.::[blog.chrischmi.de]::.   

Unternehmen stehen heute unter einem enormen Kostendruck. In der IT begegnen Sie dem oftmals mit einer Vereinheitlichung und Konsolidierung der Infrastruktur. Die Interne IT der COMLINE AG hat dies im vergangenen Jahr mit Hilfe von Microsoft Active Directory durchgeführt. Als IT-Dienstleister für Konzeption, Umsetzung und Betrieb wählte Sie zwei kompetente Partner: Die Bereiche Microsoft Solutions und IT?Managed Services im eigenen Hause.

Mit der Fusion der COMLINE AG mit der Karlsruher COMICS-Gruppe kamen zwei unabgängig voneinander gewachsene IT-Infrastrukturen zusammen. Beide Unternehmen setzten auf unabhängige NT-Domänen in den einzelnen Standorten. Diese wurden im Wesentlichen von den lokalen Geschäftsstellen selbst betrieben. Zusätzlich wurden vor der Fusion an verschiedenen Standorten die ERP-Systeme SAP R/3 und Navision und weitere zentrale Applikationen betrieben. Im Bereich Microsoft Exchange verfügte die COMLINE AG bereits über eine zentralisierte Serverumgebung während die COMICS hier einen dezentralen Ansatz gefahren hat.

Prioritäten setzen

Alfred Zimmer, Leiter der COMLINE Abteilung IT/Organisation setzte hier klare Prioritäten: ?Nach der Ankündigung unserer Fusion im Sommer 2002 war es zunächst wichtig, unsere kaufmännischen Systeme zusammenzuführen.? Dazu wurden die betriebswirtschaftlichen Prozesse der COMLINE AG um die Anforderungen des Fusionspartners ergänzt. So konnten bereits im Herbst 2002 die ersten ehemaligen COMICS Geschäftsstellen einen erfolgreichen Produktivstart von SAP R/3 vermelden. ?Mit Start des Geschäftsjahres 2004 arbeiteten alle Standorte mit der einheitlichen ERP-Lösung.? ist Zimmer zu recht stolz auf die Leistung seiner Abteilung.

Infrastrukturen zusammenführen

Parallel wurden die Infrastruktur-Grundlagen einer unternehmensweiten Zusammenarbeit umgesetzt. Nach Anbindung der ehemaligen Standorte der COMICS-Gruppe nach Berlin wurde das COMLINE Mailsystem in die Exchange Organisation der COMICS eingebunden. ?Alle zentralen Serversysteme wurden ins COMLINE Rechenzentrum in Berlin verlagert und in unseren Betrieb übernommen.? informiert Lucas Müller, Leiter IT-Managed Services bei der COMLINE AG.

Mehrwerte schaffen

Durch die Integration der kaufmännischen Systeme über Microsoft BizTalk und die Anbindung der wichtigsten Lieferanten via EDI wurde es der COMLINE AG möglich, die Beschaffungs- und Logistikprozesse zu automatisieren. Mit der Einbindung von Kunden in diese Prozesse wurde der Automatisierungsgrad in einer für die IT?Branche außergewöhnlichen Weise verstärkt. Marc Budde, Vertriebsbeauftragter in der Geschäftsstelle Bielefeld, erkennt hier den klaren Mehrwert: ?Bei meinen Kunden kann nun ein IT Warenkorb direkt in das jeweilige Intranet integriert werden.?

Domänen konsolidieren

Für die COMLINE AG wurde ein neues Microsoft Active Directory aufgebaut. Nach einer unternehmensweiten Vereinheitlichung der Namenskonzepte wurden alle Bestandsdomänen in die neue Umgebung konsolidiert. Windows NT 4.0 Clients und Server wurden dabei auf den neuesten Betriebssystemstand aktualisiert. Die Domänencontroller in den Geschäftsstellen sind neben der Authentifizierung noch für die Netzwerkbasisdienste DNS, WINS und DHCP zuständig. Außerdem gewährleisten Sie die Sicherheit des Unternehmensnetzwerkes durch die Verteilung von Anti-Viren-Updates und Microsoft Patches und Hofixes.

