Ein Blick auf das zentralisierte Identitätsmanagement

Dies ist der zweite Artikel in unserer Reihe "Konzepte, die Sie verwenden, ohne es zu wissen" . Diesmal geht es um das Identitätsmanagement, insbesondere um das zentralisierte Identitätsmanagement.

Lesen Sie weiter, um zu erfahren, was Identitätsmanagement ist, warum IAM zu einem so wichtigen Tool in der Welt der Unternehmensdatenverarbeitung geworden ist und welche Vorteile ein zentralisiertes Identitätsmanagement für Ihr Unternehmen bietet.

Inhalt

• Einführung in das zentralisierte Identitätsmanagement
  • Was ist Identitätsmanagement?
  • Unterschied zwischen dezentralem und zentralem Identitätsmanagement
• Herausforderungen bei der Authentifizierung
  • Sichtbarkeit von Zugang und Berechtigungen
  • Onboarding und Deprovisionierung
  • Konsistenter Zugang
  • Benutzerverhalten und Benutzermüdigkeit
• Warum funktioniert ein zentralisiertes Identitätsmanagement?
  • Vorteile eines zentralen Identitätsmanagements für die Benutzerfreundlichkeit
  • Vorteile für Management und Sicherheit
  • Orchestrierung auf der Grundlage von Standardisierung
  • Nachteile eines zentralisierten Identitätsmanagements
  • Interaktion mit RBAC
• Konfiguration und Überwachung
• Zentralisiertes Identitätsmanagement ist ein Dauerbrenner

Einführung in das zentralisierte Identitätsmanagement

Irgendwo und irgendwie muss Ihre Technologieumgebung in der Lage sein, Benutzer zu authentifizieren. Sie möchten unbefugte externe Benutzer fernhalten und gleichzeitig sicherstellen, dass Ihre Mitarbeiter nur auf die Sicherheit und die Daten zugreifen können, die sie für ihre Arbeit benötigen.

Es gibt verschiedene Ansätze für die Verwaltung von Benutzern und Berechtigungen - einige sind besser organisiert als andere. In komplexen Computerumgebungen in Unternehmen besteht ein großer Bedarf an strukturierten Ansätzen für die Verwaltung von Benutzern, Assets und Berechtigungen - und deshalb hat sich das Identitäts- und Zugriffsmanagement entwickelt.

Was ist Identitätsmanagement?

Identitätsmanagement ist ein Rahmenwerk, mit dem Benutzern, Geräten und anderen Ressourcen eine Sicherheitsidentität zugewiesen wird - und mit dem jeder dieser Identitäten bestimmte Zugriffsrechte zugewiesen werden. Identitätsmanagement ist allgegenwärtig - fast jedes große Unternehmen verwendet Identitäts- und Zugriffsmanagement, um Benutzer zu autorisieren und den Zugriff auf Unternehmenssysteme zu kontrollieren.

Das Identitätsmanagement ermöglicht es Ihnen, Benutzern den Zugriff auf die Ressourcen zu gewähren, für die sie Rechte besitzen, und zwar auf kontrollierte, kontextabhängige Weise. Jeder Identität (oder jedem Benutzer) werden eine oder mehrere Rollen zugewiesen, die die Identität zu Zugriffsrechten auf eine bestimmte Gruppe von Ressourcen berechtigen.

Unterschied zwischen dezentralem und zentralem Identitätsmanagement

Die Unterscheidung zwischen dezentraler und zentraler Verwaltung ist relativ einfach zu treffen. Beim dezentralen Modell gibt es keinen einzigen Ort für die Identitätsverwaltung. IAM wird in vielen verschiedenen Umgebungen und Anwendungen durchgeführt, und ein einzelner Benutzer kann mehrere Identitäten haben, die in verschiedenen Identitätsspeichern gespeichert sind.

Von einem Benutzer wird erwartet, dass er sich in seinem Arbeitsbereich anmeldet und dabei einen Authentifizierungsschritt mit einem Identitätsanbieter durchführt, aber dann wird auch erwartet, dass er sich bei einer Schlüsselanwendung anmeldet und dabei einen weiteren Authentifizierungsschritt durchführt.

Das zentralisierte Modell macht Schluss mit verschiedenen Zentren für das Identitätsmanagement - stattdessen melden sich die Benutzer bei einem einzigen Authentifizierungsanbieter an, der dann die Zugriffsrechte der Identität auf alle Anwendungen und Ressourcen innerhalb des Unternehmens überträgt.

