15. Oktober 2007

Fachartikel im digital business magazin 6-2007: Heutige Anforderungen an das Lotus Notes User- und Client Management


Die Untersuchungen der BCC zeigen, dass bei dem Thema User Management bei vielen Lotus-Notes-Anwendern nach wie vor noch erheblicher Optimierungsbedarf hinsichtlich der Senkung der Administrationskosten und Erhöhung der Sicherheit besteht.

Dies ist eigentlich ein erstaunliches Ergebnis, da der Lotus Notes/Domino Administration Client inzwischen ein mächtiges und vergleichsweise effizientes Werkzeug geworden ist, welches dem Administrator deutlich mehr Funktionen zur Verfügung stellen kann als die „Urversionen“ unter 4.6 oder R5. Bei einer detaillierten Betrachtung wird allerdings deutlich, dass sich der Administration Client vor allem an “den” Lotus Notes Administrator wendet und diesem „Funktionen“ zur manuellen Bearbeitung anbietet.

Eine Unterstützung der gesamten Prozesse von der Beantragung eines neuen Users bis zur Freigabe sowie der Konfiguration des Lotus Notes Clients wird nicht angeboten. Die Erfahrungen der BCC zeigen, dass durch eine IT-Unterstützung dieser Abläufe eine signifikante Verbesserung der Prozessqualität und Prozessgeschwindigkeit sowie großes Einsparungspotential erreicht werden kann.

Weiterhin ist festzustellen, dass die heutigen Security und Compliance Anforderungen mit dem manuellen Verfahren des Administration Clients nicht mehr abgedeckt werden können.

Einführung von Enterprise Identity und Access-Management Lösungen
Zahlreiche Unternehmen beabsichtigen das Thema User Management durch so genannte Identity Management Lösungen umfassend für alle IT Systeme zu lösen und sich nicht nur auf Lotus Notes beschränken. Die Unternehmen führen hierzu prozessorientierte, übergreifende Identity Management Lösungen (IDM) wie z.B. den IBM Tivoli Identity Manager, Siemens Metadirectory, Novell e-directory oder SUN Identity Management ein. In unseren Projekten sind uns inzwischen schon viele dieser Systeme in den verschiedensten Implementierungsvarianten begegnet. Allen war gemeinsam, dass die Schnittstelle zu Lotus Domino als unzureichend betrachtet werden kann.

Wichtige Lotus Notes Prozesse sind in den IDM Systemen nicht ausreichend wie zum Beispiel:
  • Zugang und Verwaltung von Zulassungsstellen einschließlich Kennwörtern
  • Verteilung von Benutzer-ID-Dateien und –Kennwörtern
  • Gruppen-Management für den Zugriff auf Lotus Notes Anwendungen
  • Management von Mailverteilern
  • Steuerung, Überwachung und Koordination des Domino Administrationsprozesses
  • Unterstützung der Lotus Notes Client Konfiguration
Solche Prozesse müssen dann zum einen über individuelle Scripting Lösungen innerhalb der IDM Tools als Customizing Projekte realisiert werden. Zum anderen sind zusätzlich individuelle Teillösungen auf Basis von Lotus Notes Datenbanken notwendig. Die Implementierung solcher „customized“ Lösungen führt langfristig zu erheblichen Aufwänden während der Implementierung und im laufenden Betrieb sowie bei zukünftigen Updates auf neue Lotus Notes Versionen. Zudem gibt es erhebliche sicherheitstechnische Bedenken, wenn derart sicherheitsrelevante Prozesse mittels Scripting oder über individuell programmierte Teillösungen ohne ausreichende Logging Funktion abgedeckt werden.

Als Lösung bietet sich der Einsatz des BCC_AdminTools als Lotus Notes basiertes Standard Tool für das Lotus Notes User- und Gruppenmanagement mit intelligenten Schnittstellen zu IDM Systemen an. Aufgrund seiner auftragsorientierten und eventbasierten Architektur ist das BCC_AdminTool in der Lage, Drittsystemen schnell und einfach eine bidirektionale Schnittstelle zur Übernahme und Rückmeldung der Aufträge aus dem IDM zur Verfügung zu stellen.

Dezentralisierte verteilte Administration und User Self-Service
Die Lotus Notes Infrastrukturen werden zunehmend in „Single Domains“ konsolidiert; zum einen durch Zusammenschlüsse und Fusionen von Unternehmen sowie zur Reduzierung der hohen Betriebskosten von Multi-Domänen-Umgebungen. Häufig muss nach derartigen Konsolidierungen das User Management an verschiedenen Standorten an den lokalen HelpDesk oder andere „User Manager“ delegiert werden, ohne dass diese User Manager umfassende Zugriffsrechte auf das Domino System erhalten.

