkadministration und das Delegieren von Verwaltungsrechten: Administratoren können auf Objekte zugreifen, die für alle Netzwerkbenutzer, Geräte und Ressourcen gelten, Objekte zum Erleichtern der Verwaltung gruppieren sowie Sicherheits- und Gruppenrichtlinien anwenden.

  • Informationssicherheit und SSO für den Benutzerzugriff auf Netzwerkressourcen: Durch die enge Sicherheitsintegration müssen Konten nicht mehr auf kostspielige Weise für das Authentifizieren und Autorisieren zwischen Systemen erfasst werden. Ein Netzwerkbenutzer kann durch eine einzige Kombination aus Benutzername und Kennwort identifiziert werden, und diese Identität wird für diesen Benutzer im ganzen Netzwerk verwendet.

  • Skalierbarkeit: Active Directory verfügt über eine oder zwei Domänen mit jeweils mindestens einem Domänencontroller, wodurch Sie das Verzeichnis so skalieren können, dass es allen Netzwerkanforderungen gerecht wird.

  • Flexible und globale Suchvorgänge: Benutzer und Administratoren können Active Directory mit Desktoptools durchsuchen. Standardmäßig werden Suchvorgänge an den globalen Katalog weitergeleitet, der über Suchfunktionen verfügt, mit denen die ganze Struktur durchsucht werden kann.

  • Speicher für Anwendungsdaten: Active Directory verfügt über einen zentralen Speicherort für Daten, die von verschiedenen Anwendungen genutzt werden, sowie für Anwendungen, von denen Daten auf ganze Windows-basierte Netzwerke verteilt werden müssen.

  • Systematische Synchronisierung von Verzeichnisaktualisierungen: Aktualisierungen werden im Netzwerk durch sichere und kosteneffiziente Replikation zwischen Domänencontrollern verteilt.

  • Remoteadministration: Sie können von einem beliebigen Windows-basierten Computer aus, auf dem Administrationstools installiert sind, durch Remotezugriff zu Domänencontrollern eine Verbindung herstellen. Außerdem haben Sie die Möglichkeit, sich von einem Remotecomputer aus mit der Funktion für Remotedesktops bei einem Domänencontroller anzumelden.

  • Ein einziges Schema, das geändert und erweitert werden kann: Beim Schema handelt es sich um einen Satz aus Objekten und Regeln, die vorgeben, welche Strukturanforderungen für Active Directory-Objekte gelten sollen. Sie können am Schema Änderungen vornehmen, um neue Objekttypen oder Objekteigenschaften zu implementieren.

  • Integration von Objektnamen in das DNS (Domain Name System), dem Internetstandard für Computersuchsysteme: Von Active Directory wird DNS zum Implementieren eines IP-basierten Benennungssystems verwendet, damit Active Directory-Dienste und -Domänencontroller über Standard-IP sowohl in Intranets als auch im Internet lokalisiert werden können.

  • LDAP-Unterstützung: LDAP (Lightweight Directory Access Protocol) ist der Industriestandard für Verzeichniszugriffsprotokolle, wodurch Active Directory für zahlreiche Verwaltungs- und Abfrageanwendungen verwendet werden kann. Active Directory unterstützt LDAPv3 und LDAPv2.

Active Directory-Anwendungsmodus

Der Active Directory-Anwendungsmodus (ADAM) weist folgende Merkmale auf, die ihn für die Rolle des Anwendungsverzeichnisdienstes prädestinieren:

  • Einfache Bereitstellung: Entwickler, Endbenutzer und ISVs können ADAM problemlos als einfachen Verzeichnisdienst auf den meisten Windows Server 2003-Plattformen und auf Clients unter Microsoft Windows® XP Professional bereitstellen. Das ADAM-Anwendungsverzeichnis lässt sich leicht installieren, erneut installieren und entfernen, wodurch es sich als Verzeichnisdienst für Anwendungen hervorragend eignet.

  • Niedrigere Infrastrukturkosten: Durch den Einsatz einer einzigen Verzeichnistechnologie für die Anforderungen des Netzwerkbetriebssystems (Network Operating System, NOS) und des Anwendungsverzeichnisses können die insgesamt für Infrastruktur anfallenden Kosten gesenkt werden. Es sind keine zusätzlichen Investitionen in Schulungsmaßnahmen oder die Administration bzw. Verwaltung des Anwendungsverzeichnisses erforderlich.

  • Standardisierte APIs (Application Programming Interface): LDAP, ADSI (Active Directory Service Interface) und DSML (Directory Services Markup Language) werden sowohl im ADAM als auch im Active Directory implementiert. Dank dieser Funktionen können Sie Anwendungen auf ADAM erstellen und dann im Bedarfsfall auf äußerst kostengünstige Weise auf Active Directory migrieren.

