Identity Management (IM oder IdM) wurde aufgrund verschiedener Interpretationen der IT Industrie entwickelt und ist heute darauf ausgelegt, Benutzer bezogene Inhalte zu verwalten und, wie diese Benutzer sich an Online Systemen anmelden können. Jedoch ist diese Aufgabe sehr limitiert. Der Fokus von Identity Management geht auf die Entwicklung von Directory Diensten wie beispielsweise X.500 zurück, wo Namensbereiche benutzt werden, um zu benennende Objekte die reale „identifizierte“ Einträge wie Länder, Organisationen, Anwendungen, Benutzer und Endgeräte zu speichern. X.509 definiert Zertifikate die Identitäts-Attribute wie Directory Namen, die Zertifikatsbeschreibung und den Zertifikatsaussteller beinhalten. X.509 Zertifikate und PKI Lösungen werden benutzt um Personen Online zu “identifizieren”. Daher sollte Identity Management als Management von Informationen (die in einem Verzeichnis gespeichert werden) angesehen werden, die reale identifizierte Einträge (Benutzer, Geräte, Dienste, usw.) repräsentieren. Die Entwicklung solcher Systeme bedeutet, dass ergänzende Informations- und Identitäts-Entwicklungsaufgaben notwendig werden.

Der Begriff Identitäts-Entwicklung (Identity engineering) wird benutzt, um Entwicklungsaufwand zu beschreiben und eine große Nummer von zusammenhängenden Einträgen (die alle über einen Namen identifizierbar sind) zu verwalten.

Identitätsmanagement in Unternehmen 

Je größer ein Unternehmen ist, desto mehr müssen Identitäten und Berechtigungen verwaltet werden. Dazu werden sogenannte Identity Management Architekturen eingesetzt. Dabei handelt es sich um Software-Komponenten, die die Identitäten und deren Zugriffsrechte verwalten.

Der Begriff Identity Management im Software-Umfeld umfasst keinen genau definierten Funktionsumfang. So fokussieren sich beispielsweise einfache Systeme ausschließlich auf die Synchronisation von personenbezogenen Daten, während umfassendere Architekturen dagegen Workflow-Prozesse einbeziehen, die ein hierarchisches Genehmigungs-Modell von Vorgesetzten involviert, um Datenänderungen umzusetzen.

Eine Identity Management Architektur sollte über ein Provisionierungsmodul verfügen, das es erlaubt, den Benutzern automatisch aufgrund ihrer jeweiligen Rolle (und auch Aufgaben) in der Organisation individuelle Berechtigungen zu erteilen. Hier stellt sich aber bereits die Frage, wie weit Identity Management über die ausschließliche Verwaltung personenbezogener Daten hinweg Applikations-Funktionalitäten integrieren soll (z.B. ist die "Quota" auf einem Mailserver kein personenbezogenes Datum, sondern eine Applikations-Information).

Identity Management in einem Unternehmen hat vielfach Schnittstellen zum sogenannten Access-Management, das beispielsweise für Portale die Zugriffsrechte verwaltet, Single Sign On (SSO) ermöglicht oder Security Policies verwaltet. Für Identity Management und Access-Management wurde in der Informationstechnik (IT) daher mittlerweile der Begriff "Identity and Access Management" (IAM) geprägt.

Komponenten einer Identity Management Architektur können vielfältig sein. Gängige Basis ist der sogenannte Verzeichnisdienst, in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind, die am häufigsten und von den meisten Systemen abgefragt werden (Name, Mailadresse, Telefonnummer usw.). Dieser Verzeichnisdienst kann einerseits ein Metadirectory sein oder einfach nur ein dedizierter Verzeichnisdienst für eine solche Sicherheitsarchitektur. Weitere Komponenten können sein: SAP-Systeme, Active-Directories, applikations-spezifische Datenbanken. In all diesen Systemen werden personenbezogene Daten gespeichert, die über Identity Management miteinander abgeglichen werden. Die eigentliche Software eines Identity Managements operiert als Broker zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard/Software (bsp. Applikation innerhalb eines Application Servers). Diese Software bezeichnet man als Meta-Directory.

Hier wird auch die Funktionsweise des Provisioning deutlich: Über das Meta-Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt (im günstigsten Fall alle im Unternehmen eingesetzten Systeme). So kann das Identitätsmanagement zentralisiert werden.

Weitere mögliche Funktionen:

• Federated Identity Management, das sich mit der Identitätsbereitstellung und -verwendung über Unternehmensgrenzen hinweg beschäftigt
• Passwortsynchronisierung, so dass ein Benutzer nur ein einziges Passwort in allen angeschlossenen Systemen benötigt
• User Self Services, mit denen ein Benutzer ein Passwort für ein System zurückgewinnen, resetten oder ändern kann. Gängige Lösungen realisieren dies über ein Web-Front-End

IDM - zwei Perspektiven

In the real world context of engineering online systems, Identity Management can be given two perspectives:

• The user access (log-on) paradigm - A smart card and its associated data that a customer uses to log on to a service or services (a traditional view);
• The service paradigm - A system that delivers personalised, role-based, online, on-demand, multimedia (content), presence-based services to users and their devices.

The user access paradigm

Identity Management in the user "log on" perspective would be an integrated system of business processes, policies and technologies that enable organizations to facilitate and control their users' access to critical online applications and resources — while protecting confidential personal and business information from unauthorized users. It represents a category of interrelated solutions that are employed to administer user authentication, access rights, access restrictions, account profiles, passwords, and other attributes supportive of users' roles/profiles on one or more applications or systems.

The service paradigm

In the service paradigm perspective, where organisations are evolving their systems to the converged services world, the scope of identity management becomes much larger and its application more critical. The scope of identity management includes all the resources of the company that are used to deliver online services. This includes devices, network equipment, servers, portals, content, applications and products as well as a user's credentials, address books, preferences, entitlements and telephone numbers. See Service Delivery Platform and Directory service.

Today many organisations are facing a major clean up in their systems to bring identity coherence to their world. This coherence is required in order to deliver unified services to very large numbers of users on demand - cheaply and with security and single customer view facilities.