In vielen Organisationen haben sich IT-Systeme innerhalb der einzelnen Organisationseinheiten über Jahre hinweg unabhängig voneinander entwickelt. Dies führte zu einer steigenden Anzahl isolierter IT-Dienste und einer verteilten Verwaltung identitätsbezogener Informationen. Um sich auf aktuelle Entwicklungen einstellen zu können und die Konkurrenzfähigkeit aufrecht zu erhalten, stehen Organisationen nun vor der Herausforderung, Geschäftsprozesse nicht nur innerhalb einzelner Teilbereiche, sondern auch über die eigenen Organisationsgrenzen hinaus zu unterstützen.
Dies erfordert eine Vernetzung der IT-Systeme und bedarf eines übergreifenden Identity Managements, welches eine Kopplung dieser isolierten Dienste und Systeme ermöglicht.
Die Lösung ist ein modernes, offenes und übergreifendes Identity und Access Management System, welches ein föderatives Identitätsmanagement (Federated Identity Management, FIM) unterstützt. Moderne Identity und Access Management Produkte sind in der Lage, digitale Identitäten sowohl zentral als auch dezentral verwalten und zwischen mehreren administrativ eigenständigen Systemen auszutauschen zu können.
Federated Identity Management
Das föderative Identitätsmanagement stellt durch seine Dezentralität und Modularität einen vielversprechenden Ansatz sowohl für organisationsinterne als auch organisationsübergreifende Szenarien dar. Der föderative Ansatz lehnt sich hierbei mehr an den Grundgedanken von Peer-to-Peer-Systemen an, als an den Grundgedanken klassischer „zentralisierter“ Identity Management Systeme.
Was ist Federated Identity Management?
Federated Identity Management ist eine sichere und nachvollziehbare Vereinbarung, die zwischen zwei oder mehr vertrauenswürdigen Domains, sog. „Trust Domains“ getroffen werden kann, um Benutzern dieser Trust Domains den Zugriff auf Anwendungen und Dienste mit einer digitalen Identität zu ermöglichen. Eine solche Identität wird als Federated Identity bezeichnet; die Umsetzung eines solchen Ansatzes wird als Identity Federation bezeichnet.
Federated Identity Management basiert auf dem Vertrauen zwischen zwei oder mehr Trust Domains. Eine Trust Domain kann beispielsweise eine Partnerorganisation, eine Geschäftseinheit, eine Tochtergesellschaft usw. sein.
In jeder modernen Organisation wird Identity und Access Management (IAM) mittels einer Identity und Access Management Lösung umgesetzt. Moderne IAM-Lösungen sind in der Lage, digitale Identitäten auch mit anderen IAM-Lösungen auszutauschen. Diese Funktion wird als ein Identity Broker bezeichnet. Ein Identity Broker ist ein Service, der Zugangskontrollen zwischen verschiedenen identitätsverwaltenden Systemen steuert.
Häufig verwendete Begriffe in diesem Zusammenhang:
Ein Identity Provider ist für die Bereitstellung digitaler Identitäten verantwortlich.
Ein Resident Identity Provider ist für die Bereitstellung der digitalen Identitäten innerhalb seiner Trust Domain verantwortlich. Manchmal wird dies auch als lokaler Identity Provider bezeichnet.
Ein Federated Identity Provider verantwortet die Bereitstellung digitaler Identitäten, die zu einer anderen bestimmten Trust Domain gehören. Zwischen den verschiedenen Identity Providern wird eine Vertrauensbeziehung aufgebaut.
Federated Identity Management
Identity Federation bietet eine Reihe von Vorteilen:
Benutzer müssen sich nur einen Login merken, was eine reibungslose Benutzerführung ermöglicht.
Vermeidet Verwaltungsaufwand, indem die Verantwortlichkeiten für die Verwaltung von Konten und Passwörtern an den Federated Identity Provider delegiert werden, anstatt mehrere Identitätssilos zu verwalten.
Senkt die Kosten für die Identitätsverwaltung und -speicherung.
Verringert bzw. vermeidet Datenschutz- und Compliance-Probleme.
Single Sign On wird in den meisten Implementierungen unterstützt.
Anwendungsfälle des Federated Identity Managements:
Ermöglichen Sie Ihren Anwendern Zugriff auf die Systeme von Lieferanten und Geschäftspartnern, also außerhalb Ihrer eigenen Organisation.
Bieten Sie Benutzern nach Fusionen und Umorganisationen schnellen und sicheren Zugang zu den erforderlichen Systemen
Bieten Sie Benutzern Zugang zu kommerziellen Identitätsanbietern wie bspw. der Deutsche Post AG.
Bieten Sie Kunden die Möglichkeit, sich mit ihrem Social Login über bspw. Facebook oder Google, an Ihren Unternehmensanwendungen und Web-Portalen anzumelden.
Als temporäre Anordnung zur Unterstützung des Übergangs zwischen IAM-Systemen.
Inbound und Outbound Identity Federation
Identity Federation gliedert sich grob in zwei Bereiche:
Inbound Identity Federation
Outbound Identity Federation
In einem Identity Federation Workflow wird ein Identity Broker, der eine Assertion von einem anderen Identity Broker erhält, als Inbound Identity Federation bezeichnet. Mit anderen Worten, die Inbound Identity Federation ermöglicht es Ihnen, Zugang zu Ihren Anwendungen und Diensten für Identitäten zu gewähren, die außerhalb der traditionellen Grenze/Trust-Domain Ihres Unternehmens liegen.
