English   Deutsch      

KuppingerCole Newsletter

25.07.07 KCP über Identity Management

Frage der Woche:

Für welche Zwecke setzen Sie Client-Zertifikate nach dem X.509 v3-Standard ein?


MARTIN KUPPINGER: Provisioning-Projekte richtig angehen - HR alleine reicht nicht aus

Ich bin immer wieder beeindruckt, mit welcher Konsequenz Hersteller und System-Integratoren in Vorträgen die These vertreten, dass man ein Provisioning-Projekt mit dem HR-System als führendem System angehen müsse. Denn auch die stete Wiederholung macht diese Aussage nicht wahr.

Natürlich, um den großen Aufschrei gleich im Keim zu ersticken, spielen HR-Systeme eine wichtige Rolle in Provisioning-Projekten. Der Absolutheitsanspruch und der eingeschränkte Fokus auf nur dieses eine System sind aber schlicht falsch. Denn es geht nicht nur um das Anlegen von Benutzern, sondern auch um das Ändern und Löschen. Außerdem geht es nicht nur um fest angestellte Mitarbeiter, sondern auch um temporäre Mitarbeiter, Kunden, Lieferanten und viele weitere Gruppen von Identitäten.

Das HR-System kann durchaus eine gute Basis als führendes System sein, um einen Teil der Herausforderungen in einem Provisioning-Projekt zu lösen. Denn in vielen Unternehmen werden neue, fest angestellte Mitarbeiter dort rechtzeitig angelegt, so dass der folgende Provisioning-Prozess daraus initiiert werden kann. Wir sind aber in unseren strategischen Beratungsprojekten ebenso schon auf Situationen gestoßen, in denen selbst die internen Mitarbeiter im HR-System eben nicht gesichert zum ersten Arbeitstag angelegt werden. Und die anderen potenziellen Nutzer fehlen dort meist ohnehin, auch wenn einzelne Unternehmen beispielsweise freie Mitarbeiter im HR noch "künstlich" anlegen. Aber spätestens bei Kunden oder Lieferanten ist das HR als alleinige Quelle am Ende. Anzumerken ist auch, dass im HR-System selten alle Daten vorhanden sind, die im Provisioning-Prozess benötigt werden.

Bei Änderungsprozessen gilt nicht nur, dass das HR-System nicht unbedingt das führende System ist, weil die Änderung aus einem anderen System oder in einem manuell von dem zuständigen Mitarbeiter (beispielsweise einem Abteilungsleiter) angestoßenen Prozess ausgelöst wird. Es gibt sogar genug Fälle, in denen das HR-System überhaupt nicht in diese Änderungsprozesse involviert ist, weil es beispielsweise "nur" um die Vergabe zusätzlicher Berechtigungen durch die Zuordnung zu einem Projekt geht.

Und selbst beim Löschen von internen Mitarbeitern ist das HR-System keineswegs zwingend das führende System. Zum einen verbleiben Mitarbeiter im HR-System auch über das Ausscheiden aus dem Unternehmen hinaus im HR-System. Zum anderen gibt es Situationen, in denen ein De-Provisioning sehr schnell erfolgen muss, weil der Mitarbeiter vielleicht zeitgleich vom Werksschutz zum Tor geleitet wird und eben überhaupt keine Zugriffsrechte mehr haben soll.

Selbst ohne all die Identitäten, die ohnehin nicht im HR auftauchen, ist das HR-System zwar nicht unwichtig. Es ist aber nicht mehr als eine unter mehreren führenden Quellen, die für einen bestimmten Teil der Prozesse relevant ist.

Wenn man also an das Thema Provisioning herangeht, sollte man zunächst einen neutralen, systemunabhängigen Blick auf Prozesse werfen. Zunächst gilt es einzugrenzen, welche Identitätsgruppen in welcher Projektphase betrachtet werden sollen und müssen. Anschließend bietet sich ein Blick auf die Attribute an, die provisioniert werden sollen. Denn führende Systeme müssen pro Attribut und nicht generell pro Identität festgelegt werden. Bei dieser Betrachtung und den Gesprächen mit den bisherigen Systemverantwortlichen wird schnell deutlich, welches System in welcher Situation für welches Attribut führend ist. Und damit sind auch schon viele Informationen zu den eigentlichen Provisioning-Prozessen vorhanden. Auf dieser Basis lassen sich dann valide Aussagen treffen - und es lässt sich erkennen, wie einfach oder komplex das Provisioning-Projekt in Wirklichkeit wird. Eines gilt aber immer: Ein umfassendes Provisioning-Projekt ist komplexer und erfordert mehr Vorarbeit bei den Prozessen, als die Aussage mit "HR als führendem System" erwarten lässt.

