Bei Swiss Re geht SSO von aussen nach innen
Bei Swiss Re geht SSO von aussen nach innen Der Begriff »Universal-Kennwort« lässt viele an Erleichterungen für Unternehmensmitarbeiter beim Zugriff auf diverse Anwendungen denken. Die Swiss Re ging erst mal in die andere Richtung. Hier kommen zunächst die externen Partner in den Genuss der Ein-Schritt-Authentifizierung.
Die Swiss Re zählt zu den größten Rückversicherungsanbietern. Auf dem Feld der Lebens- und Krankenrückversicherer sind die Schweizer weltweit sogar die Nummer eins. Das Unternehmen mit der Zentrale in Zürich ist mit mehr als 70 Gruppengesellschaften und Vertretungen in über 30 Ländern präsent und unterhält Geschäftsbeziehungen mit Versicherern und Großunternehmen sowie Rückversicherungen und mit Maklern. Bei der Abwicklung der Geschäfte spielen neben individuell ausgehandelten Großprojekten gleichbleibende Standard-Rückversicherungen eine wichtige Rolle. In diesem Bereich können die Produkte online ausgewählt und die Verträge über das Internet abgeschlossen werden. Schon früh entschied sich die Swiss Re deshalb, eine Universal-Kennwort-Lösung für externe Benutzer der Unternehmensressourcen aufzubauen. »Das Projekt entstand im Rahmen der E-Business-Strategie unseres Hauses«, erklärt Werner Winiger, Leiter des Projekts bei der Swiss Re. Beteiligt an den Planungen waren die Group IT als eigene Informatikabteilung des Hauses und mehrere Fachabteilungen. Außerdem interessierte sich für das Vorhaben der Swiss-Re-Techniker auch die Personalabteilung des Unternehmens, die sich für die häufig von Kontinent zu Kontinent wechselnden Mitarbeiter ein internes Customer-Relationship-Management (CRM)-System wünschte. Man wollte vermeiden, dass die Daten der Angestellten immer wieder neu erfasst werden und womöglich auch mehrfach geführt werden mussten. »Dazu war ein vereinfachter Zugriff auf alle vorhandenen Informationsquellen gut geeignet. Eine vereinheitlichte Mitarbeiter-Identifizierung erschien uns dazu eine wesentliche Voraussetzung«, so Winiger.
Schnellstart mit dem »Entry Server«
Die Planung mündete zunächst in zwei technische Projekte: den Aufbau eines unternehmensweiten Verzeichnisdienstes und die Implementierung eines »Web-Entry-Servers«, der den Zugang zu den Webanwendungen kanalisieren sollte. Dieser Zugangsserver integrierte insgesamt drei Plattformen: HTML/Java-Clients auf der Seite der Anwender sowie Corba-Middleware und Lotus Notes/ Domino auf der Serverseite. In dieser Phase musste das System seine Authentisierungsaufgaben allerdings noch ohne Verzeichnisdienst bewältigen. Daraufhin wurde der Aufbau eines zentralen Verzeichnisdienstes gestartet. Die Swiss-Re-Spezialisten testeten mehrere konkurrierende Produkte: Critical Path Directory Server, Novell eDirectory, iPlanet Directory Server und Siemens DirX Directory Server. Wichtigstes Kriterium war, dass der Hersteller auch ein Metaverzeichnis für die Kompatibilität mit den vorhandenen heterogenen Systemen anbieten konnte. Critical Path und Siemens erwiesen sich dabei als gleichwertig, aber Siemens punktete am Ende mit Analysen und Präsentationen: »Der Hersteller zeigte so viel Verständnis für unsere Wünsche und Probleme, dass wir ihm am ehesten zutrauten, wirklich ein lauffähiges System herzustellen«, zieht Winiger Bilanz. »Im Web-Bereich konnte das Single-Sign-on-Projekt gleichsam auf der grünen Wiese entstehen, da vieles völlig neu aufgebaut wurde und deshalb kaum Konflikte mit existierenden Infrastrukturen auftraten«, erklärt der Projektleiter. Der Beginn mit den externen Nutzern kam dem Projekt also durchaus zugute. Nur für eigene Mitarbeiter, die das System benutzen sollten, mussten Synchronisierungsschnittstellen zwischen dem neuen Metaverzeichnis und den vorhandenen Speichern für die Authentisierungsdaten geschaffen werden. Die nächsten Schritte waren eine Administrationsanwendung, mit deren Hilfe sich Anwender selbst registrieren konnten, und das eigentliche Portal, das die Swiss Re auf der Grundlage von Plumtree-Software selbst entwickelte.
