Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
KONTROL: Opgaven med at holde styr på, hvem og hvad der har adgang til systemer, kompliceres konstant, hvilket går ud over økonomi og sikkerhed. Derfor er der stort fokus på Identity Management.
Jensen ansættes, Hansen fyres, og Andersen flytter arbejdsområde. Kasserer Karstensen får en digital underskrift, og sælger Petersen har netop fået stjålet sin lomme-pc, der kan kobles op til kundesystemet.
Konsulenthuset Ipsen får en to-måneders opgave i huset. Leverandør Rasmussen A/S skal have koblet sit lagerstyringssystem til vores. Trofæ-kunde Olsen skal have udvidet sin online-adgang. Og ordresystemet skal bruge kredittjek-tjenesten hos Jones' Web Services i London.
Summa, summarum. Udgifterne til den del af sikkerheden, der omfatter kontrol af menneskers systemadgang, løber løbsk. Snart gælder det også udgifterne til kontrol af "tings" adgang til servere, hvad enten det er en anden server med en kreditvurderingstjeneste, eller en sensor på produktionsanlægget i datterselskabet i Polen.
Når dertil lægger identifikationskrav fra lovgivernes side - være det sig til regnskabet, følsomme persondata eller medicinforskning - kan trykkogeren meget vel koge over. For alt i alt handler identiteter også om sikkerhed. Er der ikke styr på, hvem - menneske eller maskine - der må hvad, hvor og hvornår - er der ikke styr på sikkerheden.
Derfor er konceptet Identity Management ved at blive brandvarmt. Det er også baggrunden for, at de to største it-selskaber - IBM og Hewlett-Packard - er ude i et kapløb om få sammensat en komplet pakke inden for området Identity Management.
IBM har dog et stort forspring.
- På dette område har vi den største installerede base i verden, mens HP først rigtigt er ved at etablere sig, siger Martin Grundtvig, leder af IBMs sikkerhedsgruppe.
Opkøbsrunde
IBM har blandt andet opkøbt Access 360 med fokus på systemadgangskontrol samt MetaMerge, der har software til tværgående kontrol af identiteter og rettigheder. Hewlett-Packard købte id-styringsfirmaet TrueLogica og adgangsstyringen kom fra opkøbte Baltimore Technologies.
Også Computer Associates bygger op og ligeså Sun Microsystem, der netop har netop købt en af de unge, stærke spillere på området.
Og kampen står ikke blot blandt disse. Der er flere unge selskaber, heriblandt Netegrity, Oblix og Open Network.
Identity Management udgør et stort puslespil, og det gælder om at få alle brikker på plads. Beslutningstagerne hos kunderne rykker, men ifølge rådgivningsfirmaet Gartner Group er det vigtigt, at leverandørerne kan dække mest muligt.
One stop shopping
Gartner Group spår, at kompleksiteten i at integrere komponenterne til identitetskontrol og adgangsstyring fra næste år får 60 procent af virksomhederne til at vælge komplette pakker - produktsuiter. Én leverandør skal eje alt, eller i hvert fald påtage sig ansvaret for den totale løsning. Samme leverandør skal stå for supporten.
Identity Management-systemer har til opgave først at genkende identiteten af en person eller en applikation, der forsøger at få adgang til et givent system. Dernæst at tjekke identiteten i forhold til den fastlagte adgangspolitik for det pågældende system - et punkt, der typisk tager udgangspunkt i virksomhedens overordnede sikkerhedspolitik.
Til billedet hører imidlertid også brugernes situation. Den jungle af brugernavne og pinkoder, som brugere kastes ind i, fører hyppigt til lette, usikre genveje i form af huskesedler og banale koder, der alt for let kan brydes. Brugeren skal kunne nøjes med én adgangsvej - såkaldt single sign on.
Automatisering nødvendig
Hvis ikke kompleksiteten i systemadministratorens arbejde bringes ned, og hvis ikke brugernes hverdag lettes, forbliver sikkerheden som en Emmenthaler, men hullerne bliver større og større.
