In dem Maße, in dem Unternehmen Cloud-Anwendungen wegen ihres Komforts und ihrer Effizienz nutzen, gehen sie auch unbeabsichtigt zusätzliche Risiken ein. Sensible Anwendungen und Daten werden standardmäßig durch schwache, statische Passwörter geschützt. Es ist nicht einfach, den Überblick zu behalten, wer wann worauf zugreift und wie seine Identität überprüft wird, was wiederum die Compliance erschwert. Zur Verwaltung von Cloud-Identitäten benötigen IT-Administratoren zahlreiche verschiedene Konsolen Dabei wird die wichtigste Person in diesem Prozess – der Benutzer – mit unzähligen Benutzernamen und Passwörtern belastet, die er verwalten muss.
Identity and access management key concepts, technologies and standards compiled for you in this Access Management ebook . You will learn: • Authentication and access management differences • How to leverage cloud single sign on (SSO) • Key concepts in Access...
Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist eine Teildisziplin der Datensicherheit, die zwei Gruppen von Funktionen umfasst: Identitäts-Governance und -verwaltung (Identity Governance and Administration, IGA) und Zugriffsverwaltung (Access Management, AM).
IAM bietet einen methodischen Rahmen für die Gewährung (und Beantragung) des Zugriffs auf Anwendungen (IGA), die Durchsetzung von Zugriffskontrollen (AM) und die Gewährleistung der Transparenz von Zugriffsereignissen (AM).
IGA-Lösungen helfen bei der Beantwortung der Fragen „Wer sollte Zugang zu welcher Anwendung erhalten bzw. wer ist zugriffsberechtigt?“ und „Wer hat in der Praxis von wem und wann Zugriff auf welcher Anwendung erhalten?“. AM-Lösungen helfen bei der Beantwortung der Fragen „Wer hat wann auf was zugegriffen, und wie wurde seine Identität überprüft?“
Eine Lösung für die Identitäts- und Zugriffsverwaltung (IAM) besteht aus den Funktionen Identitäts-Governance und -verwaltung (IGA) und Zugriffsverwaltung (AM). IAM-Lösungen bieten einen methodischen Rahmen für die Gewährung (und Beantragung) des Zugriffs auf Anwendungen (IGA), die Durchsetzung von Zugriffskontrollen (AM) und die Gewährleistung der Transparenz von Zugriffsereignissen (AM). Da die meisten Unternehmen die IGA- und AM-Komponenten getrennt voneinander einsetzen, werden diese Disziplinen zunehmend als eigenständige, unabhängige Lösungsfamilien und nicht als verbundene Funktionen einer einzigen IAM-Suite bewertet.
Zugriffsverwaltung ist eine Funktion, mit der festgestellt werden kann, ob ein Benutzer die Berechtigung hat, auf eine bestimmte Ressource zuzugreifen, und mit der die für diese Ressource festgelegte Richtlinie durchgesetzt werden kann.
Zugriffsverwaltung wird auf der Grundlage von Richtlinien implementiert, die von IT-Administratoren festgelegt werden und Informationen darüber enthalten, welche Benutzergruppen (z. B. Vertrieb, F&E, HR) auf welche Cloud-Anwendungen (z. B. Salesforce, Office 365, Jira, Taleo) zugreifen dürfen und welche Benutzerattribute für den Zugriff auf die einzelnen Anwendungen erforderlich sind (z. B. vertrauenswürdiges Netzwerk, Passwort, OTP).
Die Zugriffsrichtlinie kann je nach Sensibilität einer Cloud-Anwendung mehr oder weniger zu prüfende Benutzerattribute verlangen. Diese Attribute werden mithilfe der risiko- oder kontextbasierten Authentifizierung geprüft. Das ist die für die Durchsetzung der verschiedenen Zugriffsrichtlinien einzelner Cloud-Anwendungen von zentraler Bedeutung. (Für weitere Informationen siehe kontextbasierte Authentifizierung).