Exchange zentralisieren

Im Anschluss an die Konsolidierung der Windows Domänen wurden alle Exchange Postfächer standortübergreifend auf einen neuen Exchange 2003 Cluster im Berliner Rechenzentrum verschoben. Die Anwender profitieren von einer höheren Serververfügbarkeit und einer besseren Zusammenarbeit über Standortgrenzen hinweg. ?Insbesondere bei der Konsolidierung der Exchange Umgebung konnten wir von der Erfahrung unserer Kollegen aus dem Bereich Microsoft Solutions profitieren.? ist Alfred Zimmer von der Migration überzeugt.

Mobilen Zugriff verbessern

Bei einem Systemintegrator wie der COMLINE AG arbeitet der größte Teil der Mitarbeiter außerhalb der eigenen Geschäftsstellen. Durch die Einführung von Microsoft Outlook Web Access 2003 und die Möglichkeit Outlook aus dem Internet synchronisieren zu können, wurde für die mobilen Mitarbeiter ein komfortabler und sicherer Zugang zu den wichtigsten Unternehmensinformationen geschaffen. Zusätzlich ist bei Bedarf ein Zugriff per VPN möglich.

Betrieb vereinfachen

Die Standorte betreiben nunmehr nur noch lokale File- und Printserver. Alle anderen Services werden von der zentralen IT-Abteilung verantwortet. ?Das interne Outsourcing unseres IT?Betriebs an das COMLINE Rechenzentrum schafft uns freie Kapazitäten für neue Projekte.? ist Alfred Zimmer begeistert ?Nach der Konsolidierung haben wir bereits Microsoft CRM erfolgreich eingeführt und planen nun dessen Ausbau.?

Labels: Active Directory, INFOLINE

Konzeption eines einheitlichen Verzeichnisdienstes bei der EDEKA-Gruppe

Zahlreiche Großunternehmen konnten in den letzten Jahren ihre Planungen zur Einführung eines einheitlichen Verzeichnisdienstes auf Basis von Microsoft Active Directory abschließen. Für die EDEKA-Gruppe ergab sich dabei eine besondere Herausforderung, musste doch das Konzept den Anforderungen aller regionalen Einzelhandelsgesellschaften entsprechen und eine zukünftige gemeinsame Weiterentwicklung ermöglichen.

Die EDEKA Gruppe

Die EDEKA (früher E.d.K. ? Einkaufsgenossenschaft der Kolonialwarenhändler) wurde als genossenschaftliche Einkaufsgesellschaft im Jahre 1898 gegründet. Was in Berlin mit 21 Kaufleuten begann, ist heute mit 4.100 EDEKA Kaufleuten und knapp 9.100 Geschäften zum festen Bestandteil des deutschen Einzelhandels gewachsen. Die EDEKA Gruppe beschäftigt rund 200.000 Mitarbeiter und ist in fünf Ländern vertreten Im Geschäftsjahr 2003 hat die Unternehmensgruppe einen Nettoumsatz von über 31,16 Mrd. Euro erwirtschaftet.

Die Unternehmensstruktur gründet auf drei Ebenen: der Zentrale in Hamburg, sieben Regionalgesellschaften und dem Einzelhandel vor Ort. Die Willensbildung in der genossenschaftlich organisierten Gruppe folgt dem föderativen Prinzip. Der EDEKA Zentrale in Hamburg obliegt die strategische und geschäftspolitische Führung der EDEKA Gruppe.

Die historisch bedingte starke Eigenständigkeit der Regionalgesellschaften führte zur Einführung verschiedener Verzeichnisdienste (Microsoft Windows NT, Novell Netware) mit einer Vielzahl unterschiedlicher Implementierungen. Der Aufbau der IT-Infrastruktur ist demnach innerhalb der EDEKA-Gruppe sehr heterogen. Ziel von EDEKA ist die Realisierung einer bundesweit einheitlichen IT-Infrastruktur zur Schöpfung fortlaufender Synergiepotenziale und Optimierung der gesamten Wertschöpfungskette.

Neben einer Vielzahl unterschiedlicher Anwendungen in den Regionalgesellschaften gibt es solche, die gruppenweit zur Verfügung gestellt werden.. Lotus Notes und Anwendungen für Kassensysteme sind hier gute Beispiele. Für diese Anwendungen stellt sich zunehmend die Frage, ob und inwieweit sie in aktuelle Verzeichnisdienste integriert werden können. Es wurde demnach vom Arbeitskreis IT der EDEKA-Gruppe die Empfehlung ausgesprochen, zukünftig einen zentralen Verzeichnisdienst auf Basis von Microsoft Active Directory mit Windows Server 2003 zu implementieren.

