Vor einigen Jahren wurde sehr intensiv über Verzeichnisdienste diskutiert. Allerdings hat sich diese Diskussion überwiegend in einem Teilbereich, den Netzwerk-Verzeichnisdiensten wie dem Active Directory und Novell’s eDirectory abgespielt.
Parallel dazu gab es teilweise auch die Diskussion um den besten LDAP-Verzeichnisdienst bis hin zur Frage, welche Rolle OpenLDAP spielen kann und soll. Inzwischen ist es in diesem Bereich relativ ruhig geworden – zu Unrecht. Allerdings muss die Diskussion einen anderen Fokus erhalten.
Einsatzszenarien
Es gibt mehrere Einsatzbereiche für Verzeichnisdienste. Da sind zunächst die schon angesprochenen Netzwerk-Verzeichnisdienste. Diese haben zentrale Bedeutung für die Authentifizierung von Benutzern beim Zugang zum Netzwerk und für die Speicherung von ergänzenden Informationen beispielsweise zur Infrastruktur.
Die zweite Gruppe sind Unternehmensverzeichnisse mit einem zentralen Charakter, die oft als Basis von Anwendungen wie „Yellow Pages“ verwendet werden. Teilweise werden diese auch als Meta Directories bezeichnet, was nicht ganz unproblematisch ist, weil Verwechslungsgefahr einerseits mit für die technische Synchronisation benötigten Meta Directories und andererseits den Meta Directory-Diensten, die den eigentlichen Abgleich durchführen, besteht.
Verzeichnisse im Bereich eBusiness für den Umgang mit Kunden-, Lieferanten- und Partnerdaten sind eine weitere Gruppe. Diese ist oft durch die große Menge an Einträgen gekennzeichnet.
Schließlich gibt es noch die Anwendungsverzeichnisse, in denen anwendungsspezifisch Identitätsdaten gehalten werden. Häufig handelt es sich dabei nur um Datenbanktabellen in Anwendungen, manchmal aber auch um eigenständige Verzeichnisse. Und je nach Definition kann man auch ein CRM-System dazu zählen, das man aber auch bei den eBusiness-Verzeichnissen einordnen könnte.
Keine Single Directory-Strategie
Über längere Zeit wurde insbesondere von Novell und Microsoft eine Single Directory-Strategie als Ziel propagiert. Spätestens mit der Ankündigung von Microsoft, neben dem Active Directory mit ADAM (Active Directory Application Mode) noch eine zweite Lösung zu liefern, wurde dieses Konzept aber verabschiedet. Für unterschiedliche Anforderungen braucht man auch unterschiedliche Verzeichnisdienste.
Die wichtigste Leitlinie dabei ist, die Komplexität im Griff zu behalten. Keine Technologie ist für jeden Einsatzbereich gleichermaßen gut geeignet. Schon die Netzwerkverzeichnisdienste haben spezielle Anforderungen beispielsweise an die Multi-Master-Replikation über viele Server hinweg, die sich beispielsweise bei Unternehmensverzeichnissen mit meist nur wenigen Instanzen so nicht stellen. Andererseits müssen eBusiness-Verzeichnisse extrem hoch skalieren.
Die Qual der Wahl
Während es im Bereich der Netzwerk-Verzeichnisdienste vor allem Microsoft und Novell sind, die dominieren, gibt es in anderen Bereichen deutlich mehr Anbieter. Bei Unternehmens- und eBusiness-Verzeichnissen steht die Skalierbarkeit im Mittelpunkt. Entscheidungen sind hier aber vergleichsweise unkritisch, da der Zugriff praktisch immer über LDAP erfolgt und ein Austausch damit zwar lästig und gegebenenfalls durch zusätzliche Lizenzkosten nicht billig, aber technisch wenig kritisch ist.
Wirklich interessant sind aber die Anwendungsverzeichnisse, die definitiv auch strategische Relevanz haben. Heute gibt es in den meisten größeren Unternehmen unzählige solche Verzeichnisse, von denen die meisten nicht einmal zentral bekannt sind. Die Zielsetzung muss sein, die Komplexität zu reduzieren und mit einer einheitlichen Infrastruktur für solche Verzeichnisse zu arbeiten.
Denn wenn man die Kosten des Identity Managements betrachtet, dann entstehen diese weniger durch die wenigen zentralen Systeme, die integriert werden müssen, sondern durch den Aufwand für die unzähligen Anwendungsverzeichnisse. Verzichtet man aber auf eine Integration, bleibt der administrative Aufwand entsprechend hoch.
Anwendungsverzeichnisse als Dienst
Das Problem entsteht vor allem dadurch, dass interne und externe Entwickler ebenso wie die Hersteller von Standard-Software immer wieder eigene Lösungen für die Speicherung von Identitätsinformationen und häufig auch die Authentifizierung finden. Das führt zu großer Heterogenität.
Das Ziel muss aber sein, diese Komplexität zu verringern. Dazu muss man für Entwickler und Anwendungen eine Infrastruktur für die Speicherung anwendungsspezifischer Identitätsdaten bereitstellen. Eine solche Infrastruktur besteht aus einer relativ hohen Zahl an Instanzen von kleinen Verzeichnissen. Ein Bindeglied zwischen diesen und Netzwerkverzeichnissen und Unternehmensverzeichnissen, in denen sich typischerweise auch Informationen zu den gleichen Identitäten befinden, können virtuelle Verzeichnisdienste sein, die eine logische Sicht auf die getrennt gespeicherten Informationen herstellen.
In einer solchen Infrastruktur erhält ein Anwendungsverzeichnisdienst eine hohe Bedeutung. Er ist zwar ebenfalls austauschbar, durch die Vielzahl an Instanzen aber nur mit relativ hohem Aufwand.
Fazit
Die Anforderungen an solche Anwendungsverzeichnisse sind klar. Sie müssen LDAP als Schnittstelle unterstützen, wenige Systemressourcen konsumieren und sich in mehreren Instanzen auf einem Server installieren lassen. Systeme wie ADAM, die Linux-Versionen des Novell eDirectory, OpenLDAP und andere kommen hier in Frage.
Wenn es heute also um die Definition von Verzeichnisdienststrategien geht, dann findet diese nicht mehr in erster Linie auf der Ebene der Netzwerkverzeichnisdienste statt, sondern muss sich um die Frage kümmern, wie man zukünftig mit Anwendungsverzeichnissen umgehen soll. (mja)
Auf der European Identity Conference, die vom 7.-10.05.2007 in München stattfindet, stehen die Themen Identity Management und Compliance im Mittelpunkt. In insgesamt vier Tracks mit mehr als 90 Sprechern und über 20 Best Practice-Vorträgen werden alle relevanten Aspekte rund um diese Themen behandelt. Zu den Sprechern gehören unter anderem Jeff Jaffe (CTO Novell), Sachar Paulus (CSO SAP), Dick Hardt (CEO Sxip Identity) und viele andere Top-Redner aus der Industrie und aus Anwendungsunternehmen. Praxisvorträge gibt es von Unternehmen und Organisationen wie ABN Amro, Österreichische Post, den Vereinten Nationen, British Telecom und vielen anderen. Hier finden Sie weitere Informationen und die Möglichkeit zur Buchung.