20100304ca Kuppinger Identity Management für Cloud Computing

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  11-12 2011
E-Paper  9-10 2011
E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Identity Management auch für die Cloud

Der nächste Schritt

Identity und Access Management (IAM) kümmert sich heute vor allem um interne Benutzer und Systeme. Die Realität von Unternehmen sieht aber anders aus. Geschäftsprozesse binden längst Kunden und Lieferanten auch in IT-Systeme ein. Benutzer sind zunehmend mobil. Und Anwendungen laufen zunehmend auch extern. Deshalb muss man das IAM weiterentwickeln – denn ein funktionsfähiges IAM, das sowohl die internen Benutzer und Systeme als auch die externen Benutzer und Systeme integriert, ist die Voraussetzung für Access Governance und IT-Sicherheit in einer vernetzten Welt.

 

E

s ist noch nicht allzu lange her, dass man die internen IT-Systeme vor allem an der Schnittstelle zwischen der Innenwelt des Unternehmens und der Außenwelt gezielt schützen konnte – zumindest vor externen Zugriffen. Der Perimeter-Schutz durch Firewalls reicht aber längst nicht mehr aus. Genauso wenig reicht es auch, sich darauf zu konzentrieren, die Zugriffsberechtigungen von internen Benutzern auf interne Systeme zu steuern. Die immer stärkere Vernetzung von Unternehmen sowohl mit Lieferanten entlang der Wertschöpfungskette als auch mit Kunden und die geforderte höhere Agilität bei der Umsetzung von neuen Geschäftsanforderungen erfordern auch IAM-Konzepte, die das abbilden können.

Wenn beispielsweise ein Finanzunternehmen für seinen Vertrieb eine Partnerschaft mit einem Finanzdienstleister beschließt, dann kann das bedeuten, dass auf einen Schlag etliche tausend Personen kontrollierten Zugriff auf einzelne interne Anwendungen erhalten müssen. Das kann man versuchen, über ein Portal zu lösen, bei dem nur Teilbereiche von Anwendungen sichtbar gemacht werden und bei dem sich diese Benutzer registrieren können. Wie wenig solche isolierten Ad-hoc-Lösungen taugen wird spätestens bei der nächsten, etwas anders gelagerten Partnerschaft deutlich, die dann wieder ein neues Projekt mit langer Planung und Implementierung und entsprechenden Kosten erfordern würde.

Die zunehmend mobilen Benutzer, Arbeitsformen wie Home Offices und natürlich die Cloud mit ihrer Tendenz zur Externalisierung von Diensten tun ein Übriges. Wer darauf nicht reagiert und immer noch den Fokus ausschließlich auf ein internes IAM für interne Systeme und Informationen hat, verliert die nötige Geschwindigkeit in der IT, um schnell, sicher und nachvollziehbar auf neue Business-Anforderungen reagieren zu können.

Keine Lösung: Cloud-IAM für die Cloud

Veränderungen schaffen Innovationen – das ist auch beim Thema des Cloud Computings so. Und wie immer werden sich bei weitem nicht alle Innovationen durchsetzen, weil eben auch nicht alle Innovationen sinnvoll sind. Das gilt auch und gerade für Identity und Access Management in und aus der Cloud. Ein Single Sign-On in der Cloud ausschließlich für Cloud-Anwendungen macht nur begrenzt Sinn, weil es eben auch um die internen Anwendungen geht. Ein Identity Provisioning nur für interne Anwendungen hat ebenso eine begrenzte Reichweite.

Die Herausforderung ist nicht, Dinge nach außen zu verlegen, die man bisher intern gemacht hat. Das mag im Einzelfall Sinn machen, aber es ist nicht das Kernthema. Die Herausforderung ist auch nicht, neue Infrastrukturen für neue externe Dienste zu schaffen. Das sind Punktlösungen. Die Herausforderung ist die Überwindung der Trennung zwischen internen und externen Systemen und zwischen internen und externen Benutzern. Darauf muss der Fokus liegen.

Schon mit Blick auf die Nachvollziehbarkeit von Zugriffsberechtigungen und die Umsetzung von SoD-Regeln (Segregation of Duties, Trennung von Verantwortlichkeiten) ist es unverzichtbar, hier einen Lösungsansatz zu finden, der ein Identity und Access Management für alle Benutzer und für alle Systeme unterstützt.

Die 4A – mehr als nur Benutzermanagement oder Authentifizierung

Die ersten Ansätze in diese Richtung finden sich heute schon. Web-Access-Management-Lösungen unterstützen schon länger auch die Einbindung externer Benutzergruppen, oft aber in relativ isolierter Form. Federation-Ansätze, bei denen externe Benutzer von vertrauten Partnern verwaltet und authentifiziert werden, haben den Hype längst hinter sich und werden zur Realität. Und auch bei externen Cloud-Diensten findet sich immer häufiger die Unterstützung für SAML (Security Assertion Markup Language) als dem zentralen Federation-Standard. Damit können Benutzer im Unternehmen verwaltet und authentifiziert werden. Der Cloud-Provider vertraut dieser Authentifizierung und erlaubt die Zugriffe.