Vorprojektierung

Für das AD Design wurde die EDEKA Arbeitsgruppe ?Active Directory? gegründet, in der Vertreter der Einzelhandelsgesellschaften gemeinsam mit der Gartner Group die wesentlichen Vorgaben für ein einheitliches Design des Active Directory erarbeiteten. Die COMLINE Berater wurden hier schon frühzeitig hinzugezogen, um das Design des Active Directory auf die Unternehmensprozesse abzustimmen und die erarbeiteten Lösungen auf ihre technische Machbarkeit zu überprüfen. Die COMLINE AG erstellte auf Basis der Ergebnisse der Arbeitsgruppe und der durchgeführten Workshops ein Grobkonzept für eine gruppenweite Active-Directory-Struktur.

Die EDEKA beabsichtigte die Einführung einer möglichst einheitlichen AD-Struktur unter besonderer Beachtung der administrativen Eigenständigkeit der Regionalgesellschaften. Es sollte eine Zielstruktur ermittelt werden, die eine hohe Einheitlichkeit in der Gestaltung des Active Directory zeigt und andererseits den einzelnen Gesellschaften Raum für eigene Ausgestaltungen bietet. Änderungen in der Unternehmensstruktur und somit der Struktur des Active Directory sollten bereits in der Design-Phase betrachtet werden, um mögliche zukünftige Migrationen im Sinne der Kostenvermeidung zu erleichtern. Das Design des Active Directory stand folglich jederzeit im Spannungsfeld Einheitlichkeit ? Eigenständigkeit.

Unabhängig vom Design des Active Directory musste die COMLINE AG in ihrem Konzept weitere Punkte berücksichtigen:

- Einheitliches Namenskonzept

- Gemeinsames DNS-Namenskonzept

- Richtlinien für ein Schema-Managament

Im Rahmen von Workshops wurden die Designvorgaben verfeinert und in einem Grobkonzept zusammengefasst.

Umsetzungsplanung

Die von der Arbeitsgruppe ?Active Directory? erarbeiteten Vorgaben sollten es den Einzelhandelsgesellschaften ermöglichen, eigenständige Gesamtstrukturen auf Basis von Windows Server 2003 aufzubauen. Der weitgehend identischen Ausgestaltung der jeweiligen Strukturen kam hierbei eine besondere Bedeutung zu. Daher wurden Festlegungen hinsichtlich der Namenskonventionen, des Schema-Managements, der OU-Struktur etc. getroffen. Die COMLINE AG wählte dabei ein Active-Directory-Design, mit dem zukünftige Änderungen in der Unternehmensstruktur mit möglichst geringem Aufwand im Verzeichnisdienst abgebildet werden können. Zudem bietet das gewählte Design Möglichkeiten für den Einsatz eines MetaDirectories auf Basis eines einheitlichen Namenskonzeptes. Für eine zukünftig engere Zusammenarbeit zwischen den Einzelhandelsgesellschaften war die Konzeption einer verbundweiten Namensauflösung eine wichtige Grundlage. Hierbei wurden insbesondere die neuen Möglichkeiten des dynamischen DNS-Dienstes von Windows Server 2003 berücksichtigt.

Umsetzung

?Der Designprozess war für uns ein wichtiger Schritt auf dem Weg zur Realisierung des Active Directory. Die COMLINE AG hat uns hier mit der geeigneten Mischung aus Fachkompetenz und praktischer Erfahrung überzeugt.? betont Heinz Brossolat, Leiter der EDEKA-Arbeitsgrupe ?Active Directory?. ?So haben wir uns auch bei der Umsetzung des Konzeptes für eine Begleitung durch die COMLINE entschieden.? Nach der Umsetzungs­planung hat die EDEKA-Gruppe bereits mit der Implementierung des neuen Verzeichnis­dienstes und der Migration der bestehenden Infrastrukturen begonnen. Die Durchführung erfolgt durch die jeweiligen Regionalgesellschaften in den einzelnen Regionen. Zunächst sollen dabei die vorhandenen Windows NT 4.0 Infrastrukturen und später gegebenenfalls 3rd-Party-Systeme wie Novell Umgebungen migriert werden. Zusammen mit der COMLINE AG wurde die Umstellung der EDEKA-Zentrale bereits erfolgreich abgeschlossen. Weitere Regionalgesellschaften befinden sich derzeit in COMLINE-Migrationsprojekten.

