Worauf kommt es bei der Auswahl eines Identity & Access Management (IAM)-System wirklich an?
Wie einfach respektive kompliziert ein Identity & Access Management (IAM)-System errichtet, verwaltet, angepasst und weiterentwickelt werden kann, das ist von der Komplexität seines Aufbaus abhängig. Der Grad der Komplexität des Gesamtsystems, wiederum, erhöht sich mit jedem zusätzlichen Konnektor und Workflow, der eingesetzt wird. Dafür verantwortlich sind die den Konnektoren und Workflows zugrundeliegenden Synchronisationen. Über sie werden die Struktur- und Formatunterschiede der Eintragungen zwischen dem zentralen Verzeichnis und den Zielsystemen überbrückt. Synchronisationen sind aber nicht nur komplexitätstreibend, sie sind auch fehlerbehaftet. Synchronisationsfehler ziehen immer wieder manuelle Eingriffe und Korrekturen in den Zielsystemen nach sich. Zeitversetzte Synchronisationsläufe können zudem in den Zielsystemen zwischenzeitlich nicht mehr aktuelle Eintragungen zur Folge haben.
Wenn Identitäten, ihre Berechtigungen und weitere Eintragungen nicht mehr stimmen, dann geht dies schnell auf Kosten der Zugriffssicherheit von Daten, Anwendungen und Systemen und in der Folge von Compliance. Konnektoren haben einen weiteren Nachteil: Sie ziehen für Unternehmen in der Regel hohe Lizenzgebühren nach sich, die sich mit steigender Zahl kräftig aufsummieren und IAM-Projekte erheblich verteuern.
Zuschnitt nach Anforderungsmaß. Das heißt im Umkehrschluss: »Nur wenn das IAM-System in seinem Aufbau mit wenigen Konnektoren und Workflows, somit wenigen Synchronisationen, auskommt, wird das Unternehmen von Anfang an auf eine einfach erricht-, verwalt-, anpass- und weiterentwickelbare Lösung zählen können«, unterstreicht Andreas Martin, Vorstand und CEO des Consulting-Unternehmens FirstAttribute AG. Eine pragmatische, zeitgemäße Ausrichtung der IAM-Portallösung, die nicht mit alten Entwicklungslasten – zu vielen Modulen und Funktionen – zu kämpfen habe, sei dafür die Grundvoraussetzung. Eine solche Lösung sollte nach Martin auf der bestehenden Microsoft-Bürokommunikationswelt – mehr als 90 Prozent der Unternehmen setzen diese Welt ein – mit Active Directory als zentralem Verzeichnis und auf bestehende Funktionen wie Active Directory Federation Service (ADFS) und Microsoft Identity Manager (MIM)-Konnektoren aufsetzen. Darüber hinaus, so Martin, sollte die IAM-Portallösung der Wahl mit überzeugenden Funktionen aufwarten. Sie sollten auch für die Einbindung von Nicht-Microsoft-Zielsystemen den Einsatz komplexer, synchronisationslastiger Konnektoren und Workflows weitgehend ersparen.
Quest One Identity. Die meisten der angebotenen IAM-Systeme sind seit vielen Jahren, oft über Jahrzehnte, gewachsen, mit einem herstellereigenen, also proprietären zentralen Verzeichnisdienst im Herzen der Architektur. Das ist bei Quest One Identity, vormals Dell One Identity Manager, nicht anders. Florian Malecki, International Product Marketing Director SonicWall, der hier noch für die gemeinsame Dell Software Gruppe sprach, die sich mittlerweile in Quest und SonicWall gespalten hat, verwies dazu auf die zentrale Datenbank-/Verzeichnis-Konstruktion, One Identity Manager, in der alle Benutzer, Zugriffsrechte, Informationen und Identitäten gespeichert sind. Deshalb muss generell auf Konnektoren mit Synchronisationen zurückgegriffen werden, um Informationen in die Zielsysteme schreiben zu können. Das gilt demzufolge auch für Zielsysteme der Microsoft-Welt, unabhängig davon, ob sie sich innerhalb der unternehmenseigenen Installation befinden oder innerhalb einer Dienstleistungs-Cloud. Malecki bezeichnet Genehmigungs-Workflows, die ebenfalls auf komplizierte Synchronisationen basieren, als »eine Kernfunktion von Quest One Identity«. »Sie können zur Steuerung von Zugriffen, zur Erteilung von Berechtigungen und für andere Dinge genutzt werden.« Die Quest-Lösung setzt sich aus den Produktsäulen »Identity Governance«, »Access Management« und »Privileged Management« zusammen. Darum ranken sich, auch eine Folge des komplexen Konnektor- und Workflow-basierenden Aufbaus, mehr als ein Dutzend Produktmodule (siehe https://www.quest.com/de-de/products/identity-manager/).