Die eingangs genannten Aussagen sollten daher auch eher ein Warnsignal als ein Hinweis auf umfassende Projekterfahrungen sein. Und dann lohnt es sich, diese zu hinterfragen. Denn der größte Aufwand im Provisioning-Projekt entsteht in der Regel nicht bei den wenigen, einfachen Prozessen für das Anlegen der internen Benutzer, sondern bei den vielfältigen weiteren Prozessen für Änderungen, das Löschen, andere Identitätsgruppen und das Hinzufügen der Attribute, die nicht aus dem HR-System stammen. Außerdem sollte man sein Provisioning-Projekt selbst dann, wenn man zunächst das interne Benutzermanagement optimieren möchte, immer so auslegen, dass es alle Identitäten umfassen kann. Und dafür taugt HR als Quellsystem eben nicht.

Ich möchte in diesem Zusammenhang auch noch auf die von KCP ins Leben gerufene Initiative ?GenericIAM? hinweisen, die nun bei der NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit) als Kompetenzzentrum angesiedelt ist und die sich um die Standardisierung von generischen Prozessen insbesondere im Bereich Provisioning kümmert. Weitere Informationen dazu finden Sie unter www.genericiam.org. Ihr Ansprechpartner ist Dr. Horst Walther (hw@kuppingercole.de).


Identity Management-Marktstudie 2007

Die Umfrage zur Identity Management-Marktstudie 2007 ist nun online unter

http://www.kuppingercole.de/survey/12

Wir würden uns über eine rege Teilnahme an dieser Studie freuen. Mit der Studie erfassen wir den aktuellen Status, Trends und Informationen zu geplanten Investitionen im Identity Management-Markt.

Unter den registrierten Teilnehmern verlosen wir ein VIP-Ticket für die European Identity Conference 2008 sowie einen kostenlosen Beratungstag mit einem Analysten von Kuppinger Cole + Partner. Außerdem können die registrierten Teilnehmer an einem Webcast teilnehmen, in dem wir die wichtigsten Ergebnisse der Studie veröffentlichen werden.


Neue Reports von KCP

Product Report Imprivata OneSign 3.5

Trend Report: Identity as a Service - IAM Vision 2010

Demnächst verfügbar:

Vendor Report HP

Vendor Report Secude

Report KCP Identity Management Roadmap

Weitere aktuelle Reports:

Vendor Report Novell

Vendor Report Oracle

Vendor Report Siemens

Product Report Siemens DirX Identity 8

Product Report Völcker ActiveEntry 3.1


Neue Umfrage: Die Rolle von SAP im Identity Management

Kaum ein Thema bewegt die Identity Management-Branche und die Anwender derzeit so wie die Akquisition von MaxWare durch SAP und die zukünftige Rolle, die SAP im Identity Management spielen wird. Wir möchten Ihre Meinung dazu - nehmen Sie an der aktuellen Kurzumfrage teil:

http://www.kuppingercole.de/survey/14


Kurzanalyse: Oracle akquiriert Bharosa

Oracle hat die Übernahme von Bharosa angekündigt, einem kleineren US-Anbieter, der sich auf die Real Time-Analyse von Angriffsversuchen und den Schutz der Authentifizierung fokussiert hat. Die Lösungen von Bharosa sollen Teil der Identity Management-Lösungen von Oracle werden.

Mehr...


Virtual Directories: Ein Kernbaustein von Anwendungssicherheitsinfrastrukturen

Virtual Directory Services haben nach Einschätzung von KCP das Potenzial, sich in den kommenden zwei bis vier Jahren zu einer der wichtigsten Komponenten für IT-Infrastrukturen zu entwickeln. Dafür gibt es mehrere Gründe. Einer ist ihre Bedeutung für einen optimierten Umgang mit Anwendungsverzeichnissen.

Mehr...


Workshop: Identity Management im SAP-Umfeld

Mit dem Zukauf von Maxware hat SAP für Aufsehen gesorgt. Dennoch stellt sich die Frage, welcher Ansatz für das Identity Management der richtige ist, wenn (neben anderen IT-Systemen) SAP-Systeme eingesetzt werden.

Wie abhängig oder unabhängig kann/soll die Identity Management-Strategie im SAP-Kontext gehalten werden?

Bei der Betrachtung dieser Frage darf der Blick aber nicht nur der technischen Ebene der Identity Management-Infrastruktur und der Anwendungsinfrastruktur, also beispielsweise SAP NetWeaver gelten, sondern muss auch die Business-Anforderungen und Systeme wie beispielsweise SAP GRC Access Control einbeziehen.