Weiterbildung der Administratoren und Betriebsführung

Während des gesamten Projekts stellten die COMLINE-Berater einen breiten Know-How-Transfer sicher. Dies wurde insbesondere durch individuelle Workshops in den einzelnen Projektphasen und durch ausführliche Konzeptdokumente gewährleistet. So kann die Betriebsführung der IT-Infrastruktur durch EDEKA autark vorgenommen werden.

Ausblick

COMLINE begleitet die EDEKA Gruppe in weiteren IT-Themen auch außerhalb des Microsoft-Umfelds. Beispielsweise wurde zuletzt die Netzwerksicherheit in der Unternehmenszentrale durch eine zertifikatsbasierte Authentifizierung über RADIUS und CISCO ACS Server erhöht. ?In der COMLINE AG haben wir einen sehr kompetenten und flexiblen Partner für die Lösung vieler unserer IT-Probleme gefunden.? schließt Heinz Brossolat.

Labels: Active Directory, INFOLINE

Die Verteilung von Benutzerdaten auf verschiedenste Systeme innerhalb einer IT-Landschaft stellt hohe Ansprüche an die Administration. Die Einführung eines Systems zur zentralen Verwaltung dieser Daten kann erhebliche Einsparungspotentiale sowohl auf der Seite der Administration wie auch auf Seiten der Anwender erschließen.

Neben dem Aspekt der Sicherheit ist die Verbesserung der Performance einer IT-Infrastruktur und der daraus resultierende Einsparungseffekt das Hauptmotiv von Entscheidungsträgern für den Einstieg in die systematische Verwaltung der Benutzerdaten. Die Einsparungspotenziale, welche eine Identitätsmanagementlösung in einer IT-Landschaft freisetzen kann sind beachtlich und lassen die relativ hohen Investitionen in einem anderen Licht erscheinen.

Für die Entscheidung über die Einführung eines Identitätsmanagementsystems sind eine Reihe von Faktoren zu berücksichtigen. Auf Grund der Erfahrungen der COMLINE AG kann ab einer Unternehmensgröße von etwa 500 Mitarbeitern in der Regel mit einer positiven Beurteilung der Wirtschaftlichkeit gerechnet werden. Für eine fundierte Aussage ob und in welchem Umfang ein Unternehmen von der Implementierung eines Identitätsmanagementsystems profitieren wird, ist jedoch eine detaillierte Analyse der bestehenden Infrastruktur unumgänglich. Die Best-Practice-Vorgehensweise der COMLINE AG sieht hierfür eine mehrstufige Analyse der vorhandenen Systeme und Verzeichnisse vor. Mit Hilfe der so gewonnen Daten kann die Komplexität einer zentralen Benutzerverwaltung beurteilt werden.

Integration um jeden Preis?

Nicht jedes Benutzerverzeichnis innerhalb einer IT-Landschaft ist für die Integration in ein zentrales MetaDirectory geeignet. Faktoren wie die Anzahl der verwalteten Benutzer, der Sicherheitsanspruch an das Verzeichnis oder die Bedeutung der Anwendung für das Unternehmen sind wichtige Entscheidungskriterien. Diese Vorteile müssen mit dem zu erwartenden Aufwand verglichen werden. Da nicht für jede Datenbank und jeden Verzeichnistyp eine Standard-Schnittstelle zur Verfügung steht, kann es hier zu zusätzlichem Entwicklungsaufwand kommen.

Erst nach dieser Beurteilung kann eine fundierte Entscheidung für oder gegen die Integration eines Verzeichnisses oder einer Anwendung gefällt werden. Die Integration darf nicht zum Selbstzweck werden, sondern sollte in jedem Einzelfall geprüft und durch fundierte Daten begründet werden.

Analyse der Ist-Situation

In der ersten Phase der Analyse werden alle Anwendungen mit eigenen Benutzerverwaltungen betrachtet. Durch Clusterbildung der Anwendungen nach der Art des verwendeten Benutzerspeichers kann eine erste Aufwandsschätzung getroffen werden: Wieviele verschiedene Schnittstellen werden benötigt und wie hoch ist der Anteil an eigener Entwicklungsarbeit einzuschätzen.

