adrian_ilie825 - Fotolia

Ein Standard für alle: Wege aus der Cloud-Identity-Management-Krise

SCIM ist ein offener Standard, der es Firmen erlaubt, Benutzer durchgängig und einheitlich zu verwalten. Durchgesetzt hat sich dieser bislang nicht.

Die „digitale Transformation“ ist eine der Begriffsprägungen, die in jüngster Zeit weit über die IT-Medien hinaus diskutiert werden. Der Trend zur Containerisierung, eine große Zahl existierender Programmierschnittstellen (APIs) und Open-Source-Software markieren eine Wende.

Welche Mittel und Wege es gibt, die digitale Wirtschaft voranzutreiben, das beschäftigt mittlerweile die klügsten Köpfe der Technologiebranche. Firmen haben realisiert, dass es nicht darum geht, das Rad mit jeder Technologie neu zu erfinden. Vielmehr liegt der Schlüssel darin, die inhärenten Möglichkeiten von Kollaboration, Integration und offenen Schnittstellen wirklich zu nutzen, statt sich immer weiter aus dem technischen Baukasten zu bedienen. Kollaboration hat sich innerhalb der Technologiebranche bereits durchgesetzt. In einer Branche allerdings kämpft man nach wie vor mit der Kluft: im Identity und Access Management (IAM).

Die meisten Unternehmen, die Applikationen und Systeme anbieten, die mit Identitäten zu tun haben – und das ist die überwiegende Mehrzahl, wenn nicht sogar alle – verlassen sich auf benutzerdefinierte, proprietäre Schemata und Schnittstellen. Die Folge: Unternehmen müssen diese in mühevoller Kleinarbeit integrieren und die Identitäten dieser Applikationen auf Basis einer kundenspezifischen Einzellösung verwalten.

Heutzutage ist es üblich, dass Unternehmen jeden Tag mit tausenden von Anwendungen und Identitäten zu tun haben. Diese Identitäten gehen in die Cloud oder kommen aus der Cloud, und befinden sich ebenso auf On-Premises-Systemen. Das resultiert in einen dramatisch hohen Zeitaufwand und erfordert erhebliche finanzielle Ressourcen.

Es existiert aber bereits eine Lösung, die in der derzeitigen IAM-„Identitätskrise“ einen Ausweg verspricht: SCIM (System for Cross-Domain Identity Management). SCIM ist ein offener Standard mit einer REST API, der das Schema und Protokoll festlegt und der es Unternehmen ermöglicht, ihre Benutzer durchgängig und einheitlich zu verwalten.

Obwohl SCIM von einigen SaaS- und IAM-Anbietern verwendet wird, lässt der große Durchbruch noch auf sich warten. Etliche verlassen sich lieber auf die ihnen vertraute Herangehensweise und bleiben bei individuellen Schnittstellen. Einem durchschnittlichen Unternehmen, das seine Nutzeridentitäten innerhalb der Cloud verwalten will, bleiben zeitaufwändige Individualentwicklungen dann nicht erspart.

IAM: Was bisher geschah

Seit den frühen Tagen von IAM schlagen sich IT-Abteilungen damit herum, IAM-Lösungen mit einer Unzahl von lokalen Identitätssystemen zu integrieren. Dazu gehören, um nur die wichtigsten zu nennen, Mainframe, E-Mail-Systeme, physische Zutrittskontrollen, Unix/Linux-Server und viele, viele Geschäftsapplikationen, die auf den Datenbanken von Microsoft, Oracle oder anderen Anbietern basieren.

Trotz der riesigen Zahl von On-Premises-Systemen, ist es offenbar gelungen, die Mehrzahl von ihnen erfolgreich in eine IAM-Lösung zu integrieren. Warum? Weil die meisten dieser Systeme und Lösungen bereits eine Reihe von Jahren, wenn nicht Jahrzehnten, auf dem Markt sind und die Interoperabilitätsprobleme inzwischen weitgehend gelöst werden konnten. Nehmen wir als Beispiel Active Directory von Microsoft sowie SQL- oder Oracle-Datenbanken oder IBMs Resource Access Control Facility (RACF) für die Zugriffskontrolle bei Mainframes.