In der Praxis bedeutet dies, dass sich der Benutzer bei einem einzigen Arbeitsbereich anmeldet - und sich nie wieder bei einem anderen Dienst anmelden muss, da der Zugang auf der Grundlage dieses ersten und einzigen Anmeldevorgangs gewährt wird.

Herausforderungen bei der Authentifizierung

Bevor wir uns näher mit dem Identitätsmanagement befassen, sollten wir uns zunächst einen Überblick über die Probleme und Herausforderungen bei der Authentifizierung verschaffen. Dadurch erhalten wir einen besseren Einblick in die Gründe, warum ein zentralisiertes Identitätsmanagement so häufig eingesetzt wird.

Sichtbarkeit von Zugang und Berechtigungen

Sowohl im Hinblick auf die Einhaltung von Vorschriften als auch auf die Fehlerbehebung müssen Unternehmen wissen, welche Benutzer zu welchem Zeitpunkt Zugriff auf welche Ressourcen haben. Das gilt auch für Identitäten, die mit Anwendungen und Diensten verbunden sind. Die Beantwortung dieser Fragen kann in weniger organisierten, dezentralisierten Identitätsumgebungen eine Herausforderung darstellen.

Insbesondere wird es sehr schwierig, den Benutzerzugriff und das Benutzerverhalten zu überprüfen, wenn jede Anwendung auf ein isoliertes Benutzerverzeichnis angewiesen ist. Obwohl die meisten Unternehmen ein zentrales Verzeichnis wie Active Directory (vielleicht über Azure AD) verwenden, melden sich Benutzer zunehmend bei Cloud-Diensten an, die nicht mit dem etablierten Verzeichnisdienst des Unternehmens verknüpft sind, wodurch eine undurchsichtige Berechtigungsumgebung entsteht.

Onboarding und Deprovisionierung

Ein schnelles Onboarding neuer Mitarbeiter hilft ihnen, schneller loszulegen, aber das Onboarding kann zeitaufwändig sein, wenn IT-Administratoren mühsam durch mehrere Verzeichnisse navigieren müssen. Schlimmer noch: Da SaaS-Anwendungen in der Regel auf Abteilungsebene eingesetzt werden - Marketing-SaaS für den Vertrieb, CRM-SaaS für den Kundendienst - kann das Onboarding auch außerhalb der IT-Abteilung viel Energie kosten.

Wenn der Mitarbeiter ausscheidet, kann das Offboarding oder die De-Provisionierung seines Zugangs eine Herausforderung sein - und in der Realität oft unvollständig. Die IT-Abteilung wird tun, was sie tun muss - mit automatisierten Tools, um die Bereitstellung von Unternehmensressourcen aufzuheben.

Wurde der Zugang jedoch von funktionalen Abteilungen verwaltet, konnte dieser Zugang bestehen bleiben, was ein Risiko für die Organisation darstellte, da eine externe Partei den Zugang zu den Anwendungen behielt. Stellen Sie sich die Bereinigungsaufgabe vor, wenn ein Benutzer zwanzig verschiedene Logins hat - es werden im Grunde zwanzig Bereinigungsaufgaben, wobei die Verantwortung für die Bereinigung über das gesamte Unternehmen verteilt ist.

Konsistenter Zugang

Bei verteilten, siloartigen Benutzerverzeichnissen entsteht ein weiteres Problem: Die Verzeichnisse sind zwangsläufig nicht vollständig synchronisiert. Die Benutzer können dann auf einige Anwendungen nicht zugreifen, auf andere aber schon.

So kann beispielsweise eine Kluft zwischen Cloud- und On-Premise-Anwendungen entstehen, und Remote-Mitarbeiter könnten feststellen, dass sie nicht auf alles zugreifen können, was sie für ihre Arbeit benötigen - weil ihr externer Standort eine Unterbrechung der Verbindung verursacht.

Benutzerverhalten und Benutzermüdigkeit

Eine der größten Herausforderungen im Zusammenhang mit dem Identitätsmanagement liegt schließlich im Verhalten der Benutzer. Das ist eine große Herausforderung - es ist nicht einfach, die Benutzer dazu zu bringen, sichere, eindeutige Passwörter für viele verschiedene Anmeldungspunkte zu verwenden. Wenn die Benutzer immer mehr Anmeldedaten haben, steigt das Sicherheitsrisiko - die Benutzer wählen eher leicht zu erratende Passwörter und verwenden Passwörter für verschiedene Dienste wieder.