Bei der Verwaltung des Cloud-Zugriffs ist auch Single Sign-on von zentraler Bedeutung. Single-Sign-on ermöglicht, sich mithilfe eines einzigen Benutzernamens und Passworts oder einer einzigen „Identität“ bei allen Cloud-Anwendungen anzumelden. (Für weitere Informationen siehe Single Sign-on.)
IDaaS ist IAM-as-a-Service und wird auch Identity-as-a-Service genannt. IDaaS beschreibt Lösungen, die ein Cloud-basiertes As-a-Service-Bereitstellungsmodell für die Identitäts- und Zugriffsverwaltung bieten. Während IDaaS in den letzten Jahren als separater Markt betrachtet wurde, gehen aktuelle Markttrends dahin, es als zwei getrennte Disziplinen zu behandeln – Zugriffsverwaltung und IGA, die als Vor-Ort-Installationen, Software oder Cloud-basierte Plattformen bereitgestellt werden können.
Identity Governance and Administration (IGA), auf Deutsch Identitäts-Governance und -verwaltung, bezeichnet eine Reihe von Funktionen, die bei der Beantwortung der Fragen „Wer sollte Zugriff auf welche Anwendung erhalten oder wer ist zugriffsberechtigt?“ und „Wer hat in der Praxis von wem und wann Zugriff auf welche Anwendung erhalten?“ helfen. Eine IGA-Lösung kann beispielsweise dazu beitragen, dass F&E-Mitarbeiter Zugriff auf bestimmte Entwicklungsanwendungen wie GitHub, Jira und Confluence erhalten. Eine IGA-Lösung kann den Zugriff auf diese Anwendungen automatisch auf der Grundlage der Mitgliedschaft in einer F&E-Gruppe bereitstellen. Der F&E-Benutzer kann auch beantragen, dass ihm Zugriff auf andere Anwendungen gewährt wird. Dieser Antrag durchläuft dann einen Genehmigungsprozess, der von einigen IGA-Lösungen unterstützt wird.
Ein Identitätsverbund ist eine Architektur, die auf einem einzigen vertrauenswürdigen Identitätsanbieter („IdP“) basiert, der die Authentifizierung von Benutzern regelt. Dabei leiten die Anwendungen den Authentifizierungsprozess jedes Mal an den Identitätsanbieter weiter, wenn ein Benutzer versucht, auf sie zuzugreifen. Anwendungen, die den Authentifizierungsprozess an den vertrauenswürdigen Identitätsanbieter weiterleiten, werden als Dienstanbieter (Service Provider, „SPs“) bezeichnet.
Ein Identitätsverbund bietet eine Lösung für die Herausforderungen und Frustrationen, die entstehen, wenn Anmeldeinformationen für zahlreiche Web-Anwendungen separat verwaltet werden müssen, unabhängig davon, ob es sich um interne oder externe Anwendungen eines Unternehmens handelt. Mithilfe eines Identitätsverbunds können Administratoren und Benutzer einen einzigen Satz aus Benutzername und Passwort (oder eine „Identität“) für mehrere Anwendungen und IT-Ressourcen nutzen. Ein Identitätsverbund verhindert Passwort-Müdigkeit, verbessert die Sicherheit und löst das Problem, unzähliger Passwörter gleichzeitig handhaben zu müssen.
Ein Identitätsverbund beruht auf Verbundprotokollen wie SAML und Open ID Connect sowie auf proprietären Protokollen wie WS-Federation von Microsoft.
Federated Login ist eine Funktion von Verbundprotokollen (z. B. SAML, Open ID Connect, etc.), die es Benutzern ermöglicht, sich mit ihrer aktuellen Unternehmensidentität bei mehreren Anwendungen anzumelden. Anstatt sich beispielsweise bei separaten Cloud-Anwendungen mit unterschiedlichen Benutzernamen und Passwörtern oder „Identitäten“ anzumelden, können sich Benutzer mit der gleichen Identität, mit der sie sich morgens im Unternehmensnetzwerk oder abends im VPN einloggen, bei Office 365, Salesforce, AWS usw. anmelden.