Wie ist es gelungen, Interoperabilität zwischen diesen Datenbanksystemen herzustellen?

Nun, mit Open Database Connectivity – kurz ODBC, veröffentlicht 1992. Und wie zwischen den genannten Directory Services? Das ließ sich mittels des Lightweight Directory Access Protocol – kurz LDAP, realisieren. LDAP gibt es ebenfalls bereits seit 1993.

Heute kann jede Identity-Management-Lösung über einen LDAP-Konnektor mit jeglicher LDAP-Lösung sprechen. Dabei spielt es keine Rolle, ob sie von Microsoft, Oracle oder einem beliebigen anderen Anbieter kommt, der LDAP benutzt. Es genügt ein Konnektoren-Typ, damit die Lösungen sich untereinander verstehen und in die Identity-Lösung integrieren lassen. Der springende Punkt: Die Industrie hatte über zwei Dekaden Zeit, um Interoperabilitätsprobleme bei On-Premises-Systemen zu lösen. Unglücklicherweise haben wir bei Cloud-basierten Systemen nicht ganz so viel Zeit.

Die Cloud-Transformation: Es bleibt herausfordernd

Zwischen vor Ort installierten und Cloud-basierten Systemen besteht ein Unterschied wie Tag und Nacht. Etwa innerhalb der letzten fünf Jahre haben sich neue Software und Lösungen erfolgreich weiter verbreitet. Und sie alle kommen aus der Cloud. Das erfordert für die IT vieler Unternehmen einen grundlegenden Umgestaltungsprozess. Man denke nur an erfolgreiche Lösungen wie Dropbox, Office 365, Workday, ServiceNow und viele mehr. Man bekommt schnell eine Vorstellung davon, was das für Unternehmen bedeutet.

Die explosionsartige Verbreitung Cloud-basierter Anwendungen hat aber nicht nur Vorteile mit sich gebracht. Insbesondere die veränderten Sicherheitsanforderungen sind für IT-Abteilungen eine nicht zu unterschätzende Last. Zum einen ist es das schiere Volumen, hunderte von zusätzlichen Applikationen sicher zu verwalten. Zum anderen nutzen wahrscheinlich so ziemlich alle Anwendungen unterschiedliche Mechanismen, um Nutzeridentitäten/Identitätsdaten auszutauschen.

Und dann gibt es noch die Risiken der Schatten-IT. SaaS-Lösungen und der Trend zu Bring Your Own App (BYOA) haben es jedem einzelnen Beschäftigten erleichtert, Software einzusetzen, von der die IT nichts weiß. IT-Abteilungen gehen zwar von einer bestimmten Zahl an Cloud-Lösungen aus, die ihr Unternehmen nutzt, in der Realität stellt sich aber nicht selten heraus, dass die tatsächliche Zahl zwei bis vier Mal so hoch ist, wie ursprünglich angenommen.

Einem unserer Kunden ist es tatsächlich gelungen, eine Bestandsaufnahme der im Unternehmen verwendeten Cloud-Lösungen zu machen. Ergebnis: die Firma nutzt mehr als 1.200 verschiedene. Eine unglaubliche Zahl. Unserer Erfahrung nach wird man kaum einen Kunden finden, der gewillt ist, mehr als 100 On-Premises-Systeme in seine IAM-Lösung zu integrieren. Üblicherweise liegt die Zahl sogar noch weit darunter, nämlich zwischen 15 und 50 Systemen. In einer SaaS-getriebenen Welt werden ununterbrochen sensible Daten verteilt und ausgetauscht, innerhalb des Unternehmens, aber auch außerhalb.

