Typische Projekte für Identityund Access-Management stellen die organisatorischen Abläufe manchmal genauso auf den Kopf, wie die Datenbank- und Gruppenstrukturen. »Mit unserem Konzept dürfen vorhandene Strukturen so bleiben wie sie sind«, erklärt Jason Goode, Regional Director Central Europe bei Imprivata.

Die »OneSign»-Appliance des amerikanischen Herstellers koppelt bestehende Datenbanken an, sei es die ADS von Microsoft, Novells NDS oder andere LDAP-fähigen Plattformen. Außerdem spricht sie mit existierenden Zweifaktor-Authentifizierungsund physischen Zugangskontrollsystemen. Per Wizard verknüpft der Administrator diese verschiedenen Identitätsmerkmale, die für jeden Mitarbeiter in bislang getrennten Datenbanken angelegt waren, miteinander in einem einzigen Appliance-Eintrag. Veraltete oder falsche Einträge bereinigt das Onesight-Konzept aber nicht.

Damit das Konzept schließlich greift, muss zusätzlich eine Client-Software implementiert werden. Derzeit unterstützt das Programm gängige Windows- Plattformen. Es klinkt sich in die Gina von Windows ein und generiert mit Hilfe seiner »Application Profile Generator«-Technik einen eindeutigen Fingerabdruck von allen Anwendungen, die ein Login erfordern. Sie formt dazu aus den Attributen im Präsentations- Layer ein eindeutiges Muster auf XML-Basis, sei es für die Login-Maske einer Terminal- Emulation, für eine spätere Page einer Webseite oder den Einwahlbereich einer SAP-Anwendung. Es müssen weder Skripte oder Connectoren programmiert werden, wodurch sich das Setup vereinfachen soll.

Sobald die Client-Software im Betrieb eines dieser Muster erkennt, informiert sie die zentrale Appliance oder ruft im lokal per AES kodierten Cache das passende Login-Credential ab. So ist Single-Sign-on umgesetzt, das auch bei mobilen Usern außerhalb des Netzes greifen soll.

Auf gleiche Weise werden übrigens Zwei-Faktor-Authentifizierungssysteme angebunden. Dank der Fingerabdruckidee sei der Wechsel von einem auf ein anderes Authentifizierungssystem einfach zu schaffen. Es müsse ein passendes Muster im Client angelegt und die Appliance mit der Datenbank des Drittherstellers verbunden werden. »Wir haben viele Projekte mit dem Token-Hersteller Vasco umgesetzt, der bestehende Authentifizierungssysteme mit seiner Lösung ablöste«, sagt Goode.

Wer OneSign unternehmensweit einsetzt und auch sein Zutrittskontrollsysteman die Appliance koppelt, kann Access-Policies abhängig von der Location des Users definieren. Die Box protokolliert in ihren Logs, welcher User wann und zu welcher Zeit von wo welche Anwendung aufgerufen hat. Damit stehen genügend Informationen bereit, um PCI- und Sarbanes-Oxley-Berichte zu erstellen. Imprivata sucht aktuell nach Resellern im Süden und Osten Deutschlands. Die Partner sollten bereits im Security- Bereich aktiv sein.

__________________________________________

INFO

Imprivata Inc, EMEA Headquarters, Forsyth
House 77, Clarendon Road, Watford Herts,
WD17 1LE, United Kingdom
Tel. ++44 1923 813511, Fax +44 1923 813501
www.imprivata.com