Hierzu bietet der Domino Administration Client nur sehr unzureichende technische Möglichkeiten, da zum einen entsprechende Zugriffsrechte auf das Domino System benötigt werden und zum anderen sehr mächtige Funktionen enthalten sind. In der Regel ist aber erwünscht, dass User Manager keine Editor-Zugriffe auf das Domino Directory erhalten

Das BCC_AdminTool ermöglicht mit der Bereitstellung seiner Request Datenbank und der serverbasierten Ausführung aller Request eine Reduzierung der Zugriffsrechte auf Lesezugriff. Weiterhin stellt die BCC Request-Datenbank alle oder auch nur eine bestimmte Untermenge von Prozessen wie z.B. die Neuanlage von Benutzern oder Gruppen, Nutzersperrungen, Umbenennungen, Gruppenpflege, etc. dediziert für lokale Administratoren zur Verfügung und ermöglicht bei Bedarf einen Genehmigungs-Workflow zu aktivieren. Damit fällt für lokale Administratoren die Anforderung, den Domino Administration Client nutzen zu müssen, vollständig weg. Das Risiko für weit reichende Schäden in einem globalen Domino System durch administrative Fehler oder böswillige Angriffe kann so minimiert werden.

Häufig sollen auch bestimmte oder gar alle Prozesse durch die Endanwender selbst ausgelöst werden können. Das Stichwort lautet „End User Self-Service“. BCC bietet mit dem BCC_WebGUI ein einfaches WebFrontEnd, das den Anwendern beispielsweise die Möglichkeit gibt ihr http-Passwort zu ändern oder eine Namensänderung zu beantragen. Für Gruppen- oder Abteilungsleiter können die Funktionen auf Benutzer-Neuanlagen, Sperrungen oder Gruppenänderungen erweitert werden.

User Management und integriertes Client Management
Die Erfahrungen aus der Praxis zeigen, dass die überwiegende Anzahl aller Client Management Tasks sich in drei Bereiche einteilen lassen:
1. clientbasierte Ausführung von User Management Tasks
2. „Management“ von Datenbanken wie Erstellung von Repliken oder Verwaltung der Desktop Icons
3. zentrales Management der Lotus Notes Client Konfigurationen inkl. einer Reset-Funktionalität durch den User HelpDesk
Eine reine funktionsorientierte Betrachtung eines Client Management Tools („Welche Funktionen bietet das Tool?“) wird den Aufgabenstellungen eines integrierten User- und Client Managements nicht gerecht, z.B.:
  • bei Neuzulassung eines Users muss der komplette Lotus Notes Client eingerichtet und konfiguriert werden.
  • Der Wechsel eines User an einen anderen Standortes erfordert neben dem Certifier-Wechsel und dem Umzug auf einen neuen Domino Mailserver auch die Umstellung aller relevanten Lotus Notes Datenbank Links (Desktop und Replikator Page)
Seit der Erweiterung des BCC Produktportfolios um das ursprünglich von der österreichischen Icodex Software AG entwickelte Produkt „ClientGenie“ stehen nun sowohl für das User Management als auch für Client Management zwei bewährte Produkte zur Verfügung. Im Zuge der Weiterentwicklung des „ClientGenie“ wird BCC zur Realisierung des integrierten Client Managements in den kommenden Versionen eine vollständige Integration mit dem BCC_AdminTool anbieten.


Dadurch wird eine durchgängige tool-unterstütze User Administration zur Verfügung stehen, die eine weitgehende Automatisierung des User- und Client Management ermöglicht:
  • Bei einer Neuzulassung eines Lotus Notes Anwenders kann ein komplett eingerichteter, individueller Desktop in Form der Kacheloberfläche bereitgestellt werden, inklusive eventuell erforderlicher lokaler Repliken für Notebook User.
  • Bei dem Rollout einer Lotus Notes Datenbank können automatisch die Kacheln bei allen betroffenen Anwendern auf dem Desktop hinzugefügt werden.
  • Bei Home-Server-Umzügen, insbesondere wenn diese massenhaft aufgrund von Serverkonsolidierungen durchgeführt werden müssen, kann mit den Client-Komponenten die durchgängige Änderung aller Kacheln auf der Arbeitsoberfläche erreicht werden. Auch das Umbenennen von Servern wird auf diesem Wege endlich einfach möglich sein.
  • Ein gesichertes Einsammeln der ID-Dateien und Kennwörter mit automatisiertem Import in das BCC_AdminTool erlaubt sowohl den initialen Import als auch die Aktualisierung dieser sensiblen Daten.
  • Die lokale Erweiterung der User-Löschen-Funktion erlaubt beim letzten Login bzw. Logoff das automatisierte Löschen lokaler Datenbanken, das Einsammeln der aktuellen Lotus Notes User ID etc.
Darüber hinaus muss der HelpDesk die Möglichkeit haben individuelle, komplexe Routinen auf beliebigen Clients ausführen zu lassen. bleiben. Die Ausführung kann künftig dann auch über einen Request Prozess mit der Request Datenbank im BCC_AdminTool oder webbasiert mit dem BCC_WebGUI ausgelöst werden.

Der Artikel wurde im digital business magazin, Ausgabe 6-2007, veröffentlicht.