Identity Management er imidlertid ikke en entydig, afgrænset størrelse, men et sammensurium af gamle og nye teknologier.
På identitetssiden er de mest kendte basisspillere Microsoft med sin Active Directory, Novell med eDirectory og IBM Ldab Directory og Sun One Directory Server.
Og så er der alle de it-selskaber, som plukker fra de andre, supplerer og samler specialløsninger.
Standarder mangler
Et problem med identitetsstyring er, at en virksomheden meget vel kan have flere flere "identitetslagre" med overlappende data. Sammenhæng på tværs af directories og styresystemer mangler.
Derfor går udviklingen i retning af, hvad der kaldes metadirectories. En fælles paraply, der rækker ud til alle identitets-databaser og til systemerne adgangspolitikker.
Men der mangler standarder, hvilket besværliggør livet for de kunder, der måtte ønske at satse på det bedste inden for hver kategori, uanset leverandør. Sammenkoblingen koster dyrt, men der er en lysning på vej.
Standardiseringsorganisationen Oasis står således bag en standard til udveksling af sikkerhedselementer mellem servere. Standarden SAML, som udvider XML-universet for udvekslingsformater, definerer protokoller for single sign on, administration og politikstyring.
Liberty Alliance
Den standard er taget med kyshånd af organisationen Liberty Alliance. Ideen til alliancen blev født hos Sun Microsystem, der blandt andet ønskede alternativer til Microsofts sandsynlige dominans på id-siden.
Liberty Alliance er blevet et konsortium med deltagelse i variende grad af over 150 parter fra industrien, non-profit-organisationer og offentlige institutioner. Fra Intel til American Express til TeliaSonera til SAP.
Liberty Alliance tilbyder specifikation for, hvad der kaldes Federated Identity samt for Web Services, hvilket er udveksling af tjenester mellem computere uden menneskelig indblanding, såsom tjek af kreditværdighed. Alliancen har bygget videre på Oasis' SAML, og den kommende version heraf vil reflektere dele af alliancens bidrag. Microsoft står imidlertid uden for Liberty, ligesom verdens største it-selskab IBM. De to kæmper har fundet sammen om standarder for Web Services, hvor Liberty Alliance altså også byder ind.
Slutkunderne behøver dog ikke frygte, at der bliver opfundet to sæt dybe tallerkner, der ikke kan stables. Liberty Alliance (LA) har lovet at sikre, at det ikke går galt. IBM sikrer også, at man er i harmoni med LA-standarderne, oplyser IBM's Martin Grundtvig.
Skær elefanten i stykker
Forløbig vil kun relativt få danske virksomheder være tjent med at satse på den helt forkromede model af Identity Management, for det er en kompliceret sag at få installeret med sine mange delelementer, og det koster dyrt.
Således lyder vurderingen fra Thomas Rasche fra analysehuset IDC, hvor han har ansvaret for at kigge nærmere på europæiske sikkerhedsprodukter og strategier.
For de fleste danske virksomheder vil den systemmæssige elefant endnu være uspiselig, men skærer man elefanten i stykker og begynder med et mindre stykke, kan der hurtigt opnås fordele.
- Man kan gøre tingene nemmere. Se først på et mindre område såsom single sign on og "provisioning", anbefaler Rasche.
Single sign on er betegnelsen for, at brugerne har én måde at identificere sig på over alle systemer, så pinkodetyranniet undgås. Provisioning handler om, at man har styr på alt i forbindelse med id- og adgangskontrol for en medarbejder - fra første dag i firmaet til og med sidste dag.
- Siger man farvel til medarbejderen, slettes alle adgangsrettigheder med ét tastetryk, forklarer Rasche.
Det er i øvrigt tilfældet hos TDC, hvor systemet, som er leveret af IBM, omfatter 17.000 brugere.