Deshalb ist es unverzichtbar, zu wissen, wo diese Daten im Unternehmen liegen, Transparenz zu schaffen und die Kontrolle über diese Daten zu behalten. Wenn Anwendungen und Systeme allerdings unterschiedliche Sprachen sprechen, kann das schwierig werden. Man darf sich also fragen, ob es für Cloud-basierte-Lösungen vielleicht etwas gibt, das mit ODBC oder LDAP vergleichbar ist – und genau das ist SCIM.

Warum SCIM so wichtig ist

SCIM ist seit 2015 als Standard der Internet Engineering Task Force anerkannt, um genau zu sein, in RFC 7644 festgelegt. Es handelt sich um eine REST-Schnittstelle, die auf JSON und XML basiert, und die es erlaubt, Informationen zu Benutzeridentitäten zwischen IT-Systemen auszutauschen. Dabei helfen ein gemeinsames Schema, ein Modell für die Erweiterung und das Serviceprotokoll. Im Wesentlichen wurde SCIM entwickelt, um Benutzeridentitäten standardisiert zwischen verschiedenen Partnern und Systemen auszutauschen – und dadurch den Austausch entscheidend zu vereinfachen. Warum ist das wichtig?

Ohne eine standardisierte Methode sind Unternehmen derzeit gezwungen, selbst entsprechende Konnektoren zu entwickeln, um Anwendungen und Systeme in die IAM-Lösung aufzunehmen. Das kostet IT-Abteilungen hunderte zusätzlicher (und wiederkehrender) Arbeitsstunden. Gehostete Applikationen, Server, Datenbanken und File Shares, allesamt brauchen sie eine regelkonforme Benutzererstellung. Mit SCIM-basierten Systemen operieren Unternehmen auch zwischen den unterschiedlichen Cloud-Systemen nur über einen einzigen Konnektor-Typ. Der sorgt dafür, dass sämtliche Systeme dieselbe Sprache sprechen.

Für Anwenderunternehmen bedeutet das eine enorme Zeit- und Kostenersparnis im Hinblick auf die erforderliche Dienstleistung. Gleichzeitig reduziert es die Komplexität des IAM Systems, wenn nur ein Konnektor-Typ statt vieler verschiedener Konnektoren zum Einsatz kommt.

Anwendungsbeispiele mit SCIM

Konkrete Anwendungsbeispiele illustrieren, wie leistungsfähig SCIM ist: Wenn etwa ein Mitarbeiter oder eine Mitarbeiterin das Unternehmen verlässt, löscht oder deaktiviert SCIM sämtliche Benutzerkonten auf externen Systemen mit nur einem Mausklick, statt sämtliche Konten des Benutzers in beruflich genutzten Google Apps, in Salesforce, Slack oder Office 365 mühsam einzeln zu deaktivieren. Die Liste ließe sich beliebig verlängern.

Ein anderes Beispiel: Nehmen wir an, Sie wollen den Anbieter Ihres CRM-Systems wechseln. Wenn das bestehende System SCIM nutzt, lassen sich die Daten problemlos vom alten in das neue System migrieren, sobald sie über SCIM verbunden sind. Ohne SCIM kann es passieren, dass die Daten im proprietären Identitätsspeicher des alten Systems festsitzen. Unter Umständen ist es dann nicht mehr möglich, die Daten umzuziehen, problematisch ist es auf jeden Fall.

Die Beispiele zeigen, welchen enormen Stellenwert SCIM für die Weiterentwicklung der digitalen Wirtschaft insgesamt hat. Auf der Basis von SCIM sind ganze Infrastrukturen in der Lage, miteinander zu sprechen, ohne aufwendige individuelle Programmierungen. Daten und Identitäten besser zu schützen und einfacher zu synchronisieren entlastet die IT. Die kann ihr Augenmerk auf andere wichtige Aufgaben richten: Die Digitale Transformation und Innovation. Für Firmen ist es wichtiger denn je, schneller Zeit und Geld zu sparen als bisher, um wettbewerbsfähig zu bleiben.