Nach dieser ersten Übersicht erfolgt eine genauere Betrachtung der Attribute der einzelnen Benutzerspeicher. Das Verhältnis der in mehreren Datenspeichern vorgehaltenen Feldern wie z.B. der Benutzer-ID oder der Email-Adresse zu den anwendungsspezifischen Benutzerattributen bestimmt wesentlich den zu erwartenden Aufwand für die Erstellung des Regelwerks für das Provisioning. Je größer die Schnittmenge der mehrfach gepflegten Attribute ist, desto mehr Regeln werden für die Prozesse der Neuanlage, Änderung und Löschung benötigt.

Die Analyse der Ist-Situation schließt mit der Betrachtung der vorhandenen Prozesse für die Neuanlage, die Änderung und Löschung von Benutzerdaten ab. Hierbei ist vor allem der Grad der Systemintegration von Bedeutung. Je geringer dieser ist, umso größer sind die zu erwartenden Einsparungen durch eine komplette Integration dieser Arbeitsabläufe in eine zentrale Benutzerverwaltung. Durch Integration dieser Prozesse in das Identitätsmanagementsystem werden diese transparenter, sicherer, nachvollziehbarer und vor allem effizienter.

Einsparungspotenziale

Für die Einschätzung der wirtschaftlichen Vorteile, die einem Unternehmen aus der Einführung eines Identitätsmanagementsystems erwachsen, greift die COMLINE AG auf Studien von Gartner, Forrester Research und anderen Anbietern zurück.

Laut Gartner läßt sich der administrative Aufwand für Benutzerdaten durch die Einführung von Identitätsmanagement um bis zu 30% senken. Durch Reduzierung der Anfragen am Help-Desk und verkürzte Bearbeitungszeiten sind für die IT-Abteilung Einsparungen von etwa 122.000 Euro pro 1.000 Benutzer und Jahr zu erwarten.

Darüber hinaus ergeben sich weitere Einsparungseffekte durch die Einführung eines Single-SignOn-Systems, einer Self-Service-Funktion und White Pages.

Dabei werden die o.g. Studien durchaus kritisch bewertet und deren Zahlen bei der Beurteilung einer bestimmten Infrastruktur durch die COMLINE AG an die jeweiligen Gegebenheiten angepasst.

Auf Grund der Analyse der bestehenden IT-Landschaft kann nun eine Einschätzung der notwendigen Investitionen erfolgen. Die Höhe der Investitionskosten wird hauptsächlich durch den Anteil der Dienstleistungsaufwände bestimmt. Beginnend mit einer genauen Analyse der momentanen Situation müssen im weiteren Projektverlauf unterschiedlich lange Phasen für die Erstellung des Provisioning-Regelwerks und die Entwicklung zusätzlicher Schnittstellen bis hin zur Implementierung des Identitätsmanagementsystems einkalkuliert werden.

Auch wenn die Investitionskosten auf den ersten Blick hoch erscheinen, so werden sie bei einer kompletten Gegenüberstellung von den zu erwartenden jährlichen Einsparungen noch übertroffen. Hierdurch ergibt sich in der Regel ein ROI-Wert welcher zwischen 0,8 und 2,3 liegt. D.h. dass mit einer Amortisierung der Investitionskosten nach Erfahrungen der COMLINE AG nach ein bis gut zwei Jahren zu rechnen ist.

Praxisbeispiel KVBW

Bei einer beim Kommunalen Versorgungsverband Baden-Württemberg (KVBW) durchgeführten Analyse ergab sich beispielsweise ein ROI-Wert von unter einem Jahr. Dabei ist zu beachten, dass die der Berechnung zu Grunde liegenden Kennzahlen bewusst konservativ gewählt wurden. So wurden die zu erwartenden Dienstleistungsaufwände sehr hoch angesetzt und die durch die Studien von Gartner und der Forrester Group antizipierten Einsparungen zum Teil deutlich nach unten korrigiert.

Der KVBW steht derzeit kurz vor der Produktivschaltung des COMLINE IdentityPortal und verfügt somit bereits über eine wichtige Komponente eines Identitätsmanagementsystems. Auf Grund der ROI-Berechnung und den bisherigen Erfahrungen mit den Funktionalitäten des neuen Portals CLIP steht nun auch der Einführung von Single-SignOn und Provisioning zur Vervollständigung des Systems nichts mehr im Wege.