  • Mehr Sicherheit: Da ADAM in das Windows-Sicherheitsmodell integriert ist, kann von jeder Anwendung, die ADAM verwendet, im ganzen Unternehmen der Zugriff für Active Directory authentifiziert werden.

  • Mehr Flexibilität: Ein Anwendungseigentümer kann problemlos verzeichnisaktivierte Anwendungen bereitstellen, ohne dass sich dies auf das Verzeichnisschema der ganzen Organisation auswirkt, und gleichzeitig weiterhin die Identitätsinformationen und Anmeldedaten verwenden, die im NOS-Verzeichnis der Organisation gespeichert sind.

  • Zuverlässigkeit und Skalierbarkeit: Anwendungen, von denen ADAM verwendet wird, weisen dasselbe Maß an Zuverlässigkeit, Skalierbarkeit und Leistung auf wie Anwendungen mit Active Directory in der NOS-Umgebung.

Weitere Informationen über ADAM finden Sie im Whitepaper Introduction to Active Directory Application Mode, das als Download angeboten wird.

Sicherheitsdienste

Folgende Sicherheitsdienste sind eng in Windows-Anwendungsserver, Windows-Clientbetriebssysteme sowie Computer mit Windows 2000 Server und Windows Server 2003 als Domänencontroller integriert:

  • Vom Kerberos 5-Protokoll werden Authentifizierung einschließlich APIs für die Nutzung durch Client/Server-Anwendungen sowie ein Kerberos-KDC (Key Distribution Center), das in Active Directory integriert ist, unterstützt.

  • Die Microsoft-SSPI (Security Support Provider Interface) ist eine gut definierte, allgemeine API, die für jedes beliebige verteilte Anwendungsprotokoll für integrierte Sicherheitsdienste für Authentifizierung, Nachrichtenintegrität, Nachrichtendatenschutz und Sicherheits-QoS (Quality of Service) sorgt.

  • Mit dem X.509-basierten Public Key Certificate Server, der in Windows Server integriert ist, können in Organisationen öffentliche Schlüsselzertifikate für die Authentifizierung an Benutzer ausgestellt werden, ohne von kommerziellen CA-Diensten (Certification Authority) abhängig zu sein.

  • SSL (Secure Socket Layer) und TLS (Transport Layer Security) verwenden digitale Client/Server-X.509-Zertifikate für die Unterstützung starker, gegenseitiger Authentifizierung und sicherer Kommunikation.

  • Auf Smartcards können private Schlüssel, Kontonummern, Kennwörter und andere Arten von persönlichen Informationen sicher gespeichert und vor Manipulation geschützt werden. Smartcards sind ein wichtiger Bestandteil der PKI (Public-key Infrastructure), die von Microsoft in die Windows®-Plattform integriert wurde.

  • Microsoft Passport bietet Benutzern die Gelegenheit, die Kundenauthentifizierung für Extranetanwendungen einer Organisation über SSO durchzuführen.

  • ACLs (Access Control Lists) auf statischen Ressourcen: Mit dem objektbasierten Microsoft Windows Server™-Sicherheitsmodell können Administratoren einem Benutzer Zugriffsrechte oder Gruppenrechte gewähren, durch die bestimmt wird, wer auf ein bestimmtes Objekt zugreifen kann.

  • Authorization Manager unterstützt RBAC in benutzerdefinierten Anwendungen.

    Hinweis   Authorization Manager ist Bestandteil von Windows Server 2003, er muss jedoch vor der Nutzung unter Windows 2000 Server zuerst von der Seite Windows 2000 Authorization Manager Runtime heruntergeladen und dann installiert werden.

  • Durch Sicherheitsüberprüfung können Änderungen an Verzeichnisobjekten und Zugriffsereignissen über das Sicherheitsereignisprotokoll übermittelt werden.

Identitätsintegrationsdienste

Microsoft Identity Integration Server 2003 Enterprise Edition mit Service Pack 1 (MIIS 2003 mit SP1) verfügt über folgende Funktionen, die Sie zum Optimieren der Identitäts- und Zugriffsverwaltung in Ihrem Unternehmen verwenden können:

  • Identitätszusammenfassung, Synchronisierung und das Bereitstellen in heterogenen Identitätsspeichern

  • Verwaltungsagenten für die Verbindung zu mehreren Identitätsspeichern einschließlich Verzeichnisdiensten, Datenbanken und E-Mail-Systemen

  • Kennwortverwaltung und -synchronisierung einschließlich einer benutzerverantwortlichen Webanwendung zum Zurücksetzen von Kennwörtern