Atos/Evidian IAM. Evidian IAM, mit der Übernahme von Bull zu Atos gehörend, hat mehr als zwanzig Jahre Produktentwicklung hinter sich. Sie hat zu einem hoch komplexen Aufbau geführt. Erwin Schöndlinger, Director Cyber Security Sales, Atos Deutschland, nennt sieben Grundmodule, aus denen sich das IAM-Gesamtgerüst zusammensetzt. Wie das IAM-System von Quest auch die Evidian-Lösung für die Datenhaltung auf eine zentrale Datenbank/ein zentrales Verzeichnis proprietären Zuschnitts auf. Darin können auch die Policies mit den Sicherheitsrichtlinien abgelegt werden. Auch hier wird die Brücke zu allen Zielsystemen jeweils über einen Konnektor mit Synchronisationsfunktion geschlagen. Diese Konnektoren erschließen nach Schöndlinger »eine automatische Verwaltung von Benutzerkonten und Zugriffsrechten in den Zielsystemen«, allerdings verbunden mit den oben genannten Nachteilen. Evidian IAM ist mit zahlreichen Workflows mit eingebauter Synchronisation konzeptionell und umsetzungstechnisch durchsetzt. »Dafür wird eine Workflow-Engine zur Verfügung gestellt, um darüber Identity Lifecycle Management und Entitlement Management zu realisieren«, beschreibt Schöndlinger. Zudem werde mittels Workflows das Management von Rollen, Berechtigungen und Business-Regeln unterstützt. Darüber hinaus eröffnet Evidian IAM über Workflows einen automatisierten Abgleich (Synchronisation) von Policies (Soll-Zustand) mit den in den Zielsystemen hinterlegten Zugriffsrechten (Ist-Zustand). Weil dieser Abgleich meist mit Differenzen einhergeht, wird für die Nachbearbeitung durch den Administrator parallel ein manueller Abgleich eingeräumt.
IAM-Lösung von Microsoft. Die IAM-Lösung von Microsoft hat den Vorteil, dass über die beiden letzten Jahrzehnte der Hersteller im Bereich der Bürokommunikation eine Vormachtstellung erreicht hat. »In einer ausschließlich On-Premises-Umgebung können diese Systeme direkt an das Microsoft Active Directory (also ohne Konnektoren) angebunden werden«, so Markus Wilhelm-Köstner, Technischer Lösungsberater modern Workplace bei Microsoft Deutschland. Zu diesen On-Premises-Komponenten von Microsoft zählen Active Directory Federation Service und in Hybrid- oder Cloud-Online-Szenarien Azure AD, das gegebenenfalls um Synchronisations- und Federation-Lösungen erweitert werden kann. Bei allen anderen Zielsystemen außerhalb der Microsoft-Welt verfechtet der Hersteller eine Einbindung über Microsoft Identity Manager (MIM) in Kombination mit Management Agent (MA)-Konnektoren zur Synchronisation und Konsolidierung der Zielsysteme. Solche Konnektoren werden sowohl von Microsoft als auch von Drittherstellern geboten (https://docs.microsoft.com/en-us/microsoft-identity-manager/plan-design/supported-management-agents). Prozesse als Workflows können bei der Microsoft-Lösung innerhalb des Portals implementiert werden, beispielsweise Genehmigungs-Workflows. Dazu setzt der MIM-Service mit MIM Portal auf dem MIM Synchronization Service auf. Workflows, die sich über die Microsoft-Umgebung hinaus erstrecken, bedürfen ebenfalls zusätzlicher Konnektoren, MAs, um in die Strukturen und Formate dieser Zielsysteme zu übersetzen. So besehen endet die Einfachheit der IAM-Lösung von Microsoft jenseits der Grenzen der eigenen Produktwelt.