Labels: Identity Management, INFOLINE

Webbasierte Delegation der Benutzerverwaltung beim KVBW

Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) stand vor einer gewaltigen Herausforderung: Eine Verdoppelung der Benutzerzahl im Active Directory durch Integration von 30 externen Partnerkassen. Mit Hilfe des COMLINE IdentityPortal konnte der KVBW die Aufgabe meistern: Die IT-Ansprechpartner vor Ort übernehmen Teile der Administration. Durch eine erhöhte Eigenständigkeit werden Kosten gesenkt und Prozesse verkürzt. Für diese innovative Lösung wurde die COMLINE AG von ihren Partnern Microsoft und HP mit dem Partner Excellence Award ausgezeichnet.

Der KVBW

Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) ist eine Körperschaft des öffentlichen Rechts mit Hauptsitz in Karlsruhe und einer Zweigstelle in Stuttgart. Der KVBW ist Ausgleichskasse für Beamtenversorgung, Beihilfe und betriebliche Altersversorgung der Mitarbeiter u. a. der baden-württembergischen Kommunen. Im Rahmen von Kooperationsverträgen obliegt dem KVBW die Federführung bei der EDV-Zusammenarbeit mit weiteren kommunalen und kirchlichen Versorgungseinrichtungen. Hierbei nutzen die EDV-Kooperationspartner die mandantenfähigen und für eine gemeinsame Nutzung ausgerichteten DV-Verfahren. Der Einsatz erfolgt zentral im kommunalen Gebietsrechenzentrum in Karlsruhe. Die Partnerkassen sind über WAN angebunden. Der KVBW beschäftigt etwa 440 Mitarbeiter, davon 310 in Karlsruhe und 130 in Stuttgart. Bei den Partnerkassen nutzen insgesamt ca. 500 Mitarbeiter die gemeinsamen DVVerfahren.

Delegation

Von den Partnerkassen wurde insbesondere bei der Abbildung des Rollenmodells ein gewisses Maß an Unabhängigkeit von der zentralen IT-Administration gewünscht, um schnell auf veränderte Geschäftsprozesse reagieren zu können. Zunächst evaluierte die DV-Technik des KVBW die Microsoft Management Console ?Active Directory Benutzer und Computer?. Es stellte sich jedoch heraus, dass die Komplexität der mitgelieferten Verwaltungsprogramme zu hoch für die Anwendung in der Delegation war. Außerdem konnten nicht alle notwendigen Konstellationen abgebildet werden. Mit der Vergabe von administrativen Aufgaben an externe Administratoren stieg zudem der Bedarf an einer Dokumentation der Änderungshistorie. Mit der Weblösung COMLINE IdentityPortal konnten diese Themen adressiert werden.

Einfache Anpassung

Die abzubildenden Administrationsrollen waren für alle Partnerkassen identisch, schließlich werden von allen die gleichen Anwendungen genutzt. Hier stellte sich die Verwendung von Prozessvorlagen als große Vereinfachung dar. Die administrativen Aufgaben wurden nur einmal abgebildet und konnten dann für die weiteren Kassen auf deren Organisations­einheiten wieder verwendet werden. Änderungen an einer zentralen Vorlage bewirken entsprechend eine sofortige Anpassung aller auf ihrer Grundlage implementieren Prozesse.

Schneller ROI

Die Wirtschaftlichkeit von Directory Whitepages ? wie dem IdentityPortal des KVBW ? ist laut einer Studie der GIGA Information Group sehr hoch. Der Return on Investment wird schon nach wenigen Monaten erreicht. ?Beim Kommunalen Versorgungsverband übersteigen die erreichten Einsparungen schon nach weniger als einem Jahr die Investitionen.? hat Jan Haan aus dem COMLINE Bereich Microsoft Solutions in seiner Diplomarbeit berechnet.

Empfehlung des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT-Grundschutz­handbuch den Einsatz von Dritt­anbieter­tools bei der Verwaltung des Microsoft Active Directory. ?Für große Domänen sollte über die Möglichkeit der werkzeug­gestützten Verwaltung nach­gedacht wer­den. Es gibt verschiedene (?) Werkzeuge, die die AD-Verwaltung erleichtern. Es sollte über­legt wer­den, diese einzusetzen. Werden sol­che Werk­zeuge ver­wendet, so muss sicher­gestellt werden, dass die AD-Verwaltung ausschließlich durch die­se Werk­zeuge erfolgt.?

