Updates von SOA bis Mainframe – CA IAM r12 mit frischem Wind

CA – ehemals Computer Associates, hat seine IAM Lösungen auf den Versionsstand r12 gebracht. Das in zwei Wellen (erste Welle kürzlich mit den Mainframe Produkten Top Secret und Cleanup sowie Siteminder, Audit und dem neuen SOA Security Manager) durchgeführte Update führt alle korrespondierenden Produkte auf einer Versionsnummer zusammen und bringt einige seit langem erwartete neue Features.

Auf Seiten der Mainframe Produkte ist aus Sicht von KCP die engere Integration der Berechtigungsmanagement Lösung „Top Secret“ (als Alternative zu IBMs RACF) mit der Auditlösung „Audit“ und dem seit Jahren erfolgreichen „Cleanup“ hervorzuheben, da Bestrebungen nach Compliance und engerer Überwachung hier unterstützt werden. Die immer noch aktiv gepflegten Mainframes profitieren von einer verbesserten Überprüfbarkeit von Änderungen und dem gemeinsamen Reporting über alle Module hinweg (Integration mit „Audit“). Die aktive Suche nach ungenutzten Accounts und Berechtigungen mittels „Cleanup“ kann hier ebenfalls Beiträge zur Sicherheit leisten. Den neuen SOA Security Manager sieht KCP als notwendigen Schritt von CA mit eigenen Innovationen im IAM Umfeld die angekündigte Strategie zukünftig das Wachstum ohne die Akquisition von Firmen zu gewährleisten. Das als erweiterter Nachfolger für den bekannten TransactionMinder (ehemals Netegrity) positionierte Produkt hilft als eine Art „XML Firewall“ bei der Absicherung von SOAs und der Authentisierung der verwendeten Webservices. Der SOA Security Manager stützt sich hierbei auf die aus der Siteminder Welt bekannten Policyserver, verfügt zusätzlich jedoch über Agenten und Erweiterungen die die Abdeckung der für SOAs wichtigen Policy Enforcement Points ermöglichen sollen. In wie weit CA seine Installationsbasis an Siteminder für die Verbreitung des SOA Security Managers nutzen können wird, bleibt aus Sicht von KCP jedoch fraglich.

Auch die Web Access Lösung Siteminder wurde einer Renovierung unterzogen, die sich jedoch vornehmlich auf einfachere Administration und geringere Wartungs- und Betriebskosten konzentriert. Da Siteminder Installationen teilweise durch die komplexe interne Architektur hohe Kosten verursachen ist dies sicher ein willkommenes Update bei Bestandskunden. Für die Behauptung als führender Anbieter auf dem Web Access Markt wären nach Meinung von KCP deutliche Zuwächse beim Funktionsumfang oder eine vereinfachte Einbindung in heterogene Umgebungen (z.B. die nahtlose Integration mit Legacy SSO) wünschenswert. Positiv beurteilt KCP wiederrum, dass ähnlich wie bei den Mainframe Produkten auf ein vereinfachtes Reporting Wert gelegt wurde, das zusammen mit einem Policy Analyzer die Wahrung der Compliance erleichtern soll. Hier wird der Blick eher auf die Berichterstattung „wer darf was tun“ als auf das klassische „wer hat welche Rechte“ gelenkt, was die Analyse durch Menschen erheblich erleichtert.

Die für den Sommer 2008 angekündigte zweite Welle wird neben weiteren Produkten auch den lange erwarteten Identity Manager r12, sowie möglicherweise auch das Access Management Produkt für Server, „Access Control“, umfassen. Für den Identity Manager stehen einige Verbesserungen in der Architektur an, die die technische Integration der ehemals separaten Produkte für die Administration der Provisionierungsfunktion und der Business Logik vereinheitlichen sollen. Die von KCP kritisierte komplexe innere Architektur soll durch eine kombinierte Installations- und Setuproutine vereinfacht werden, welche die Hürden bei der Installation senken und für verringertes Fehlerpotenzial sorgen soll. Aus Sicht von KCP besonders interessant war die Ankündigung, nahezu alle wichtigen Funktionen für die Provisionierung über Webservice Schnittstellen zugänglich zu machen. Dies macht Kunden unabhängiger von der durch CA gestellten Weboberfläche zur Verwaltung und ermöglicht die Nutzung eigener, im Unternehmen etablierter Workflow Engines. Eine Trennung, die KCP als zukunftsweisende Funktion für den „Identity Management as a Service“ Ansatz sieht. Zusätzlich sollen für die Provisionierung bei vielen Endpunkten die zu pflegenden Berechtigungen einzelner Accounts eine feinere Granularität erhalten. So soll z.B. die früher nur über Rollen abbildbare Funktion des „Join“ in  eine Windows AD Gruppe auch für einzelne Vorgänge/Identitäten möglich werden. Für CA Access Control erwartet KCP zunächst nur eine verbesserte Unterstützung aktueller Serverbetriebssysteme (wohl ohne den neuen Windows Server 2008). Die angekündigte neue Access Control GUI für die einheitliche Verwaltung heterogener Serverlandschaften konnte KCP bislang leider nicht vorgestellt werden. Hinsichtlich der Integration seiner IAM Produkte als IAM Suite verspricht CA zudem die gemeinsame Installation, Verwaltung und Bedienung der einzelnen Module über eine GUI, die im Backend komplett von C++ auf Java umgestellt wurde. KCP sieht diesen Schritt als unbedingt notwendig, da die Komplexität der IAM Suite bislang durch die unterschiedliche Herkunft einzelner Module geprägt wurde. Insbesondere die Kombination des Identity Managers mit Access Control lässt Funktionen bei der Gewaltentrennung erwarten, die nach Meinung von KCP mit Bordmitteln der einzelnen Server Betriebssysteme nur schwer umzusetzen wären. Tiefere Einblicke in die angekündigten Technologien bietet Ihnen KuppingerCole im demnächst erscheinenden CA Vendor Report, der die einzelnen Produkte und ihre Funktionen näher beleuchtet.



KuppingerCole Select

Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.

Stay Connected

KuppingerCole on social media

Subscribe to our Podcasts

KuppingerCole Podcasts - listen anywhere


How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00