Analog dazu wird ein Identitätsanbieter, der eine Assertion erstellt, die von einem anderen Identitätsbroker verwendet werden soll, als Outbound Identity Federation bezeichnet. Die Outbound Identity Federation ermöglicht Identitäten in Ihrer Organisation den Zugriff auf Anwendungen und Dienste, die sich außerhalb Ihrer Unternehmensgrenze/Trustdomäne befinden.
Identity Federation vs. Single Sign On
Die meisten Federated Identity und Access Management Lösungen sind so implementiert, dass Benutzer nicht mehr als einmal pro angemeldeter Sitzung ihre Identität nachweisen müssen. Single Sign On ist allerdings nicht gleichbedeutend mit Identity Federation. Single Sign On basiert jedoch auf der Art und Weise, wie Identity Federation umgesetzt wird.
Auf der anderen Seite können nicht alle Single Sign On Implementierungen als Identity Federation kategorisiert werden. So ist beispielsweise die Integrierte Windows-Authentifizierung (IWA), die auf dem Kerberos-Netzwerk-Authentifizierungsprotokoll basiert, ein Beispiel für eine Single Sign On Implementierung über Anwendungen und Dienste hinweg, wird aber nicht als eine Identitätsföderation betrachtet, da sie auf ein bestimmtes (Windows-) Netzwerk beschränkt ist.
Bring Your Own Identity – Customer Identity und Access Management
Seitdem der Trend zur Nutzung sozialer Identitäten für den Zugriff auf Unternehmens-Anwendungen und -Diensten immer mehr an Fahrt aufnimmt, wurde der Begriff „Bring Your Own Identity“ (BYOID) immer populärer. Obwohl BYOID häufig im Zusammenhang mit sozialen Identitäten verwendet wird, gilt das Konzept für jede föderierte digitale Identität.
Viele Anwendungsfälle von BYOID finden sich häufig im Customer Identity und Access Management (CIAM). Sie können als „BYOID for sign-up“, „BYOID for sign-in“ und „BYOID to connect“ weiter unterteilt werden. Obwohl technisch gesehen alle diese Anwendungsfälle dem gleichen Ablauf folgen, gibt es Unterschiede:
Das Ziel von „BYOID for sign-up“ ist es, die Benutzerfreundlichkeit des Selbstregistrierungsprozesses beim Anlegen eines Benutzerkontos zu verbessern, indem ein Teil oder die vollständigen Profilinformationen abgerufen werden, die notwendig sind, um ein Benutzerkonto im zwischengeschalteten Identity Broker unter Verwendung einer von einem Dritten verwalteten Identität zu erstellen.
Das Ziel von „BYOID for sign-in“ ist es, den Anmeldevorgang für den Endbenutzer so reibungslos wie möglich zu gestalten, wobei nur minimale Aufforderungen für zusätzliche Eingaben wie möglich erforderlich sind.
Das Ziel von „BYOID to connect“ ist es, das lokale Benutzerprofil einfach mit zusätzlichen/fehlenden Informationen anzureichern/zu füllen.
Verknüpfung von föderierten Konten
Eine der Hauptaufgaben eines Federation Identity Providers ist die sichere Zuordnung und Verknüpfung einer Identität in mehreren Identity Providern mittels eines eineindeutigen digitalen Identifikators. Dies wird als Verknüpfung von föderierten Konten bezeichnet.
Ohne die Verknüpfung von föderierten Konten wird ein Identity Federation Provider einfach nur zwischen einem Dienstanbieter und einem föderierten Identitätsanbieter vermitteln. Diese Art der Föderation wird häufig in unkritischen Anwendungen und Diensten wie öffentlichen Foren, dem Herunterladen von Marketingmaterial usw. gesehen.
Just-in-Time Account Provisioning
Just-in-Time Account Provisioning wird verwendet, um ein Konto für den Benutzer in einem zwischengeschalteten Identitätsbroker „on the fly“ einzurichten.
Just-in-Time Password Provisioning
Die Just-in-Time Passwortbereitstellung ist ein optionaler Schritt der Just-in-Time Kontobereitstellung. Der Bedarf an dieser Art von Bereitstellung hängt im Allgemeinen von den kombinierten Konto- und Passwortrichtlinien des Unternehmens und den Anwendungen ab, auf die der Benutzer zugreifen wird.
Unterstützung von IAM-Transitionen
Identity Federation kann auch als Übergangsstrategie für Identity und Access Management verwendet werden. Es kann den Übergang von mehreren dezentralen Quellbenutzerverzeichnissen zu einem einzigen zentralen Zielbenutzerverzeichnis erleichtern. Sobald alle Konten schließlich migriert sind, können Sie sich entscheiden, diese Federated Identity Provider, welche die verteilten Verzeichnisse verwalten, zu trennen.
© summ-it Unternehmensberatung
B2B-Marketing mit summ-it:
Marketingstrategie, Go to Market, Content Marketing, Online Marketing, SEO, Google Ads, Inbound Marketing, Lead Generierung, WordPress, HubSpot, Nextcloud
Impressum | Datenschutz | Bildnachweis