Die Benutzer sind es auch leid, mit einer endlosen Liste von Benutzernamen und Passwörtern zu jonglieren, und die Notwendigkeit, sich ständig bei den Diensten an- und abzumelden, ist ebenso mühsam. Dies kann sogar dazu führen, dass die Nutzer die ihnen zur Verfügung stehenden Dienste weniger nutzen.

Warum funktioniert ein zentralisiertes Identitätsmanagement?

Das Identitäts- und Zugriffsmanagement stellt Unternehmen vor zahlreiche Herausforderungen. Ein stärker zentralisierter Ansatz für das Identitätsmanagement kann viele dieser Herausforderungen lösen - aber ein zentralisierter Ansatz hat auch einige Nachteile.

Vorteile eines zentralen Identitätsmanagements für die Benutzerfreundlichkeit

Die Vorteile einer einzigen Anmeldung für den Zugriff auf alle Unternehmensdienste liegen auf der Hand. Die Mitarbeiter müssen sich nur einen einzigen Satz von Anmeldedaten merken, und die Authentifizierung erfolgt automatisch über alle Anwendungen hinweg - es ist nicht erforderlich, ständig Anmeldevorgänge durchzuführen, um Zugriff auf Ressourcen zu erhalten.

Ein zentralisiertes Identitätsmanagement beseitigt viele Frustrationen im Zusammenhang mit der Benutzerfreundlichkeit der Zugriffsverwaltung und verringert somit die Versuchung der Mitarbeiter, die Zugriffskontrolle zu umgehen, was wiederum die Sicherheit erhöht.

Vorteile für Management und Sicherheit

Auch die Verwaltung ist viel einfacher, da Onboarding und De-Provisioning in einem Schritt erfolgen - es gibt nur einen Identitätsspeicher, der sich über das gesamte Unternehmen erstreckt. Bei der Einrichtung erhalten die Benutzer sofort Zugriff auf alle Ressourcen, zu denen sie berechtigt sind, und beim Ausscheiden eines Mitarbeiters wird der Zugang vollständig und umfassend eingeschränkt.

Die Durchsetzung von Richtlinien wird durch ein zentralisiertes Identitätsmanagement ebenfalls verbessert, da es viel einfacher ist, sichere Passwörter und eine mehrstufige Authentifizierung durchzusetzen, wenn nur eine Identität den Zugriff auf alle Ressourcen autorisiert.

Tatsächlich öffnet eine einzige Identität den Weg zu kugelsicheren Authentifizierungsmechanismen wie Biometrie und physischen Token - Mechanismen, die von den Nutzern nicht akzeptiert werden, wenn sie für jede Ressource und Anwendung benötigt werden.

Orchestrierung auf der Grundlage von Standardisierung

Die zentralisierte Identitätsverwaltung basiert auf Standards. So setzen viele Cloud-Anbieter auf OAuth 2.0 - darunter zum Beispiel Google, das auf dieses Protokoll setzt, um die Authentifizierung und Autorisierung über Google-Cloud-Anwendungen hinweg zu ermöglichen - und über Anwendungen von Drittanbietern.

Andere zentralisierte Identitätsstandards ermöglichen unterschiedliche Funktionssets - openLDAP fungiert beispielsweise als Verzeichnisdienst, während OpenID sich auf die Authentifizierung konzentriert.

Einer der wichtigsten Punkte einer zentralisierten Identitätsmanagementlösung ist, dass sie Unternehmen die Möglichkeit bietet, flexible, hochmoderne Technologiearchitekturen aufzubauen und gleichzeitig ein hohes Maß an Sicherheit zu gewährleisten - und das geschieht aufgrund der inhärenten Standardisierung.

Eine gute IAM-Lösung beseitigt daher Engpässe, indem sie eng mit verschiedenen Cloud-basierten Diensten und Ressourcen integriert wird. Es lohnt sich also, ein zentrales Identitätsmanagement auch im Hinblick auf seine Orchestrierungsfähigkeiten zu betrachten - etwas, das Sie mit einem dezentralen Identitätsmanagement nicht erreichen können.

Nachteile eines zentralisierten Identitätsmanagements

Die Vorteile des zentralisierten Ansatzes sind unbestreitbar - aber das zentralisierte Identitätsmanagement hat auch seine Schattenseiten, und es gibt einige Nachteile eines einzigen Identitätsspeichers.

Der vielleicht besorgniserregendste Nachteil ist, dass das Vertrauen auf nur eine Identität - und einen Satz von Anmeldedaten - eine einzige Schwachstelle darstellt. Wenn ein Angreifer diesen einzigen Authentifizierungspunkt kompromittieren kann, hat er automatisch Zugriff auf alle Ressourcen, auf die ein Benutzer Zugriff hat, und zwar im gesamten Unternehmen. Das Risiko, dass dies geschieht, kann jedoch durch den Einsatz starker Authentifizierungsprotokolle für diese einzige Identität gemindert werden.

