Federated Identity Management erteilt digitale Passierscheine

EnterpriseSicherheit

Bei “Federated Identity” geht es nicht etwa um eine Identitätsbestimmung der Bundesländer, sondern um eine zukünftige Ausprägung des Identitäts-Managements

Bei “Federated Identity” geht es nicht etwa um eine Identitätsbestimmung der Bundesländer, sondern um eine zukünftige Ausprägung des Identitäts-Managements. Hierbei aber geht es um IT, um Sicherheit von DV-Systemen durch Rollen, in denen ein Anwender in vielen Systemen mit unterschiedlichen Rechten vertreten sein kann. Computer Associates (CA) und IBM beispielsweise bieten mit ihren System-Management-Werkzeugen auch Identitätssysteme an. Der Anwender erhält einen digitalen Pass. 
Um einen Blick in die Zukunft zu wagen, braucht es Verständnis für das, was heute schon geht. Die Rheinisch-Westfälische Technische Hochschule Aachen (RWTH) ist einer der ersten Anwender des IBM-Produkts ‘Tivoli Identity Manager’ (TIM). Das Rechenzentrum der Hochschule, das die Lösung einsetzt, will damit ressourcenübergreifend und dynamisch Identitätsdaten bereitstellen, so dass jeder berechtigte Zugriff aller Anwender auf ihre Applikationen, Informationen und IT-Komponenten weitgehend automatisiert erfolgen kann.

Im Einzelnen gehört dazu die Rollenzuweisung, die Verwaltung, die eigentliche Bereitstellung, auch Provisionierung genannt, sowie den Zugang zu einigen Diensten wie digitales Telefonbuch, Hörsaalverwaltung, Bestellportale, Terminkalender, Kursbelegung und virtuelles Prüfungsamt sowie neue Lehr und Lernformen und elektronische Medien. Die Dienste sollen den Anwendern auf Knopfdruck zur Verfügung stehen, in dem sie sich etwa über ihre Matrikelnummer identifizieren, ohne dass eine weitere Identitätsprüfung erfolgen muss.

Wie TIM an die Hochschule kommt

Ein solches Vorhaben ist an einer Hochschule keineswegs trivial, zum Beispiel weil es eine hohe Fluktuation unter den Studenten, Mitarbeitern und Auszubildenden gibt und zudem viele Sonderfälle, zum Beispiel wenn Lehrkräfte fachübergreifend dozieren oder an dieser und jener Hochschule als Gast ausgeliehen sind. Die Aachener Lehranstalt zählt derzeit 414 Professoren, 350 Lehrstühle, neun Fakultäten und rund 30.800 Studenten. Es gibt pro Jahr etwa 750 Promotionen und 5000 Neueinschreibungen. Im TIM sind 42.589 Personen erfasst und es existieren 125.314 Accounts. Dazu kommt, dass die Personen vielfach und in verschiedenen Systemen registriert sind, von der Immatrikulation bis zum Bibliotheksausweis.

Die Anschaffung von TIM geht auf einen Landesvertrag zurück, der 2002 über Tivoli abgeschlossen wurde. Allerdings gab es zu dem Zeitpunkt, als die Konsortialbeschaffung für zehn Hochschulen des Landes Nordrhein-Westfalen beschlossen wurde, das Produkt für das Identity Management noch nicht. Das stellte IBM erst Anfang 2003 vor. Mitte desselben Jahres gab es dann mit Unterstützung durch IBM eine Probeinstallation, die jedoch den Echtbetrieb nicht erlebte.

Doch offenbar war das Hochschulteam mit Klaus Brühl, der für die Rechen- und Datendienste der Hochschule verantwortlich ist, mit dem Probelauf zufrieden. Denn seit Juli dieses Jahres ist die TIM-Version 4.5.1 im laufenden Betrieb eingesetzt. “Als TIM auf den Markt kam, taugte kein anderes Tool. Kein anderes war gleichwertig und bezahlbar. Zudem sind mehrere Evaluationen komplex und teuer”, kommentiert Brühl.