Ein Identitätsanbieter ist ein System, das Benutzer authentifiziert, die versuchen, auf andere, nicht-verbundene Websites („Dienstanbieter“) zuzugreifen. Identitätsanbieter bilden zusammen mit Dienstanbietern eine Identitätsverbundarchitektur, in der Benutzer, die versuchen, auf eine Website (oder einen Dienstanbieter) zuzugreifen, zur Authentifizierung an den Identitätsanbieter weitergeleitet werden. Der Identitätsanbieter prüft die Authentifizierungsdaten des Benutzers (z. B. Cookie, Gerät, Netzwerk, OTP) und gibt eine „Akzeptieren“- oder „Ablehnen“-Antwort, die anschließend an den Anbieter gesendet wird. Identitätsanbieter können auch die Genehmigung beantragen, im Namen einer anderen, nicht-verbundenen Website auf bestimmte Daten zugreifen zu dürfen. Berechtigungsdaten können die Erlaubnis zum Zugriff auf Informationen wie E-Mail-Adressen aus einem Webmail-Konto oder Namen von Freunden aus einem Konto in einem sozialen Netzwerk beinhalten.
Der SafeNet Authentication Service fungiert beispielsweise als Identitätsanbieter, wenn Benutzer wie oben beschrieben auf Cloud-Anwendungen zugreifen.
Ein Security Token Service ist ein System zur Authentifizierung von Benutzern, die versuchen, auf andere, nicht-verbundene Websites oder „Relying Parties“ zuzugreifen. Security Token Services bilden zusammen mit Relying Parties eine Security-Token-Service-Architektur, bei der Benutzer, die versuchen, auf eine Website (Relying Party) zuzugreifen, zur Authentifizierung an den Security Token Service weitergeleitet werden.
Security Token Services werden auch als Identitätsanbietermodelle oder Token-basierte Authentifizierung bezeichnet. Ein Security Token Service (STS) entspricht einem Identitätsanbieter, und eine Relying Party (RP) entspricht einem Dienstanbieter. Und statt SAML-Assertions auszutauschen, werden diese als Security Tokens bezeichnet. Unterschiedliche Bezeichnung, gleiches Konzept.
Die Security Assertion Markup Language (SAML) ist ein XML-basierter offener Standard für den Austausch von Authentifizierungsdaten zwischen nicht-verbundenen Websites – eine Funktion, die auch als Identitätsverbund oder Verbundauthentifizierung bezeichnet wird.
Identitätsverbund bedeutet, dass die aktuellen Unternehmensidentitäten der Benutzer auf die Cloud ausgeweitet werden können, damit sie sich mit ihrer aktuellen Unternehmensidentität bei ihren Cloud-Anwendungen anmelden können. Die Verbundauthentifizierung für Cloud-Anwendungen mit SAML ermöglicht es Benutzern, sich mit ihrer aktuellen Unternehmensidentität bei all ihren Cloud-Anwendungen anzumelden, sodass sie sich statt 5 oder 25 Kombinationen aus Benutzername und Passwort nur noch eine merken müssen.
So funktioniert SAML
Wenn ein Benutzer versucht, sich bei einer Cloud-basierten Anwendung anzumelden, wird er zur Authentifizierung an einen vertrauenswürdigen Identitätsanbieter weitergeleitet. Der Identitätsanbieter sammelt die Anmeldedaten des Benutzers, z. B. seinen Benutzernamen und sein Einmalpasswort, und sendet eine Antwort an die Cloud-Anwendung, auf die zugegriffen wird. Diese Antwort wird SAML Assertion genannt und enthält eine „Akzeptieren“ oder „Ablehnen“ -Antwort.
Auf der Grundlage dieser Antwort sperrt oder gewährt der Anbieter, z. B. Salesforce, Office 365 oder DropBox, den Zugriff auf die Anwendung.
WS-Federation Services, oder WS-Fed, ist Microsofts proprietäres Identitätsverbundprotokoll. WS-Fed arbeitet mit den Active Directory Federation Services (AD FS) von Microsoft zusammen, um in Active Directory gespeicherte Identitäten auf Microsoft-Cloud-Anwendungen wie Office 365 und Azure zu erweitern. Wie SAML verwendet auch WS-Fed ein Modell mit Identitätsanbietern. Beim Zugriff auf eine Microsoft-Cloud-Anwendung wird der Benutzer zur Authentifizierung an AD FS weitergeleitet, auf dessen Antwort hin die Cloud-Anwendung dem Benutzer den Zugriff gewährt oder verweigert.
OAuth (ausgesprochen „oh-auth“), steht für Open Authorization und ist ein offener Standard für föderierte oder „Token-basierte“ Authentifizierung und Autorisierung zwischen nicht verbundenen Websites. Wie andere Identitätsverbundprotokolle wie SAML, Open ID Connect und WS-Fed ermöglicht auch OAuth die Anmeldung bei einer Anwendung mit einer Identität, die von einem vertrauenswürdigen Identitätsanbieter überprüft wurde. OAuth geht über die Verbundauthentifizierung hinaus und ermöglicht es Benutzern, Websites einer Relying Party den Zugriff auf bestimmte Kontoinformationen wie Kontaktnamen und E-Mail-Adressen zu gestatten. Das Protokoll OAuth wird zum Beispiel von Websites sozialer Netzwerke verwendet, um auf Ihre Webmail-Kontakte zuzugreifen und Sie zu fragen, ob Sie Ihre Webmail-Kontakte in Ihre sozialen Netzwerke einladen möchten.
OpenID Connect ist wie SAML ein offenes Standardprotokoll für den Identitätsverbund, das ein Modell mit Identitätsanbietern verwendet. Im Gegensatz zu SAML, das mit einem Cookie arbeitet und daher nur mit Anwendungen funktioniert, die in einem Browser geöffnet werden („Browser-basierte Anwendungen“), bietet OpenID Connect ein Single Sign-On Framework, das die Implementierung von Single Sign-On über Browser-basierte Anwendungen, native mobile Anwendungen und Desktop-Clients (wie Rich Clients und einige VPNs) ermöglicht. Derzeit unterstützen die meisten Single-Sign-On-Implementierungen nur Cloud- und Browser-basierte Anwendungen. Sobald mehr Identitätsanbieter OpenID Connect übernehmen, wird es ausreichend sein, dass wir uns nur noch einmal authentifizieren, um Zugriff auf alle unsere Ressourcen gleichzeitig zu erhalten – seien es Desktop-Clients, Browser-basierte Anwendungen oder native mobile Apps.
Bring Your Own Identity (BYOI) ist ein Begriff, der die Fähigkeit eines Unternehmens oder einer anderen Organisation beschreibt, eine Identität zu unterstützen, die anderswo ausgestellt wurde, und mithilfe dieser Identität den sicheren Zugriff auf Ressourcen zu ermöglichen.
Im Bereich der Identitätsverwaltung möchten Anbieter und Unternehmen ihren Mitarbeitern und Partnern die Möglichkeit geben, ihre eigene Identität zu nutzen, um auf Unternehmensressourcen zuzugreifen. Bei dieser Identität könnte es sich theoretisch um jede Identität handeln, die ein ausreichendes Maß an Identitätssicherheit bietet – z. B. staatlich ausgestellte Personalausweise, Gesundheitskarten mit Chip sowie Online-Identitäten wie Social-Media-Identitäten, Identitäten in beruflichen Netzwerken und kommerziell verfügbare Identitäten wie FIDO. Die Welten von Unternehmen und Verbrauchern verschmelzen zunehmend ineinander – wodurch die Sicherheitsteams in den Unternehmen zunehmend unter dem Druck stehen, dieselbe Art von Authentifizierungsmethoden zu implementieren, wie sie bei Verbraucherdiensten üblich sind.
Ein Identitätsbroker ist ein System, das BYOI-Systeme unterstützen kann, indem es die vorhandene Identität eines Benutzers (oder eine beliebige Anzahl vorhandener Identitäten) übernimmt und es ihm ermöglicht, sich mit dieser Identität bei nicht verbundenen Websites zu authentifizieren. So kann ein Identitätsbroker beispielsweise die Social-Media-Identität oder die Webmail-Identität eines Benutzers unterstützen und diesem den Zugriff auf eine Vielzahl nicht verbundener Websites ermöglichen. Identitätsbroker ermöglichen es Unternehmen, mehrere Identitätsanbieter zu unterstützen.
Single Sign-On (SSO) bietet die Möglichkeit, sich einmal zu authentifizieren und anschließend beim Zugriff auf verschiedene Ressourcen jedes Mal automatisch authentifiziert zu werden. Damit entfällt die Notwendigkeit, sich bei einzelnen Anwendungen und Systemen separat anzumelden und zu authentifizieren, da SSO im Wesentlichen als Vermittler zwischen dem Benutzer und den Zielanwendungen dient. Die Zielanwendungen und -systeme verwalten im Hintergrund weiterhin ihre eigenen Anmeldedaten und geben Anmeldeaufforderungen an das System des Benutzers weiter. SSO reagiert auf diese Aufforderungen und ordnet die Anmeldedaten einem einzigen Anmelde-/Passwortpaar zu. (Quelle: Gartner)
SSO, ob als Einzel- oder umfassendere Zugriffsverwaltungslösung, kann durch eine Reihe von Identitätsverbundprotokollen erreicht werden. Dazu gehören Open-Source-Protokolle wie SAML 2.0 und Open ID Connect, proprietäre Protokolle wie WS-Federation von Microsoft sowie andere Technologien wie Password Vaulting und Reverse Proxies.
Mit einem Password Vault, auch Passwort-Manager genannt, ist es ganz einfach, auch dann Single-Sign-On-Erfahrung (SSO) zu ermöglichen, wenn eine Zielanwendung wie z. B. eine Legacy- oder benutzerdefinierte Anwendung keine Identitätsverbundprotokolle unterstützt, Password Vaults sind Systeme, die die Passwörter verschiedener Websites speichern und verschlüsseln. Anstatt sich bei jeder Anwendung mit einem eigenen Passwort anzumelden, kann sich der Benutzer einfach mit einem Master-Passwort authentifizieren (das wiederum den Password Vault entschlüsselt), wodurch die Notwendigkeit entfällt, unterschiedliche Passwörter zu verwalten.
Autorisierung ist ein Prozess, der sicherstellt, dass ordnungsgemäß authentifizierte Benutzer nur auf die Ressourcen zugreifen können, für die sie vom Eigentümer oder Administrator eine Zugriffsberechtigung erhalten haben. Im Falle von Verbrauchern kann sich Autorisierung auch auf den Prozess beziehen, mit dem ein Benutzer sicherstellt, dass eine Cloud-basierte Anwendung (z. B. ein soziales Netzwerk) nur auf bestimmte Informationen auf einer nicht angeschlossenen Website (z. B. das Webmail-Konto des Benutzer) zugreift.