Autorisierungslösung folgt noch
»Beim Kern des Systems, der Authentisierung, mussten wir von vornherein mehrere Sicherheitsstufen berücksichtigen«, geht Winiger auf einen weiteren Aspekt der Anmeldelösung ein. »Für viele Bereiche genügt eine einfache Authentifizierung mit Name und Passwort. Aber den Zugang zu sensiblen Daten sichern wir mit strenger Authentisierung ab, zu der wir beispielsweise RSA-Tokens verwenden«. In diesem Fall muss der Anwender einen Antrag auf Zugriff stellen, der manuell bearbeitet wird. Die Informationen über die Nutzer speichert der DirX Directory Server. Für die Synchronisierung der Daten aus den unterschiedlichen Quellen sorgt die Metaverzeichnis-Engine DirXmetahub, die im Laufe der Zeit immer mehr Schnittstellen zur Datensynchronisierung erhält. Eine Autorisierungslösung hat die Swiss Re bisher nicht implementiert. Der Grund dafür ist organisatorischer Natur: Die Verwaltung der Zugriffsrechte sollte aus Gründen der Sicherheit und Minimierung des Administrationsaufwandes rollenbasierend erfolgen. Hierbei werden den Nutzern je nach Aufgabe Rollen zugeteilt, welche die Zugriffsrechte automatisch als ganzes Paket anstelle von Einzelzuweisungen gewähren. Um jedoch den Anwendern quer über alle Applikationen Rollen zuordnen zu können, musste in den verschiedenen Abteilungen zunächst ein einheitliches Verständnis der Rollen von Mitarbeitern und externen Usern existieren. Die dazu notwendige unternehmensweite Abstimmung kostete Zeit, da sie in die Arbeitsabläufe und Sicherheitspraktiken eingriff.
Interne Ressourcenzugriffe im Visier
Per Single-Sign-on soll nun ein ähnlicher Komfort für interne Ressourcenzugriffe geschaffen werden. »Von grüner Wiese kann hier nicht mehr die Rede sein«, weist Rudolf Wildgruber, Leiter des Produkt-Managements für Identitäts- und Zugangsverwaltung bei Siemens Communications, auf die neue Problemlage hin. »Wir haben das übliche Patchwork einer gewachsenen Umgebung«, ergänzt Winiger. Die Liste der Herausforderungen ist lang: Die Personalabteilungssysteme der Niederlassungen sind extrem unterschiedlich. Sie reichen von DB2-Datenbanken und Oracle HR über ein AS/400-System, das zwischenzeitlich zu Peoplesoft migriert wurde, bis hin zu Systemen an kleineren Standorten, die ihre Informationen teilweise in Lotus Notes in einfachen Tabellen ablegen. »Wir müssen uns nun überlegen, wie und wie oft wir die Daten für ein neues, zentralisiertes System überhaupt einsammeln«, berichtet Winiger. »Und wir denken über ein HR Data Warehouse nach, das dabei eine zentrale Rolle spielen wird«. In anderen Bereichen zeigten sich einzelne Anwendungen wenig kooperationsbereit. Bei den installierten Business Objects-Systemen beispielsweise war die Passwortsynchronisierung nur schwierig zu bewältigen. Auch der RSA-ACE-Server als Hochsicherheitsinstrument verlangt nach besonderer Aufmerksamkeit: Er musste zunächst von Hand parallel zu den übrigen Systemen administriert werden. Mittlerweile stellt ein spezieller Synchronisierungsagent auf dem Server die Verbindung her. »Er nutzt nicht das Lightweight Directory Access Protocol (LDAP), sondern direkt das Application Programming Interface (API) des Servers«, erläutert Winiger und dokumentiert damit, dass bei einer Single-Sign-on- und Metaverzeichnis-Lösung die Integration der vorhanden Komponenten das größte Abenteuer darstellen kann.
Johannes Wiele ist freier IT-Journalist in München.