Ein weiteres Problem bei der zentralen Identitätsverwaltung ist, dass die Anwendungsintegration eine Herausforderung sein kann - vor allem dann, wenn eine Mischung aus Legacy- und On-Premise-Anwendungen neben Cloud-gehosteten Anwendungen zum Einsatz kommt. Wenn eine einzelne Legacy-Anwendung nicht mit den IAM-Standards kompatibel ist oder wenn Integration und Anpassung keine Option sind, entsteht sofort der Bedarf an einem zusätzlichen Satz von Identitäten.

Auch Änderungen an der zugrunde liegenden Anwendungsarchitektur können zu unerwarteten Authentifizierungsproblemen führen, wodurch Tausende von Benutzern plötzlich von einer wichtigen Ressource abgeschnitten werden.

Interaktion mit RBAC

Das zentralisierte Identitätsmanagement bietet eine hervorragende Plattform für nahtlose rollenbasierte Zugriffskontrolle (RBAC). Mit RBAC können Unternehmen verschiedene Richtlinien einrichten, die auf bestimmte Arbeitsfunktionen abgestimmt sind und festlegen, welche Zugriffsrechte ein Mitarbeiter je nach seiner Rolle im Unternehmen hat.

Diese Richtlinien werden dann auf der zentralen Identitäts- und Zugriffsverwaltungsplattform veröffentlicht, die einen zentralen Kontrollpunkt bietet, der die Zugriffs- und Identitätsverwaltung auf der Grundlage der in den RBAC-Richtlinien festgelegten Parameter automatisiert.

Konfiguration und Überwachung

Abschließend ist es wichtig zu verstehen, dass ein zentralisiertes Identitätsmanagement eine sehr strenge Aufsicht erfordert. Es erfordert einen architektonischen Ansatz zur Einrichtung - mit einem umfassenden Entwurfs- und Planungsprozess.

Ein schlecht strukturierter zentraler Identitätsspeicher kann sich als untauglich erweisen. Ebenso muss Ihr zentralisiertes Identitätsmanagement-Toolset mit Blick auf Flexibilität - und die Zukunft - konzipiert sein, um sicherzustellen, dass Sie nicht in eine Situation geraten, in der die Benutzer ohnehin gezwungen sind, mehrere Identitäten zu verwalten.

Sicherheit ist ein weiteres Anliegen. CISOs sind eng in die Governance von IAM-Lösungen eingebunden, da die Sicherheit nur durch strenge Kontrollen und strikt durchgesetzte Richtlinien gewährleistet werden kann. In der Tat werden IT-Mitarbeiter auf C-Level eng in die Anleitung der Einrichtung und Nutzung eines zentralisierten Identitätsmanagements eingebunden - und gleichzeitig kontinuierlich überwacht, um die Einhaltung der Vorschriften zu gewährleisten und potenzielle Risiken zu erkennen.

Zentralisiertes Identitätsmanagement ist ein Dauerbrenner

In einer zunehmend Cloud-zentrierten Welt bringt ein zentraler, sicherer Identitätsspeicher wichtige Vorteile mit sich: Er ermöglicht es Unternehmen, Anwendungen fließend in ihrem Technologiepark einzusetzen und gleichzeitig einheitliche Sicherheitsstandards durchzusetzen.

Wenn Ihr Unternehmen modernste Cloud-Anwendungen nutzt, verwenden Sie wahrscheinlich bereits Software eines IAM-Anbieters - selbst wenn es sich dabei um die Standardoption handelt, die mit der Cloud-Produktivitätssoftware Ihres Unternehmens geliefert wird.

Das zentralisierte Identitätsmanagement birgt jedoch eine Reihe von Herausforderungen, die es zu beachten gilt, wobei die wichtigste die Schwachstelle ist, dass es nur einen einzigen Ausfallpunkt gibt. Eine einzige Identität bildet die Grundlage für den gesamten Zugang - was bedeutet, dass sie genau kontrolliert und überwacht werden muss.

Solange Unternehmen jedoch starke Authentifizierungsmethoden verwenden, überwiegen die Vorteile eines zentralisierten Identitätsmanagements bei weitem die Schwächen, wobei ein zentralisierter Ansatz das Identitätsmanagement nur umso früher ermöglicht.