Das reicht aber nicht aus. Bei den 4A des Identity und Access Managements geht es nicht nur um Administration und Authentifizierung (das »wer?«), sondern auch um die Autorisierung und das Auditing (das »was?«). Man muss Benutzer verwalten, sie zuverlässig identifizieren, ihnen kontrollierten Zugriff gewähren und auch nachverfolgen können, was diese Benutzer letztlich gemacht haben.

Das bedeutet eben, dass SAML nicht ausreicht, wenn man Cloud Services nutzt. Man muss auch in der Lage sein, die Berechtigungen dieser Benutzer zu steuern und die Kontrolle über die Zugriffsberechtigungen behalten. Wenn man das völlig separat nur über die jeweiligen proprietären Web-Schnittstellen von Cloud-Diensten machen kann, reicht das nicht aus. Lösungsansätze sind hier beispielsweise die Unterstützung von Standards wie SPML (Service Provisioning Markup Language) als offene Schnittstelle für das Provisioning, XACML (eXtensible Access Control Markup Language) für die granulare Steuerung von Berechtigungen über Richtlinien oder auch Konnektoren für wichtige Cloud Services als Teil von bestehenden Identity-Provisioning-Lösungen. Letztere können dann auch proprietäre Web-Service-Schnittstellen von Herstellern ansteuern. Für wichtige Cloud-Dienste wie »Salesforce.com« oder Google Apps finden sich inzwischen auch erste Implementierungen bei einigen Provisioning-Anbietern.

Weitgehend ungelöst ist dagegen das Thema Auditing, von einfach zugänglichen Audit-Logs auch mit den Zugriffsinformationen bis hin zur differenzierten Analyse von Zugriffsberechtigungen über sogenannte Access Governance-Produkte.

Es wird sicher noch einige Zeit dauern, bis entsprechende Schnittstellen auf breiter Basis verfügbar sind. Die Zielrichtung aber ist klar – für Anwender ebenso wie für die Anbieter von Cloud-Diensten und von Identity Management-Tools.

Was tun mit bestehenden Systemen?

Parallel zu dieser technischen Entwicklung muss man die bisherigen IAM-Infrastrukturen analysieren und daraufhin hinterfragen, ob sie den neuen Anforderungen einer über die Unternehmensgrenzen hinaus offenen IT gewachsen sind. Dabei stehen zwei Aspekte im Mittelpunkt: Wie weit lassen sich auch die externen Benutzer damit sinnvoll verwalten? Und wie gut lassen sich zukünftig externe Dienste damit steuern? Bei der ersten Frage geht es um Themen wie die Speicherung von Benutzerdaten, um die Prozesse für die Beantragung von Benutzern und Zugriffsberechtigungen und um deren Authentifizierung. Dahinter stehen Detailprobleme, von unterschiedlichen Benutzer-IDs bis hin zur Frage nach der nötigen Skalierbarkeit und der Trennung von Benutzergruppen aus Sicherheitsgründen. Grundsätzlich gibt es hier aber genug technische Lösungen. Provisioning-Produkte können unterschiedliche Prozesse unterstützen, ebenso wie moderne Architekturen auch die Kopplung mehrerer Provisioning-Produkte unterhalb einer Prozessschicht als Option bieten. Virtuelle Verzeichnisdienste können unterschiedliche Benutzerverzeichnisse effizient integrieren.

Die zweite Frage wird man an die Produktanbieter richten müssen, denn es geht vor allem auch darum, wann welche externen Dienste in welcher Form unterstützt werden. Die größte Hürde sind dabei allerdings die Schnittstellen, die von Cloud-Anbietern geliefert werden. Die Integration von SAMLv2 in eine Enterprise-Single-Sign-On-Lösung (E-SSO) für ein optimiertes Sign-On auch zu Cloud-Diensten oder von zusätzlichen Konnektoren in Provisioning-Produkte, die Web Services von Cloud-Diensten ansteuern, ist technisch relativ einfach.

Das bedeutet aber auch, dass man die IAM-Infrastruktur keineswegs fundamental verändern muss, um den eingangs genannten Veränderungen gerecht zu werden. Es geht um eine gezielte Weiterentwicklung. Wie diese aussehen soll, muss man sich aber heute überlegen – schon um Investitionen in »Legacy-IAM« zu vermeiden, das die absehbaren neuen Anforderungen nicht erfüllt.

Martin Kuppinger

____________________________________

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Martin Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und –Fachartikeln veröffentlicht. Weitere Informationen finden Sie hier: www.kuppingercole.com

 

Folgen Sie »manage it« auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH