Identity Federation wird seit vielen Jahren diskutiert, jetzt wird das Thema richtig heiß! In immer mehr Unternehmen fordert das Business nun Federation-Lösungen von der IT, um besser mit Partnern und Kunden zusammenarbeiten zu können. Auch wenn es nachher technisch gesehen nicht immer (nur) um Federation geht: Die IT muss sich auf das Thema Federation nun endlich vorbereiten.
Identity Federation bezeichnet Standard-basierende Ansätze, um flexibel mit Identitäten von anderen Unternehmen oder Systemen zusammenarbeiten zu können. Statt alle Benutzer selbst zu pflegen gibt es eine Trennung in Identity Provider (IdP), die die Informationen über die Benutzer zur Verfügung stellen und auch die Authentifizierung übernehmen, und in die Service Provider (SP), die Dienste bereitstellen. Der wichtigste Standard im Zusammenhang mit der Federation ist SAML (Security Assertion Markup Language) in der Version 2.0.
Federation wird in vielen verschiedenen Szenarien genutzt. Wenn Mitarbeiter von Zulieferern auf einzelne Anwendungen von Automobilherstellern zugreifen sollen, ist das ein Anwendungsfall. Die Verwendung des internen Active Directory für die Authentifizierung bei Salesforce.com oder Google Apps über SAML ist ein anderes Beispiel.
Aber auch das Zusammenspiel von internen Systemen mit einer Authentifizierung von Benutzern über einen Verzeichnisdienst und den SAML-basierenden Zugriff auf SAP-Systeme ist eines der Beispiele. Und auch innerhalb von Anwendungen, vor allem im Bereich von SOA-Konzepten (Service Oriented Architecture), spielt Federation eine wichtige Rolle.
Was ist Identity Federation und was nicht?
Federation kann entsprechend viele Formen annehmen, wobei es keineswegs immer um SAML als Standard geht. Und manches, was man im Bereich der Zusammenarbeit macht, ist genau genommen keine Federation oder braucht keine Federation-Lösung. Man kann vieles auch über klassische Web Access Management-Werkzeuge abdecken, an denen sich Benutzer direkt anmelden. Oft werden diese auch ergänzend zu Federation-Lösungen genutzt, um beispielsweise die Geschäftspartner auch einbinden zu können, deren IT keine Federation zulässt, was gerade bei kleineren Unternehmen eher die Regel denn die Ausnahme ist.
Genau hier entsteht aber auch das Problem: Federation ist ein vielschichtiges, komplexes Thema mit vielen Facetten. Es gibt nicht den richtigen Ansatz für die Federation. Und manche Lösung ist so komplex, dass man sich auch überlegen muss, ob nicht ein pragmatischer Ansatz zunächst besser ist.
Die IT muss schon einen Plan haben, bevor die Anforderung vom Business kommt
Was aber klar ist: Die Anforderungen müssen aus dem Business kommen. Und wenn, dann wird eine zügige Umsetzung der Anforderungen erwartet, gerade wenn es um die Anbindung von Partnern und das Zusammenspiel mit Kunden geht. Da Federation aber ein durchaus komplexes Thema ist, das nicht so einfach zu durchdringen ist, sollte man sich rechtzeitig damit beschäftigen um zu verstehen, welche Ansätze es gibt, wie man verschiedene Anwendungsfälle adressieren kann, welche Voraussetzungen zu schaffen sind und so weiter.
Eine Federation-Strategie sollte in der Schublade liegen, wenn das Business beginnt, die Federation zu fordern. Nur dann kann die IT auch ausreichend schnell auf die neuen Anforderungen reagieren.