  • Kein Connectorfootprint auf den angeschlossenen Identitätsspeichern

  • Ereignis- oder statusbasierte Synchronisierungsverarbeitung

  • Leicht erweiterbar durch die Microsoft Visual Studio® .NET-Programmierumgebung

Ein Funktionssatz, der über weniger Funktionen verfügt und als Identity Integration Feature Pack für Active Directory bezeichnet wird, bietet folgende Vorteile:

  • Verwaltungsagenten für Active Directory, ADAM und GAL-Synchronisierung (Global Address List)

Clientbetriebssystem

In Organisationen, in denen Windows XP Professional als Standard eingeführt wird, wird man in den Genuss folgender Vorteile kommen:

  • Unterstützung für Windows-integrierte Authentifizierung mit Plattformdiensten für SSO für Datei-, Druck- und Webanwendungsdienste

  • Gruppenrichtlinie auf Domänenebene für höhere Sicherheit

  • Zusätzliche SSO-Funktionen zwischen verschiedenen Organisationen, für die Kennwörter, digitale X.509-Zertifikate und Microsoft Passport-Konten durch Windows Credential Manager genutzt werden

Entwicklungsplattform

Microsoft Visual Studio.NET und .NET Framework bieten folgende Funktionen:

  • Entwickeln identitätsbewusster Anwendungen, von denen die Leistungsfähigkeit der Microsoft Identity and Access Management-Plattform genutzt wird

  • Senken der durch die Anwendungsentwicklung entstehenden Kosten

Plattformvorteile

Durch das Implementieren der Microsoft Identity and Access Management-Plattform sowie den in den nächsten Kapiteln dieses Artikels beschriebenen Lösungen kommt Contoso in den Genuss folgender Vorteile:

  • Eine einzige sichere, vertrauenswürdige Quelle für Identitätsinformationen: Administratoren gewinnen einen zuverlässigen, aktuellen Überblick über alle Anwendungen und Systeme sowie über sämtliche Benutzer und ihre jeweiligen Rechte.

  • Nahtlose Anwendungsintegration: Die Microsoft-Entwicklungsplattform bietet sichere, auf Standards basierende Authentifizierung, Autorisierung und Datenschutzmechanismen.

  • Mehr Sicherheit und Bereitstellung: Identitäten auf mehreren Systemen der Organisation für Mitarbeiter, Kunden oder Partner werden entfernt, sobald ihre Beziehung zur Organisation beendet wird.

  • Leichtere Verwaltung und niedrigere Verwaltungskosten: Administratoren können digitale Identitäten schnell und leicht an einer zentralen Stelle hinzufügen, ändern und entfernen.

  • Präzise Zugriffssteuerung: Administratoren können genauer steuern, auf welche Ressourcen Benutzer zugreifen können, welche Tätigkeiten sie für diese Ressourcen ausführen können und wie Sicherheitsrichtlinien im Detail für Benutzer und Ressourcen angewandt werden.

  • Verwenden weniger Kennwörter und bessere Kennwortverwaltung: Benutzer können leichter auf Anwendungen zugreifen, und Helpdeskmitarbeiter verbringen weniger Zeit mit dem Bearbeiten von Kennwortproblemen.

  • Interoperabilität zwischen Identitäts- und Betriebssystemen: Durch die Lösung wird Interoperabilität durch auf Standards basierende Zugriffs- und Authentifizierungsmechanismen gewährleistet, wodurch weniger Zeit zum Integrieren und Verwalten mehrerer Systeme benötigt wird.

  • Sichere, zuverlässige Überprüfung: Durch Überprüfung kann die erforderliche Erklärung dafür gefunden werden, wer auf Netzwerkressourcen zugreift, auf welche Ressourcen zugriffen wird sowie wann, wo und wie dieser Zugriff erfolgt.

  • Verwalten lokaler Anmeldedaten: Starker Schutz lokal gespeicherter Kennwörter durch Windows Credential Manager.

Obwohl die Plattform über Kerndienste verfügt, die für die Identitäts- und Zugriffsverwaltung erforderlich sind, müssen mehrere Lösungen mit der Plattform implementiert werden, damit man in den Genuss all dieser Vorteile kommt. In Kapitel 4 dieses Artikels („Entwerfen der Infrastruktur“) werden diese Lösungen näher behandelt.

In diesem Beitrag

Download

Laden Sie die vollständige Serie in englischer Sprache herunter.

Update Notifications

Lassen Sie sich automatisch über neue Veröffentlichungen zu Themen wie diesem informieren (in englischer Sprache).

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).

 Dd443698.pageLeft(de-de,TechNet.10).gif 2 von 9 Dd443698.pageRight(de-de,TechNet.10).gif