Das Active Directory ist heute in den allermeisten Unternehmen zu finden. Mit ihm kann man nicht nur Benutzer und Gruppen oder Computer und Server verwalten, sondern auch Freigaben und Berechtigungen. Doch welche Rolle spielt der Verzeichnisdienst für das Identity und Access Management wirklich? Und welche sollte es übernehmen?
Warum betreiben viele Unternehmen überhaupt ein IAM (Identity und Access Management)? Die Antwort ist eigentlich ganz einfach: Man möchte in effizienter Weise ein nachvollziehbares Zugriffsmanagement mit dem Minimum der erforderlichen Berechtigungen umsetzen. Es geht also darum, den Schutz von Information und Systemen – die Informationssicherheit – in der bestmöglichen Weise zu realisieren.
Dazu muss man die Identitäten derer kennen, die auf Informationen zugreifen und mit Systemen arbeiten. Vor diesem Hintergrund muss man sich aber eben vor allem um die Zugriffsberechtigungen kümmern, Verfahren für deren Vergabe bestimmen und eine Ist-Analyse sowie einen Soll-Ist-Vergleich anstellen. Hinzu kommen noch „Nebenthemen“ wie eine ebenso einfache wie starke Authentifizierung (bspw. Single Sign-On).
Dass das Thema dann doch viel mehr Facetten hat, liegt an der Breite der technischen Möglichkeiten. Wie bindet man den nPA (neuer Personalausweis) ein, wenn man ihn denn einbinden möchte? Sollen Facebook- oder Google-Accounts für die erste Identifikation eines möglichen Kunden genutzt werden? Wie kann man digitale Zertifikate für Signaturen einbinden und wie kann man Dokumente auch dann schützen, wenn sie den File-Server verlassen?
IAM ist damit ein vielschichtiges Thema, das eine strukturierte Herangehensweise braucht. Um eine Strategie entwickeln zu können ist es wichtig, sich erst einmal ein Gesamtbild über die Möglichkeiten und Entwicklungen zu verschaffen. Nur so kann man gezielt investieren und das Risiko von Fehlinvestitionen und isolierten Punktlösungen minimieren.
Ebenso essentiell ist es aber auch, dass man das IAM als kontinuierlichen Prozess der Weiterentwicklung versteht und dabei das nutzt, was man im Unternehmen schon hat. Und hier kommt der Verzeichnisdienst Active Directory (AD) ins Spiel.
Das AD ist in der Regel vorhanden – und darin sind Identitätsinformationen nicht nur zu vielen Personen, sondern auch zu Systemen zu finden. Selbst digitale Zertifikate lassen sich darin verwalten und zudem wird es für die primäre Authentifizierung verwendet und unterstützt zumindest auf Basis von Kerberos auch ein echtes Single Sign-On mit einer Reihe von Anwendungen.
Mehr noch: Der Verzeichnisdienst bietet eine relativ gute Datenqualität zumindest zu den internen Benutzern. Und Datenqualität ist im IAM unabdingbar, weil darauf basierend Zugriffsentscheidungen getroffen werden. Richtige Entscheidungen kann es aber nur auf Basis der korrekten Entscheidungsgrundlagen geben – anders herum formuliert: „Garbage in, garbage out“.
Für die internen Benutzer im Active Directory gibt es in den meisten Fällen kein System außer vielleicht dem HR mit Teilinformationen, das gleichermaßen gut geeignet ist wie das Active Directory. Und das Active Directory umfasst oft mehr Benutzer, beispielsweise temporäre Mitarbeiter, und dient zudem als Grundlage für das Zugriffsmanagement zumindest bei File-Servern und einigen anderen Systemen.
Klar ist aber auch, dass das Active Directory eben kein volles IAM-System ist. Es ist nicht dafür gedacht, alle Identitäten zu verwalten. Kunden oder Partner finden sich typischerweise in anderen Verzeichnissen. Dafür gibt es gute Gründe, sowohl technischer als auch organisatorischer Art.
Aber das Active Directory ist ein wichtiger Baustein in IAM-Konzepten – als Repository mit Informationen zu den internen (und ein paar anderen) Nutzern, als System für die primäre Authentifizierung und auch für die Steuerung von Zugriffen auf Anwendungen und als ein Baustein in Federation-Konzepten, wo man mit ADFS v2 (Active Directory Federation Services) doch ein beachtliches Niveau und eine gute Standard-Unterstützung erreicht hat.
Daher gilt: Dinge, die man sinnvoll im Active Directory machen kann, sollte man dort auch tun. Darüber hinaus gilt es, das AD richtig einzubinden. In kleineren und mittleren Unternehmen kann man sein IAM oft stark um das Active Directory herum aufbauen. Dabei ist der Microsoft FIM (Forefront Identity Manager) eine Option – aber eben auch nur eine Option unter vielen. In größeren Unternehmen wird man das Active Directory eher als eine wichtige Informationsquelle und eines der wichtigsten zu steuernden Systeme sehen.
Klar ist aber: Man kann ein IAM-Konzept nicht aufbauen, ohne die Rolle des Active Directory zu berücksichtigen – so wenig, wie man alles nur AD-zentrisch sehen sollte. Denn dafür gibt es zu viele Identitäten außerhalb und zu viele Anforderungen, die weit darüber hinaus gehen.