Ausblick

In diesem Sinne soll das Portal auch für die interne Administration durch die IT-Verbindungsstellen in den KVBW Fachabteilungen zum Einsatz kommen. Dabei wird neben der Domäne der Partnerkassen auch die interne Active Directory Domäne in die Lösung integriert. Eine Ergänzung des Portals um Single-Sign-On und ein MetaDirectory zu einer integrierten Identity-Management-Lösung ist ebenfalls angedacht. Die COMLINE AG ruht sich jedoch nicht auf den Lorbeeren von HP und Microsoft aus. Eine Erweiterung um die Anbindung von Webservices und eine Schnittstelle zur Administration von Fileservern befindet sich bereits in der Entwicklung.

COMLINE IdentityPortal

Das COMLINE IdentityPortal (CLIP) erlaubt die webbasierte Verwaltung von Benutzern und Gruppen im Micro­soft Active Directory und anderen Verzeich­nissen. Das Portal wird darüber hinaus als Frontend für Identitäts­ver­wal­tungs­lösungen und Meta­Direc­tories eingesetzt. Durch die Definition von Prozessen in XML und ein gruppenbasiertes Rollenmodell integriert sich CLIP in die IT-Infrastruktur von mittelständischen Unternehmen und internationalen Konzernen.

CLIP erlaubt dem Portal­admi­nis­trator eine flexible An­pas­sung der Lösung an den Bedarf des eigenen Unter­neh­mens. Die vor­handenen oder geplan­ten Identitäts­verwal­tungs­prozesse können individuell im Por­tal abgebildet werden. Durch die Ver­wendung von einfach anpass­ba­ren XML-Vorlagen und eines gra­fi­schen XML-Editors ist dies auch Nicht-Entwick­lern möglich. Die Pro­zessvorlagen können für häufig ver­wendete Prozesse mehrfach für die verschiedenen Verwaltungs­be­reiche (Domänen, OUs) eingesetzt werden.

Labels: Identity Management, INFOLINE

Die Komplexität der IT-Infrastrukturen nimmt zu. Administratoren können die Verwaltung der Vielzahl an Systemen kaum noch bewältigen. Anwender werden vor neue Herausforderungen gestellt. Parallel genügen die Systeme nicht mehr den heutigen Sicherheitsanforderungen. Identity Management ist hier eine Lösung. Die INFOLINE gibt Ihnen einen Überblick über dieses aktuelle IT?Thema.

Identity Management ist ein Oberbegriff für mehrere Lösungsansätze in modernen IT?Infrastrukturen. Zunächst wird Identity Management meist mit der Synchronisation von Benutzerkontendatenbanken gleichgesetzt. Aber ebenso gehören Benutzerportale und die Vereinfachung der Anmeldung zu diesem Thema. Identity Management sollte immer als Gesamtlösung betrachtet werden und sich dabei mehr auf die vorhandenen Prozesse als auf einzelne IT?Systeme konzentrieren.

MetaDirectory und Identity Integration

Zur Abbildung der Prozesse in der Benutzerverwaltung wird zunächst eine Identitäts­management­lösung benötigt. Beispiele sind etwa Microsofts Identity Integration Server oder Novells Nsure IdentityManager. Am Anfang steht jedoch nicht eine Produktauswahl, sondern die Durchleuchtung der internen IT?Prozesse. Nach Untersuchungen von Gartner wird ein großer Teil der administrativen Arbeit in die Verwaltung der Benutzerkonten investiert. Trotzdem sind Benutzerverzeichnisse niemals auf dem aktuellen Stand. So werden laut Gartner Benutzer in durchschnittlich 16 Systemen angelegt aber nach Ihrem Ausscheiden nur in weniger als zwei Dritteln der Verzeichnisse wieder gelöscht. Dies bedeutet neben falschen Informationen vor allem ein erhebliches Sicherheitsrisiko.

