SaaS (Software as a Service) und Cloud Computing gewinnen an Popularität. Dazu tragen auch die im Vergleich zum Betrieb von Software im eigenen Rechenzentrum kalkulierbaren Kosten bei – auch wenn diese nicht immer günstiger sind. Die Herausforderungen dürfen aber nicht unterschätzt werden – das gilt insbesondere für die Verwaltung von Benutzer und Berechtigungen und beim übergreifenden Management.
Das Konzept von SaaS erleichtert einiges. Das Deployment von Software muss nicht geplant werden. Um Backup und Failover kümmert sich der Betreiber – hoffentlich. Doch schon bei der Frage, ob und welche Events man bei SaaS-Lösungen selbst beobachten und adressieren muss, scheiden sich die Geister.
Die Anforderungen des Cloud Computings an das Identity Management der Zukunft und das Thema Identity as a Service werden intensiv auf der European Identity Conference 2009 ( www.id-conf.com) diskutiert.
Im Umfeld des Identity Managements führt KCP derzeit vier Umfragen unter Anwenderfirmen durch:
Identity Administration RoI Survey
Und spätestens bei der Frage danach, wie man Benutzer und Berechtigungen im SaaS-Umfeld verwaltet, wird es schwierig. Gleiches gilt für die Übereinstimmung von SaaS-Lösungen ausländischer Anbieter mit heimischem Recht, beispielsweise in Bezug auf den Datenschutz – und für die spannende Frage, wie einfach oder schwierig es ist, den Anbieter wieder zu wechseln. Auch die Integration von SaaS mit der eigenen, bestehenden Infrastruktur ist eine nicht zu unterschätzende Herausforderung.
Sobald man sich damit etwas tiefer beschäftigt wird deutlich, dass die angebotenen Schnittstellen bei SaaS-Lösungen gar zu oft nicht ausreichend sind. SaaS kann punktuell sicher als isolierter Ansatz funktionieren, bei dem eine Anwendung mit eigenem Management und ohne Integration betreibt. Je mehr unterschiedliche SaaS-Lösungen von verschiedenen Anbietern man hat, desto wichtiger wird aber ein übergreifendes Management. Und hier mangelt es oft an definierten Schnittstellen – für Events, für das Benutzer- und Autorisierungsmanagement oder für die Extraktion der eigenen Anwendungsdaten.
Einer der kritischen Bereiche ist das Management von Benutzern, sprich: deren Authentifizierung und Autorisierung bis hin zur Nachvollziehbarkeit. Und das Ganze in Übereinstimmung mit vielleicht schon etwas weiter gediehenen internen Lösungen für das Thema GRC (Governance, Risk Management, Compliance). Immerhin setzt sich langsam die Erkenntnis bei SaaS-Anbietern durch, dass sie Identity-Federation-Standards wie SAML unterstützen müssen.
Außerdem gibt es inzwischen einige interessante Lösungen für Identity as a Service (IaaS). So bieten beispielsweise Arcot Systems und Tricipher mit Myonelogin interessante Lösungen für das Single Sign-On und die starke Authentifizierung an, ebenso wie Multifactor Authentication mit dem Fokus auf eine starke Authentifizierung. Dieser Service kann für eigene, interne Anwendungen ebenso wie für SaaS-Anwendungen genutzt werden. Und auch andere Anbieter wie Symplified oder Ping Identity sind inzwischen unter die Service Provider gegangen.
Dennoch stehen wir hier erst am Anfang einer Entwicklung: SaaS-Anwendungen müssen auch Standards wie DSML für die Provisionierung und XACML für das Autorisierungsmanagement unterstützen. Und ein Blick auf Information Cards und das Konzept der claims-basierenden Authentifizierung und Autorisierung macht ebenfalls viel Sinn.
Auf der anderen Seite gibt es auch noch viel Raum für weitere Service Provider, bis hin zu GRC-Lösungen wie einer SoD-Kontrolle (Segregation of Duties) über mehrere SaaS-Angebote hinweg. Noch gibt es in allen Bereichen viele Lücken. Und erst wenn diese gelöst sind, kann man SaaS mit dem gleichen Anspruch nutzen wie man heute die interne IT betreibt.
In seiner Kolumne kommentiert Analyst Martin Kuppinger für die Computer Zeitung regelmäßig Entwicklungen im IT-Markt. Kuppinger ist Mitgründer des Analystenhauses Kuppinger Cole + Partner (KCP), das sich mit Einschätzungen und Expertise rund um das Thema Identity Management einen Namen gemacht hat. Dabei beschränkt sich KCP aber nicht auf das Identity Management, sondern analysiert auch nahe stehende Bereiche wie Business Service Management/IT Service Management (BSM/ITSM), serviceorientierte Architekturen (SOA) oder Governance, Risk Management, Compliance (GRC).