Inzwischen verschaffe das Identity Management jede Menge Erleichterungen. Ein Aha-Moment sei beispielsweise gewesen, als das Rechenzentrum den Studenten einen Freischalt-Code für die Microsoft-Betriebssysteme und Entwicklungs-Tools weitgehend automatisiert zur Verfügung stellen konnten, Anwendungen, auf die sie bei der Einschreibung ein Nutzungsrecht erhalten. Früher sei bei dieser Gelegenheit regelmäßig das Chaos ausgebrochen. Jetzt beschreibt Brühl den Vorgang mit “absolut sauber” und “stressfrei”. Zu allen Diensten gehört, dass die nicht mehr genutzt werden können, wenn eine Person eine berechtigte Gruppe verlässt.

Daten passieren die Hoheitsgewässer

Das größte Problem bei der Implementierung stellte nach Aussage von Brühl nicht die Technik dar, sondern die Vorbehalte anderer Abteilungen, die die Daten zur Verfügung stellen sollen. So musste der nordrhein-westfälische Datenschutzbeauftragte zunächst sein Okay für den notwendigen Datenimport in das Identity Management System geben. Jetzt gelangen die Daten als Datei ins TIM oder werden manuell eingetragen.

Die jetzige Lösung soll, wie Brühl erläutert, “keine Insellösung bleiben”. Zunächst ist an eine Ausweitung auf die gesamte RWTH-IT gedacht. Dann aber sollen auch sechs weitere Hochschulen sowie drei Fachhochschulen TIM implementieren. Drei Lehrbetriebe bevorzugen, außen vor zu bleiben. Zum Teil will das Rechenzentrum in Aachen Systeme anderer Hochschulen mitverwalten, jedoch in logisch getrennten Bereichen.

Die meisten Anwenderunternehmen jedoch, die sich 2003 für eine Identitäts- und Zugangslösung entschieden, trafen ihre Wahl zugunsten von CA und die Suite ‘eTrust Identity and Access Management’, besagt eine Marktanalyse des Marktforschungsunternehmens IDC. Demnach konnte CA mit einem Umsatz von 300,5 Millionen Dollar rund 14,3 Prozent des Marktanteils erobern. IBM liegt leicht dahinter mit einem Marktanteil von 13,8 Prozent und 290,3 Millionen Dollar Umsatz. Auf den nachfolgenden Plätzen rangiert Verisign mit 219 Millionen, RSA Security mit 93,4 Millionen und Netegrity mit 87,5 Millionen. Das Unternehmen wurde vor kurzem von CA übernommen.

Der Markt entfaltet sich

Insgesamt betrug der Umsatz, der mit Access und Identity Management Software im vergangenen Jahr erzielt wurde 2,2 Milliarden Dollar. IDC rechnet jedoch mit einer jährlichen Wachstumsrate von 9,7 Prozent, so dass die Einnahmen 2008 bei rund 3,5 Milliarden Dollar liegen werden.

IDC prognostiziert zudem, dass das so genannte “Federated Identity Management” eine Schlüsselrolle spielen wird. Hierbei geht es darum, eine Authentifizierung gegenüber den IT-Ressourcen unternehmensübergreifend zu ermöglichen. Ansätze dafür zeigt bereits das RWTH-Beispiel. So ist geplant, dass die TIM-Systeme der Hochschulen zwar “voneinander wissen”, erläutert Datendienstleister Brühl, die IT soll jedoch weiterhin weitgehend selbständig arbeiten.

Oleg Bascurov, bei IBM im Technikvertrieb von Tivoli und Experte in Sachen Security, bemüht als Analogie zur Erklärung des Federated-Prinzips die Vergabe und Nutzung eines Reisepasses. Das Dokument erlaubt dem Besitzer, in ein fremdes Land einzureisen. Es weist ihn aus. Damit das funktionieren kann, müssen die Staaten Abkommen haben, die die Anerkennung des Dokuments sichern. Sie brauchen darüber hinaus Methoden und Techniken, mit denen sich die Gültigkeit eines Passes überprüfen lässt.

Federated Identity Management beruht demnach auf geschäftlichen und technischen Übereinkünften sowie Regeln. Technisch gehört zur Voraussetzung ein Single-Sign-on, Zugangskontrolle und Single-Sign-off, ein Identitätscheck bei den Partnern, der Austausch einer Reihe von Benutzerdaten, ein Identity Lifecycle Management, die Bereitstellung von User-Daten, eine sichere Infrastruktur sowie einen gesicherten Zugriff auf Ressourcen der Geschäftspartner.