Eine Identitäts­management­lösung verbindet die Benutzerverwaltung der unterschiedlichsten IT?Systeme, so dass die Anwender nur einmal zentral gepflegt werden müssen. Oftmals wird ein Anwender so schon bei der Einstellung durch die Personalabteilung erstellt. Aufgrund seiner zukünftigen Rolle im Unternehmen erhält er alle benötigten Konten, Berechtigungen und Anwendungen. Änderungen an seinem Konto, wie zum Beispiel ein neues Kennwort, wirken sich sofort auf alle Systeme aus. Und bei seinem Ausscheiden können alle Konten zentral gesperrt oder gelöscht werden. Es wird weniger Zeit für die Neuanlage, Pflege und Löschung von Konten verwendet. Der gewonnene Zeitgewinn kann zur Erhöhung der Qualität und Sicherheit eingesetzt werden.

Portale und Whitepages

Um Teile der Benutzerverwaltung auch an Nicht-Experten geben zu können, sind neue Lösungen gefragt. Hier helfen prozessorientierte Portale weiter, die jedem Anwender bei einfachster Bedienung genau die Dinge ermöglichen, die er durchführen darf und soll. Eingebettet in das firmeneigene Intranet wird die Benutzerverwaltung vereinfacht und wie selbstverständlich in den Alltag integriert. Zusätzlich wird es möglich, dass der Abteilungsleiter einen Überblick über die von ihm bezahlten Benutzerkonten erhält, der IT-Experte der Fachabteilung Teile der Administration übernimmt oder der Anwender einzelne Eigenschaften seines Kontos selbst verwaltet. Die eingepflegten Informationen im zentralen Verzeichnis werden den Anwendern teilweise zur Suche und Information zugänglich gemacht. Hierbei kann es sich um bekannte Oberflächen, wie zum Beispiel das Microsoft Outlook Adressbuch, handeln oder um sogenannte Whitepages innerhalb eines Intranet-Portals.

Die COMLINE AG hat als Ergänzung zu Verzeichnisdiensten und MetaDirectories eine eigene Portallösung entwickelt. Das COMLINE IdentityPortal (CLIP) wird von unseren Kunden für die Administration von Benutzern und Gruppen ebenso wie für den so genannten Self-Service verwendet. Die Implementierung von CLIP beim Kommunalen Versorgungs­verband Baden-Württemberg wurde kürzlich von HP und Microsoft mit dem Partner Excellence Award ausgezeichnet (siehe Artikel in dieser Ausgabe).

Single-Sign-On

Abgerundet wird Identity Management durch eine Technologie, die es dem Anwender ermöglicht, mit einer einzigen Anmeldung alle Anwendungen und Daten nutzen zu können, zu denen er Zugang haben soll. Beim Single-Sign-On (SSO) wird die erste Anmeldung am System als allgemein gültig und verbindlich angesehen. In Windows-Umgebungen handelt es sich hierbei zumeist um die Domänenanmeldung. Alle weiteren Applikationen autorisieren den Anwender ohne eine Kennworteingabe, sie akzeptieren die bereits zuvor erfolgte Authentifizierung des Anwenders.

Bei Einführung eines SSO-Clients von Herstellern wie Novell oder Citrix ist es wichtig, dass der Zugang besonders zum ersten Benutzerkonto ausreichend abgesichert wird. Mit diesem einen Konto werden in letzte Konsequenz alle Berechtigungen vergeben. Ob hier die strengsten Kennwortrichtlinien aller Verzeichnisse genügen oder ein Smartcard-System eingeführt wird, hängt vom Sicherheitsbedarf des einzelnen Unternehmens ab.

Identitätsmanagement als COMLINE Lösung

Am Anfang eines Identitätsmanagementprojekts steht zumeist die Schaffung eines führenden Verzeichnisdienstes. Die EDEKA Gruppe hat so zum Beispiel die Einführung des Microsoft Active Directory konzipiert und in einigen Bereichen der Unternehmensgruppe bereits umgesetzt (siehe Artikel in dieser Ausgabe). Außerdem ist es zu empfehlen vor einem Projekt zumindest eine pragmatische Kosten-Nutzen-Analyse durchzuführen (siehe siehe Artikel in dieser Ausgabe). Die COMLINE AG verbindet Best Practise Erfahrungen und ein hervorragendes Know-How in den Produkten ihrer Partner Microsoft, Novell und Citrix mit eigenen Lösungen im Bereich Identity Management.

Labels: Forefront, Identity Management, INFOLINE