Der REST macht sich fast von selbst

Inzwischen ist der Einsatz von Cloud-basierten Systemen schier explodiert. Es ist zunehmend entscheidend, alle diese Systeme möglichst einfach in ein Identity-Management-System  zu integrieren. SCIM ist die Antwort darauf. Der Standard verwandelt Identity Management in eine universelle Plattform, die Cloud-Lösungen mühelos in die Verwaltung aufnimmt. Leider bestehen trotz allem bei der konkreten Umsetzung noch einige Schwierigkeiten. Hauptsächlich deshalb, weil SCIM sich bei den SaaS-Anbietern noch nicht flächendeckend durchgesetzt hat. Im Gegensatz zu LDAP oder ODBC konnte sich SCIM bisher nur bei einigen wenigen Anbietern etablieren.

„Nur wenn das gemeinsame Ziel eine einheitliche Sprache ist, wird SCIM sein volles, für die digitale Transformation notwendiges Potenzial entfalten und digitale Ökosysteme zusammenführen können.“

 Jackson Shaw, One Identity

In einer mehr und mehr SaaS-getriebenen Welt hat das Folgen. Es gibt zwar einen Standard, aber solange er sich nicht durchgesetzt hat, werden wir es weiterhin mit Interoperabilitätsproblemen zu tun haben.  Das verwundert in einer auf den Datenschutz fokussierten Branche zunächst nicht, denn offene Standards scheinen diesem Sicherheitsanspruch entgegen zu stehen. Einige SaaS-Anbieter befürchten zudem, dass ein auch von der Konkurrenz einsetzbarer Standard den ohnehin bestehenden Wettbewerb weiter verschärfen könnte. Die Versuchung ist groß, Daten (und Kunden) für sich zu behalten und lieber einem proprietären Ansatz den Vorzug zu geben.

Dennoch – alle werden von SCIM profitieren. Die ausgewogene Kombination von Kooperation und Wettbewerb sowie Zusammenarbeit wird dazu führen, sensible Benutzeridentitäten in verteilten SaaS-Umgebungen besser als bisher zu schützen. Das setzt zudem Energien frei, die an anderer Stelle für die digitale Transformation gebraucht werden. Wir erleben inzwischen täglich, dass schwerwiegende Datenschutzverletzungen die Schlagzeilen bestimmen. Umso wichtiger sind der Schutz und die Vertraulichkeit bestimmter Daten.

Kunden und Unternehmen sollten von den Anbietern von Cloud-/und SaaS-Lösungen die Unterstützung von SCIM einfordern. Schließlich zahlen sie für diese Lösungen. Einige  Anbieter werden sicherlich versuchen, ihren Kunden weiterhin proprietäre Lösungen aufzuzwingen, während anderen vielleicht gar nicht bewusst ist, dass es einen Standard wie SCIM  gibt. Auf der anderen Seite sollten Entwickler von Lösungen, Infrastrukturen und Apps ernsthaft darüber nachdenken, SCIM als Identity-Layer einzusetzen. Das spart Zeit und unterstützt gleichzeitig die Interoperabilität der digitalen Wirtschaft. Im Grunde also eine klassische Win-Win-Situation.

Nur wenn das gemeinsame Ziel eine einheitliche Sprache ist, wird SCIM sein volles, für die digitale Transformation notwendiges Potenzial entfalten und digitale Ökosysteme zusammenführen können. Der REST macht sich fast von selbst.

Über den Autor:
Jackson Shaw ist Senior Director Product Management bei One Identity.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen

Risiko Zugangsdaten: IAM für Cloud-Anwendungen

Identitäts-Management aus der Cloud: Darauf müssen Unternehmen achten

IAM: Zugriffsrechte an Identitäten koppeln

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close