In dem Workshop werden Ansätze verschiedener Hersteller - einschließlich SAP - für das Identity Management im SAP-Umfeld und das übergeordnete, business-orientierte Management von Rollen, Zugriffsrechten sowie der Anforderungen an Governance, Compliance und Risk Management behandelt. Diese werden in den Kontext aktueller Anforderungen und Sichtweisen auf das Identity Management, aber auch übergeordneter Trends für das Identity Management und das Business-Alignment der IT gestellt.

Der Workshop liefert einen Überblick über den Status und diese Trends und gibt Entscheidungshilfen für die Entwicklung der Identity Management-Strategie in von SAP-Systemen geprägten IT-Infrastrukturen.

Termin: 13.09.2007, Frankfurt

Teilnahmegebühr: 895,- Euro zzgl. MWSt

Buchung und weitere Informationen: http://www.kuppingercole.de/events/n20001


Aktuelle Veranstaltungshinweise

27.07.2007
KCP-Webinar: "IAM Vision 2010 - Identity as a Service"
Identity Management muss und wird sich von monolithischen, funktional orientierten Produkten in den kommenden Jahren in Richtung zu service-orientierten Ansätzen entwickeln. Dabei gibt es viele Facetten. Diese werden in diesem Webinar vorgestellt und bewertet. Insbesondere dabei auch darauf eingegangen, welche der Ansätze sich bis 2010 etablieren werden.
http://www.kuppingercole.de/events/n40006

06./07.09.2007, Köln
1st International Conference on LDAP der German Unix User Group

http://www.guug.de/veranstaltungen/ldapcon2007/

13.09.2007, Frankfurt
Identity Management im SAP-Umfeld
Martin Kuppinger, Dr. Horst Walther
895,- Euro zzgl. MWSt
http://www.kuppingercole.de/events/n20001

19./20.09.2007, Zürich
security-zone 07, Zürich
Zum vierten Mal findet 2007 in Zürich die Plattform für Informationssicherheit statt. Rund 60 Experten aus Wirtschaft, Industrie und Wissenschaft referieren zu den aktuellsten Themen der Informationssicherheit. Diverse Anbieter zeigen die neuesten Produkte um Netzwerke und Daten sicher zu schützen.
http://www.security-zone.info

20.09.2007, Offenbach
20.11.2007, Neuss
tecchannel Security Conference

Martin Kuppinger spricht über Passwort-Management, Single-Sign-On und Biometrie. Er erläutert die verschiedenen strategischen Ansätze in diesem Bereich, um eine höhere Sicherheit im Unternehmen erreichen zu können.
http://www.tecchannel.de/zone/security_konferenz/start/

24.-26.09.2007, San Francisco
Digital ID World
http://www.digitalidworld.com/

24.-26.09.2007, Brüssel
Directory Experts Conference
http://www.dec2007.com/

26./27.09.2007, Frankfurt-Oberursel
Digital ID World 2007
Martin Kuppinger hält am 27.09.2007 eine Keynote zu "Services sind die Zukunft des Provisionings. Das Zusammenspiel zwischen Business und IT".
Dr. Horst Walther hält am 27.09.2007 einen Vortrag zu "Neues zu generischen IdM-Prozessen. Die bottom-up-Modellierung vs. Top-Down-Ansatz".
http://www.digitalidworld.de

22.-25.04.2008, München
2nd European Identity Management Conference
http://www.kuppingercole.de/events/eic2008

top
KuppingerCole Select
Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.
Register now
Spotlight
Cloud Provider Assurance
Using the cloud involves an element of trust between the consumer and the provider of a cloud service; however, it is vital to verify that this trust is well founded. Assurance is the process that provides this verification. The first step towards assuring a cloud service is to understand the business requirements for it. The needs for cost, compliance and security follow directly from these requirements. There is no absolute assurance level for a cloud service – it needs to be just as secure, compliant and cost effective as dictated by the business needs –– no more and no less.
KC Trusted Independent Advice in CLoud ASSurance
KC CLASS includes a detailed analysis of the Cloud Assurance management tasks in your company and the current status of the Cloud Services integration in your IAM, and a recommendation on how you can standardize the approach for the evaluation of Cloud Service Providers.
Links
 KuppingerCole News

 KuppingerCole on Facebook

 KuppingerCole on Twitter

 KuppingerCole on Google+

 KuppingerCole on YouTube

 KuppingerCole at LinkedIn

 Our group at LinkedIn

 Our group at Xing

 GenericIAM
Imprint       General Terms and Conditions       Terms of Use       Privacy policy
© 2003-2014 KuppingerCole