• Produkte & Lösungen

• 01 Data Processing

• 02 Security

• Produktüberblick

• SAM Enterprise Identity Manager

• Geschäftslösungen

• Referenzen

• 03 Compliance

• 04 Document Processing

• 05 Produktvideos

Zuverlässig arbeitende, sichere Konnektoren zu den verwalteten Systemen sind eine wichtige Basis für den erfolgreichen Betrieb von Security Provisioning und Identity Management Lösungen.
Bei der Diskussion möglicher Konnektor-Architekturen stellt sich die Frage, ob Remote Agenten auf den Zielplattformen verwendet werden sollten, oder ob man besser andere Arten von Verbindungen schafft (“Agentless Connections”).
Der Ansatz von SAM Jupiter ist undogmatisch und unterstützt Agenten, Gateways oder “ agentenlose” Verbindungen, je nach funktionalen Erfordernissen, Sicherheitsaspekten und verfügbaren Kommunikationsstrecken.

Die Situation
Um eine Verbindung zu Zielsystemen zu schaffen, nutzen Identity Management (IdM) Lösungen so weit irgend möglich die von den Zielsystemen zur Verfügung gestellten Standardschnittstellen oder APIs.
Bei einigen Systemen ist ein kleines Agentenprogramm auf der Zielplattform der technisch einzig mögliche Weg, die erforderlichen Kommandos für diese Umgebung auszuführen.
Andere Umgebungen bieten Alternativen:

• Einige Zielsysteme (wie z.B. LDAP Verzeichnisse) können bis zu einem gewissen Grad ohne einen proprietären Agenten kontrolliert werden.
• Desweiteren kann man für bestimmte Klassen von Zielsystemen Gateway-Server als Single Point of Administration nutzen.
• Remote Access, kombiniert mit Techniken wie z.B. Screen-Scraping, können genutzt werden, um eine Verbindung zur entfernten Plattform herzustellen.

Diese Techniken werden manchmal mit dem Marketing-Begriff “Agentless” zusammengefasst. Das ist auf den ersten Blick ein attraktiver technischer Ansatz; er verspricht geringere Wartungskosten, insbesondere wenn es um die Verwaltung einer großen Zahl von Zielsystemen geht.

Nachteile und Einschränkungen einer rein “agentenlosen” Technologie
Bei genauerem Hinsehen entpuppt sich das Kostenargument als nicht so schlagkräftig wie zunächst angenommen. Es gibt andererseits ernstzunehmende Nachteile und Einschränkungen, die eine “ agentenloser” Ansatz mit sich bringt:

• Funktionalität: Der Umfang der Funktionen die ein Administrator nutzen kann ist bei “agentenlosen” Konnektoren oft eingeschränkt.
• Anzahl der Zielsysteme: Für die meisten Arten von Systemen, z.B. Windows Domänen oder Mainframe Sicherheitssysteme, geht es nur um eine relativ kleine Anzahl zu verwaltender Zielsysteme. In diesen Fällen bedeutet ist die Verteilung von Agenten kein relevanter Aufwand.
• Skalierbarkeit: Alles deutet darauf hin, dass “agentenlosen” Konnektoren, die auf Skripting-Techologie basieren, nicht wirklich robust und hinreichend skalierbar sind. Dies gilt insbesondere für die Massenverarbeitung von administrativen Daten.
• Aufwand für Software-Installation und Wartung: “Agentless” heißt nicht “ effort-less”: Entfernte Plattformen muss man entsprechend konfigurieren, um eine Kommunikation zu ermöglichen. Tools sind zu installieren, und Skripte müssen gepflegt werden.
• Sicherheit: Eine Lösung ohne Agenten erscheint vom Ansatz her weniger sicher. Man muss zu Absicherung zusätzlich Technologien wie SSL oder Secure Telnet einsetzen, und ggf. müssen zusätzliche Firewall-Ports freigeschaltet werden.

SAM Jupiter’s Ansatz hinsichtlich der Agententechnologie ist undogmatisch
Bei SAM Jupiter hängt die Verwendung von Agenten oder “agentenlosen” Konnektoren von der spezifischen Architektur des Zielsystems ab, von dessen technischen Features und Beschränkungen. Bei beiden verwendeten Ansätzen sind in SAM Jupiter die funktionalen Grundprinzipien dieselben (z.B. bidirektionale Synchronisation, Transaktionsverarbeitung).
Die folgenden Kriterien sind die Basis für die Auswahl des Verbindungstyps:
Art der Schnittstelle(n), die das Zielsystem anbietet, sowie die funktionalen Möglichkeiten der jeweiligen Schnittstelle
Die vom Zielsystemhersteller angebotene Möglichkeit, ein einziges Gateway für die sichere Anbindung beliebig vieler Zielsystem-Instanzen zu nutzen.
Verfügbare Kommunikationsprotokolle, ihre Performance und Absicherungsmöglichkeiten.
Die Anzahl der Zielsystem-Instanzen eines Typs, die in der Regel in einem Unternehmen betrieben werden.