Sicherheit ist das A und O

Wesentlich für das Funktionieren eines unternehmensübergreifenden Identitäten-Mangements sind Standards. IBM-Fachmann Bascurov weist auf folgende hin: das SAML-Protokoll, die SAML-Spezifikation von Liberty Alliance und die Webservice-Standards der WS-Federation aus IBM, Microsoft und Verisign, die zu denen der Liberty Alliance zum Teil in Konkurrenz stehen.

SAML steht für ‘Security Assertion Markup Language’ und ist eine Auszeichnungssprache für Sicherheitsbestätigungen. Die Spezifikation legt fest, wie sich ein Identitäts-Token, der eigentliche digitale Ausweis, zusammensetzt und auf welche Weise sich dieser zwischen den Systemen austauschen lässt. Wird ein SAML-Token für den Austausch von Identitätsmerkmalen benutzt, müssen sich die beteiligten Geschäftspartner hauptsächlich nur noch auf den Inhalt des Tokens, also die Identitätskriterien, nicht aber über die Struktur einigen.

Eine der SAML-Definitionen hat das Konsortium Liberty Alliance, das 2001 ursprünglich von Sun Microsystems ins Leben gerufen wurde, in sein Security-Framework für Web-Services übernommen. Zum Beispiel beschreiben die Liberty-Spezifikationen im Detail, wie ein Single-Sign-on oder ein User-ID-Mapping funktioniert. Letzteres ist notwendig, um verschiedene Benutzernamen und -codes auf einen User zurückführen zu können.

Laut Bascurov beschränken sich die genannten Spezifikationen jedoch ausschließlich auf passive Clients wie Browser, von denen aus sich keine Kommunikation aufbauen lasse. Doch das B2B-Umfeld sei charakterisiert durch aktive Clients. Hier böten die Webservice-Standards der Federation hinreichend Ansätze.

Der frühe Vogel fängt den Wurm

Das größte Interesse am Federated Identity Management haben laut Bascurov die Telekommunikationsunternehmen. Im Juli zum Beispiel gaben der Mobilfunkanbieter Orange und IBM bekannt, dass der Carrier mit Hilfe eines Identitäts-Managements seinen Kunden den Zugang zu diversen Diensten vereinfachen will. Mit nur einer Nutzerkennung soll es möglich sein, Zusatzdienste wie E-Mail, Online-Banking, Instant-Messaging, Spiele-Download sowie Location Based Services zu nutzen.

Um den Ansprüchen an die Sicherheit eines solchen Systems genügen zu können, hat IBM nach eigenen Angaben seine Software auf die Standards der Liberty Alliance abgestimmt und verhalte sich etwa zur Webservice-Spezifikation 1.1 konform. Wie Bascurov verrät, hatte das Liberty-Alliance-Mitglied Orange vor der Tool-Auswahl bereits die Rahmenbedingungen festgelegt. IBM musste mit einer Lösung aufwarten. Außerdem ist IBM vor kurzem dem Konkurrenzkonsortium beigetreten und beansprucht nun dort einen Vorstandssitz.

“Wir schauen ständig, wie wir unsere Systeme effizienter sichern und administrieren können”, kommentiert den Deal mit IBM Jean-Paul Maury. Er kommt von der Muttergesellschaft France Telecom und ist dort als  Vice President zuständig für den Bereich Technologies, Strategic Partnerschips und New Usages. Mit Federated Identity würde man die nächste Barriere nehmen.

Das Orange-System nutzt Webservices und kann sich so etwa mit anderen diversen Unternehmensbereichen oder mit Programmen anderer Content-Anbieter verbinden. Dazu zählt etwa Online-Banking und E-Mail. Der Vorteil für die Partner oder andere Schwestergesellschaften aus der France Telecom Gruppe liegt darin, dass ihnen das Identitäts-Management und damit die Kosten für das Anlegen und Verwalten der Benutzerrollen und Rechte abgenommen wird. Sie greifen dafür auf den Orange-Service zurück.