We love IT.

Identity Management

Das Identitätsmanagement (Identity Management) befasst sich mit der zentralisierten Verwaltung von Benutzerdaten einzelner Personen. Eine einzelne Person (physische Identität) kann dabei mehrere unterschiedliche virtuelle Identitäten mit unterschiedlichen Eigenschaften besitzen. Dies können z. B. unterschiedliche Benutzer auf verschiedenen Anwendungssystemen mit unterschiedlichen Rollen und Berechtigungen sein, es können jedoch auch darüber hinausgehend andere personenbezogene Daten, z. B. aus einem Personalmanagement-System mit in die Verwaltung einbezogen werden. Das Identitätsmanagement verknüpft diese verschiedenen virtuellen Identitäten mit der physischen Identität der Person.

Die unterschiedlichen personenbezogenen Daten müssen verlässlich konsistent und ständig verfügbar gehalten werden. Bei einer dezentralisierten Verwaltung der Identitäten entsteht ein immenser Aufwand zur Aktualisierung und Synchronisation. Wird beispielsweise ein neuer Mitarbeiter im Unternehmen eingestellt, müssen neben seiner Personalakte im HR-System auch unzählige Benutzerkonten in den verschiedenen Anwendungssystemen eingerichtet werden, häufig verbunden mit redundanter Ablage seiner Daten und Eigenschaften. Bei einer Änderung der Daten des Mitarbeiters, z. B. durch Wechsel der Abteilung, ist diese Änderung in allen betroffenen Systemen nachzuvollziehen.

Das Identity Management zielt darauf ab, die notwendigen Verwaltungs- und Synchronisationsvorgänge durch Zentralisierung und Automatisierung zu unterstützen. Es gibt dabei keine klare Abgrenzung welche Funktionen im Einzelnen das Identity Management-System unterstützt; in der Regel geht die Funktionalität jedoch weit über die eines einfachen zentralen Verzeichnisdienstes (siehe auch LDAP) hinaus. Insbesondere sensible personenbezogene oder auch applikationsspezifische Daten können oder dürfen oft nicht in einem zentralen Verzeichnis abgelegt werden, das sich im Zugriff unterschiedlicher Systeme befindet. Das Identity Management fungiert vielmehr als Metadienst, der neben der zentralisierten Verwaltung der allgemeinen Daten zur Person und der Verknüpfung der unterschiedlichen Identitäten miteinander in einem zentralen Verzeichnis, auch die Synchronisation von veränderten Daten in einzelnen Systemen mit den übrigen Identitäten vornimmt, soweit diese von der Änderung betroffen sind.

Umfangreichere Identitätsmanagement-Systeme beinhalten neben den reinen Synchronisationsmechanismen auch die Möglichkeit der Abbildung komplexer Genehmigungs-Workflows zur Freigabe von Änderungen durch Vorgesetzte und ermöglichen die automatisierte Provisionierung von Identitäten auf Basis vordefinierter Rollen und Profile.

Im Idealfall können somit für einen neu eingestellten Mitarbeiter nach der Anlage seiner Personalakte im HR-System, aufgrund seiner Stellenbeschreibung und den damit verbundenen Rollen, automatisiert für alle für ihn relevanten Anwendungssysteme im Unternehmen, die erforderlichen Benutzeraccounts erstellt werden, wobei für jedes System nur die jeweils erforderlichen personenbezogenen Daten zur Verfügung gestellt werden. Ergibt sich eine Änderung bei dem Mitarbeiter, z. B. aufgrund einer Versetzung, werden nach der Genehmigung durch die Vorgesetzten wiederum automatisch die für seine neue Tätigkeit erforderlichen Systeme freigeschaltet, bzw. nicht mehr benötigte Identitäten gelöscht.

Auch wenn für eine bestimmte Rolle im Unternehmen ein zusätzlicher Systemzugang erforderlich wird, kann die Einrichtung der erforderlichen Benutzerkonten für alle Inhaber der Rolle automatisch erfolgen. Insbesondere im Zusammenhang mit einer Single-Sign-On-Infrastruktur wird somit sowohl der administrative Aufwand für die Verwaltung der Identitäten verringert, als auch der Komfort für den Benutzer bei der Arbeit mit unterschiedlichen Anwendungssystemen erheblich verbessert.