Authentifizierung ist ein Prozess, bei dem die Identität eines Benutzers auf der Grundlage der Zugangsdaten validiert oder überprüft wird, die der Benutzer angibt, wenn er sich bei einer Anwendung, einem Dienst, auf einem Computer oder in einer digitalen Umgebung anmeldet. Die meisten dieser Zugangsdaten bestehen aus etwas, das der Benutzer besitzt, z. B. einem Benutzernamen, und etwas, das der Benutzer kennt, z. B. einem Passwort. Wenn die vom Benutzer angegebenen Anmeldedaten mit denen übereinstimmen, die von der zugrundeliegenden Anwendung oder dem Identitätsanbieter gespeichert wurden, wird der Benutzer erfolgreich authentifiziert und der Zugriff gewährt.
Bei der kontextbasierten Authentifizierung handelt es sich um eine Authentifizierungsmethode, die auf einer Reihe zusätzlicher Informationen basiert, die zu dem Zeitpunkt geprüft werden, zu dem sich eine Person bei einer Anwendung anmeldet. Zu den häufigsten Kontextinformationen gehören der Standort des Benutzers, die Tageszeit, die IP-Adresse, der Gerätetyp, die URL und die Anwendungsreputation. Die kontextbasierte Authentifizierung, auch risikobasierte oder adaptive Authentifizierung genannt, ist ein zentrales Element in der Welt von SSO und Zugriffsverwaltung, dessen Ziel darin besteht, die Authentifizierung so transparent und problemlos wie möglich zu gestalten.
Indem Sie bei der Anmeldung bestimmte Attribute eines Benutzers prüfen, seien es kontextbezogene (Gerät, Rolle, Standort) oder verhaltensbasierte (z. B. Tippgeschwindigkeit, Reihenfolge der Seitenaufrufe), können Single-Sign On- und Zugriffsverwaltungslösungen kontinuierlich die vom Benutzer geforderte Berechtigungsstufe mit der für jede Anwendung festgelegten Richtlinie abgleichen. Auf diese Weise wird die Authentifizierung granular – und möglichst reibungslos – gemäß der Zugriffsrichtlinie der entsprechenden Anwendung und nicht als pauschale, einheitliche Regel für alle Unternehmensressourcen durchgeführt.
Kontinuierliche Authentifizierung ist eine Form der Authentifizierung, die kontinuierlich stattfindet, also jedes Mal, wenn ein Benutzer auf eine neue Anwendung oder Ressource zugreift, im Gegensatz zur einmaligen oder binären Authentifizierung, die auf einer einmaligen Ja/Nein-Entscheidung beruht, die nur für eine einzige Anmeldung bei einer einzigen Anwendung gültig ist.
Bei der Authentifizierung anhand eines Tokens, Passworts oder Fingerabdrucks handelt es sich grundsätzlich um eine Ja/Nein-Entscheidung: Das System überprüft die Identität eines Benutzers und erlaubt oder verweigert ihm den Zugriff auf eine Anwendung.
Doch dank neuerer Technologien wie der kontextbasierten Authentifizierung oder der Verhaltensbiometrie (z. B. Browsing-Muster, Tippmuster und andere physische Merkmale) kann die Authentifizierung zu einem kontinuierlichen Prozess werden. Die kontextbezogene oder risikobasierte Authentifizierung kann anhand einer Reihe von Attributen wie IP-Adresse, mobile Parameter, bekanntes Gerät, Betriebssystem usw. die Identität einer Person kontinuierlich jedes Mal überprüfen, wenn sie sich bei einer Anwendung anmeldet. Dies kann sogar geschehen, ohne dass der Benutzer es merkt.
Die kontextbezogene Authentifizierung bietet viele reibungslose Möglichkeiten zur Überprüfung der Identität einer Person. Dies ermöglicht ein ausgewogenes Verhältnis zwischen Benutzerfreundlichkeit und der Möglichkeit, granulare Zugriffskontrollen auf zahlreiche Cloud-Anwendungen anzuwenden. Aus diesem Grund ist das Konzept der kontinuierlichen Authentifizierung, das auf kontextbasierter Authentifizierung beruht, eine Grundlage für die Cloud-Zugriffsverwaltung.