FirstAttribute IDM Portal. Anders als die drei vorgenannten IAM-Systeme ist das IDM-Portal mit integriertem Berechtigungsmanagement von First-Attribute von vornherein auf die Marktgegebenheiten angepasst, zudem vollständig als Benutzer-Self-Service-Portal ausgerichtet worden. Als neue Lösung kommt IDM Portal ohne die Modul- und Funktionsaltlasten langwierig gewachsener IAM-Systeme aus. Auch beim IDM-Portal ist, wie bei der Microsoft-Lösung, Active Directory respektive Azure AD in der Cloud, das zentrale Verzeichnis. Für die Einbindung von Microsoft-Systemen und -Diensten werden demzufolge keine Konnektoren gebraucht. Auch für die Einbindung aller anderen Zielsysteme außerhalb der Microsoft-Welt weiß die FirstAttribute-Lösung zu überzeugen. Der Power Shell Provider, eines von drei Modulen des Self-Service-Portals, erspart den Unternehmen in den meisten Fällen den Einsatz von Konnektoren. Die Brücke zu den Zielsystemen wird stattdessen über sogenannte Power Shell Extensions geschlagen. Der Markt bietet mittlerweile diese Erweiterungen für nahezu alle Zielsysteme, dies zu einem Preis, der weit unterhalb der Lizenzgebühren für klassische Konnektoren liegt. Für weniger komplizierte Struktur- und Formatumsetzungen können außerdem unter dem IDM Portal Text-/XML-Konnektoren herangezogen werden. Der Einsatz klassischer Konnektoren, wie der von MIM-Konnektoren, ist somit nur in wenigen Anbindungsfällen erforderlich, was die Komplexität des Gesamtsystems erheblich reduziert. Workflows setzt FirstAttribute-Lösung eine stringente Verwaltung von Identitäten und Berechtigungsrollen sowie eine simple und dennoch sichere Delegation von Berechtigungen entgegen. Diese Funktionen sind ebenfalls im Power Shell Provider angesiedelt. Über einfach zu erstellende Skripte und vordefinierte Templates kann sowohl die Verwaltung von Identitäten und ihren Berechtigungsrollen als auch die Delegation von Berechtigungen in Form von Prozessen automatisiert werden. Der weitgehende Ausschluss von Konnektoren und Synchronisationen birgt für Unternehmen einen weiteren Vorteil in sich: Änderungen im zentralen Verzeichnis werden, anders als per Synchronisation, sofort in die betreffenden Zielsysteme geschrieben. Somit kann es zwischenzeitlich in den Zielsystemen zu keinen inaktuellen Identitäts-, Berechtigungs- und sonstigen Einträgen kommen.
Hadi Stiel ist freier Journalist,
Kommunikationsberater und geprüfter IT-Sachverständiger
in Bad Camberg.
Illustration: © GlebStock/shutterstock.com
Sicherheitsaudit: Identity und Access Management (IAM) im Selbsttest
Identity- und Access-Management – Messbare Vorteile durch IAM-Software
IAM als »One-stop-Shop«: Das bessere Berechtigungsmanagement
Cyber Security mit Augenmaß – Auf Planung und Organisation kommt es an
Die Bedeutung von Cloud-basiertem Privileged Identity Management
Identity Security im Mittelpunkt der digitalen Unternehmenstransformation
Identity Security ist für digitale Unternehmenstransformation unverzichtbar
Die Hälfte der Unternehmen setzen auf Cloud als Standard für IT-Projekte
IT-Security-Strategie erzeugt intensivere Kundenbindung, Wettbewerbsvorteile, höhere Produktivität
Identity Management ist entscheidender Faktor beim Schutz von Daten