Bei dieser Frage geht es – zumindest in diesem Beitrag – nicht um die Beantwortung esoterischer Selbstfindungsfragen oder eine Abwandlung des heiteren Beruferatens.
Es geht um Identity Management (IdM). Ohne gut funktionierendes Identity Management können die Ansprüche an eine moderne IT-Infrastruktur, sei es im Hinblick auf Datenschutz, Effektivität oder auch nur Kosteneffizienz, heutzutage nicht mehr befriedigt werden. Full Stop.

Aber was genau ist eigentlich Identity Management? Die verschiedenen Definitionen hierzu laufen sicher genauso weit auseinander wie die von Dokumentenmanagement, eLearning oder „Collaboration“.
Aber im Grunde genommen lassen sich die 3 wesentlichen Aufgaben des IdM so beschreiben:

1) Herstellen einer Identität
Jede Hochschule, Institution und jedes Unternehmen pflegen heute eine mehr oder weniger große Anzahl an Benutzerverzeichnissen. Angefangen von Infrastruktur-Verzeichnissen (wie etwa dem Active Directory oder auch Novell eDirectory) über Systemverzeichnisse (Telefonanlagen, Türschließanlagen,…) bis hin zu Anwendungsverzeichnissen (SAP, HIS, CampusNet,…) werden Benutzerinformationen mehrfach benötigt und gepflegt.
Da all diese Systeme in der Regel unterschiedliche Bezeichnungen und IDs für die Benutzer verwenden, ist die erste Aufgabe eines IdM daher die einfache Beantwortung der Frage: „Wer ist wer in welchem Verzeichnis“. Dieses mapping von Benutzerinformationen erfolgt normalerweise auf Basis von Regelwerken, und – da es bekanntlich keine Regel ohne Ausnahme gibt – zum Teil auch manuell.

2) Wahren der Identität
Benutzerinformationen sind ständigen Änderungen unterworfen. Seien es Namensänderungen aufgrund von Heirat, Raumänderung durch Umzug, Änderung der Studienfächer durch Semesterwechsel – die Liste ließe sich beliebig fortsetzen. Aufgabe des IdM ist es nun, die auftretenden Änderungen  in den Quellverzeichnissen zu bemerken und, wenn nötig, an andere Verzeichnisse weiterzureichen um deren Konsistenz zu gewährleisten und die einmal hergestellte Identität zu wahren.

3) Prozesse automatisieren
Dies ist die eigentliche Königskür des Identity Managements. Hier wird dafür gesorgt, dass alle Abläufe rund um Benutzer und die mit ihnen verbundenen Informationen automatisch, wiederhol- und nachvollziehbar ablaufen.
Beispiel: Ein neuer Mitarbeiter wird im Personalsystem angelegt. Nachdem sein zukünftiger Vorgesetzter oder der Kostenstellenverantwortliche zugestimmt hat, wird für den neuen Mitarbeiter ein Konto im Active Directory eingerichtet und das Startpasswort seinem Vorgesetzten übermittelt. Es wird eine Mailadresse generiert sowie die Mailbox erstellt. Seine Berechtigungen werden über Gruppenzugehörigkeiten gesteuert, die wiederum vom Aufgabengebiet, Fachbereich oder weiteren Informationen abgeleitet werden. Alles ohne Laufzettel und manuelle Eingriffe.
Jede Institution hat Dutzende solcher und ähnlicher Vorgänge.

Aber ein gut funktionierendes IdM stampft man nicht „mal so eben“ aus dem Boden. Dazu bedarf es
a) einer eingehenden Analyse der vorhandenen Datenbestände und Prozesse (ca.80 % der Arbeit) und
b) eines Tools, welches einerseits einfach zu beherrschen ist, andererseits aber flexibel und erweiterbar genug, um all die definierten Prozesse auch technisch abzubilden.

Genau dieses Tool stellt Microsoft mit dem Forefront Identity Manager 2010 (FIM 2010) zur Verfügung.

Der Forefront Identity Manager vereint alle Komponenten, die für ein effizientes Identity Management notwendig sind.
Zentraler Punkt ist hierbei die so genannte „Sync-Engine“. Sie stellt über Management Agents die Verbindung zu den angeschlossenen Verzeichnissen her, liest und schreibt die Daten und speichert die Identitäten. Darauf setzt der Synchronization-Service auf.  
Der Synchronization Service ist das Herzstück der Automatisierung. Hier werden die Geschäftsregeln (MPR = Management Policy Rules) definiert und ausgeführt. Besonders großen Wert haben die Microsoft Entwickler darauf gelegt, dass Geschäftsregeln möglichst deklarativ – das heißt ohne Programmierung, rein durch „Maus klicken“, erstellt werden können. Doch selbst komplexeste Regelwerke lassen sich durch Einbindung der Windows Workflow Engine oder auch selbst geschriebener Programme oder  PowerShell Scripts abbilden.

Als Benutzerschnittstelle bringt FIM 2010 ein SharePoint basiertes Portal mit. Über dieses Portal werden sowohl die administrativen Aufgaben erledigt, wie auch Benutzer Self-Service Funktionen zur Verfügung gestellt. Alles natürlich mehrsprachig.

Abgerundet wird das Ganze durch Zusatzfunktionen wie Passwort- und Zertifikatsmanagement sowie Outlook Add-Ins für das Verwalten von Verteilerlisten und Sicherheitsgruppen.

Und die nächsten Erweiterungen stehen bereits vor der Tür. Voraussichtlich  im Mai wird die neue Version, der Forefront Identity Manager 2010 R2, freigegeben.

Die Highlights der R2 Version:

- Erweiterung des Passwort-Managements auf Extranet / Internet Szenarien
- Unterstützung von SharePoint 2010 und Office 2010
- Verbesserte Performance
- Erweiterte Reporting Funktionen
- Erweiterbares Management Agent Framework
Weitere Informationen zum Forefront Identity Manager finden Sie unter http://www.microsoft.com/germany/forefront/identitymanager/default.mspx

Jörg Schanko, Technologieberater Forschung & Lehre Microsoft Deutschland GmbH