Es ist kein neues Thema, dass man sein Identity und Access Management in Unternehmen nicht nur für die Mitarbeiter gestalten sollte. Kunden und Lieferanten gehören auch dazu, denn diese greifen immer mehr auf interne Anwendungen und Informationen zu. Doch interne Verzeichnisse reichen hier nicht unbedingt aus - die Frage, was man mit welchem Identity Provider macht, stellt sich immer mehr.
Der Identity Provider ist dabei der Dienstanbieter, der Benutzer authentifiziert und Informationen rund um diese Benutzer wie ihre Rolle, ihren Namen und andere Identitätsinformationen bereitstellt. Derzeit beschäftigen sich die meisten Unternehmen dabei mit internen Verzeichnisdiensten. Das Active Directory für die primäre Authentifizierung, Corporate Directories für eine Gesamtsicht auf interne Benutzer, neue Verzeichnisdienste für die Kunden oder Geschäftspartner, die über das Web zugreifen und dergleichen mehr sind die wichtigsten Bausteine.
Diese Innensicht hat aber einen Haken: Externe Benutzer müssen sich bei jedem Unternehmen, mit dem sie zu tun haben, neu registrieren und authentifizieren. Das schafft Probleme, sowohl in Industrien mit einer starken Vernetzung und komplexen Supply Chains als auch für jeden einzelnen als Kunde von eCommerce-Sites und als Nutzer im Internet.
In einigen Branchen wie der Luftfahrt, der Verteidigungsindustrie oder auch der Automobilindustrie gibt es mit Anbietern wie Exostar und Covisint bereits etablierte externe Identity Provider. Auf der anderen Seite gewinnen auch Ansätze wie OpenID und Information Cards zunehmend an Bedeutung. Und auch der nPA (Neuer Personalausweis) arbeitet letztlich mit einem externen Identity Provider. Dass man nicht alles selbst macht, ist also zunehmend die Realität. Und diese Entwicklung wird sich fortsetzen – mit neuen Technologien, mit neuen Standards, mit einer zunehmenden Verbreitung von Federation und darauf basierenden Konzepten wie der claims-basierenden Authentifizierung, die beispielsweise schon in der neuen Microsoft Sharepoint-Version unterstützt wird.
Für die interne IT bedeutet das, dass man sich heute damit beschäftigen muss, für welche Transaktionen und Interaktionen und damit eben auch System- und Informationszugriffe welche Identity Provider genutzt werden können. Dort, wo es bessere etablierte externe Alternativen gibt oder geben wird, spricht viel für diese statt der internen Verzeichnisse. Das bedeutet aber, dass man sich mit der technischen Anbindung und damit Federation-Konzepten ebenso intensiv beschäftigen muss wie mit einem abgestuften Konzept der Informationssicherheit, das unterschiedliche Identity Provider zulässt.
Dabei gibt es eine große Bandbreite. Werthaltige und sensitive Informationen und Transaktionen müssen anders abgesichert werden als die einfache Registrierung von Interessenten auf einer Website – für letzteres könnte auch Facebook als Identity Provider ausreichen. Nur mit klaren Konzepten wird man aber den Zielkonflikt zwischen einer einfachen und dennoch sicheren Nutzung lösen können. Und diesen muss man lösen, um optimal mit allen relevanten Benutzergruppen zusammenarbeiten zu können.