Definition

Federated Identity Management (FIM)

Was ist Federated Identity Management (FIM)?

Föderiertes Identitätsmanagement (FIM, Federated Identity Management) ist eine Vereinbarung zwischen mehreren Unternehmen oder Domänen, die es ihren Nutzern ermöglicht, dieselben Identifikationsdaten (digitale Identität) für den Zugang zu allen ihren Netzen zu verwenden. Diese Partner werden auch als vertrauenswürdige Domänen bezeichnet. Eine vertrauenswürdige Domäne kann eine Organisation, eine Geschäftseinheit, eine kleinere Tochtergesellschaft einer größeren Organisation etc. sein.

FIM ist ein System mit einmaliger Anmeldung und mehrfachem Zugang. Damit FIM effektiv funktionieren kann, müssen alle beteiligten Partner ein Gefühl des gegenseitigen Vertrauens haben. Jede Vertrauensdomäne unterhält ihr eigenes Identitätsmanagement. Alle Domänen sind jedoch über einen Drittdienst miteinander verbunden, der die Zugangsdaten der Benutzer speichert und den für das Funktionieren von FIM erforderlichen Vertrauensmechanismus bereitstellt. Dieser dritte Dienst wird als Identitätsanbieter oder Identitätsbroker bezeichnet.

Dieser Anbieter vermittelt die Zugriffskontrolle zwischen mehreren Dienstanbietern. Die FIM-Vereinbarung wird zwischen zwei - oder sogar mehr - Identitätsmaklern über Organisationen hinweg getroffen.

FIM verbindet die Identitäten von Benutzern über mehrere Sicherheitsdomänen hinweg. Wenn zwei Domänen föderiert sind, müssen sich die Benutzer nur bei einer Domäne authentifizieren. Das liegt daran, dass eine zweite Sicherheitsdomäne - und Teil des FIM-Systems - darauf vertraut, dass die Heimatdomäne des Benutzers ihn authentifiziert hat und ihm somit ungehinderten Zugriff gewährt.

Beispiele für FIM-Systeme sind OpenID und Open Authorization sowie Shibboleth, das auf der Security Assertion Markup Language (SAML) basiert.

IAM-Software (Identity and Access Management) enthält viele Komponenten.
Abbildung 1: IAM-Software (Identity and Access Management) enthält viele Komponenten.

Wie funktioniert das föderierte Identitätsmanagement (FIM)?

FIM funktioniert, weil sich die FIM-Partner gegenseitig Autorisierungsnachrichten schicken. Diese Nachrichten können mit SAML oder einem ähnlichen Extensible Markup Language-Standard übermittelt werden. Beide ermöglichen es Benutzern, sich einmal anzumelden, um auf mehrere verbundene, aber getrennte Websites oder Netzwerke zuzugreifen.

Die Anmeldedaten der Benutzer werden ihrem Identitätsanbieter, der ihre Heimatdomäne ist, zur Verfügung gestellt und bei ihm gespeichert. Wenn sie sich dann bei einem Dienst, beispielsweise einer Software-as-a-Service-Anwendung, anmelden, müssen sie dem Dienstanbieter keine Anmeldedaten zur Verfügung stellen. Vielmehr vertraut der Dienstanbieter darauf, dass der Identitätsanbieter diese Anmeldedaten überprüft und ihnen Zugang gewährt.

Typische Anwendungsfälle für FIM

FIM ist sinnvoll bei der Verwaltung von Anwendungen, die Zugriff auf Ressourcen in mehreren Sicherheitsdomänen benötigen.

Hier sind einige häufige Anwendungsfälle für Federated Identity Management

  • neue Benutzer, die dem System nach einer Fusion oder Übernahme hinzugefügt werden;
  • externe Lieferanten oder Vertriebshändler, die Zugang zu den Ressourcen des Unternehmens benötigen;
  • Anwender von kommerziellen Identitätsanbietern.

Was ist der Unterschied zwischen SSO und FIM?

Single Sign-On (SSO) ist eine wichtige Komponente von FIM, aber es ist nicht dasselbe wie FIM.

SSO ermöglicht es Benutzern, mit einem einzigen Satz von Anmeldeinformationen auf mehrere Systeme innerhalb einer Organisation zuzugreifen. Es ist Token-basiert, was bedeutet, dass Benutzer durch einen Token und nicht durch ein Passwort identifiziert werden.

Mit Single Sign-On können sich Benutzer bei mehreren Anwendungen anmelden, ohne sich für jede ein Passwort merken zu müssen.
Abbildung 2: Mit Single Sign-On können sich Benutzer bei mehreren Anwendungen anmelden, ohne sich für jede ein Passwort merken zu müssen.

FIM ermöglicht Benutzern den Zugriff auf Systeme innerhalb eines Verbunds. Sie können dieselben Anmeldeinformationen verwenden, um auf die Anwendungen, Programme und Netzwerke aller Mitglieder innerhalb der Verbundgruppe zuzugreifen. Es ermöglicht den Zugriff auf mehrere Systeme in verschiedenen Organisationen in einem einzigen Schritt. Im Gegensatz zu SSO geben FIM-Benutzer ihre Anmeldedaten nicht direkt an eine Webanwendung, sondern an das FIM-System selbst.

Unternehmen, die SSO implementieren, verwenden nicht unbedingt FIM. FIM stützt sich jedoch stark auf SSO-Technologien, um Benutzer domänenübergreifend zu authentifizieren.

Was sind die Vor- und Nachteile des föderalen Identitätsmanagements?

Wenn Organisationen gemeinsam an einem Projekt arbeiten, ermöglicht FIM den Teilnehmern den Zugriff und die gemeinsame Nutzung von Ressourcen über alle Bereiche hinweg. FIM vereinfacht auch den Prozess der Authentifizierung und Autorisierung von Benutzern der Systeme innerhalb des Verbunds.

Gleichzeitig haben die Administratoren in jeder Organisation weiterhin die Kontrolle über die Zugriffsebenen in ihren eigenen Domänen. Sie können für einen Benutzer auf der Grundlage eines einzigen Benutzernamens Berechtigungen und Zugriffsebenen für verschiedene Systeme in unterschiedlichen Sicherheitsdomänen festlegen. Dies reduziert ihren Arbeitsaufwand und vereinfacht die Identitäts- und Zugriffsverwaltung.

Administratoren können auch typische Probleme vermeiden, die beim Abgleichen des Zugriffs auf mehrere Domänen auftreten, zum Beispiel die Entwicklung eines speziellen Systems, das den Zugriff auf die Ressourcen einer externen Organisation erleichtert. Der Konsolidierungsansatz von FIM hilft Unternehmen, Kosten zu sparen und die Kontrolle zu gewährleisten.

Die Verwaltung föderierter Identitäten bringt Vor- und Nachteile mit sich.
Abbildung 3: Die Verwaltung föderierter Identitäten bringt Vor- und Nachteile mit sich.

FIM beseitigt auch die Barrieren, die Benutzer oft daran hindern, einfach und sicher auf die von ihnen benötigten Ressourcen zuzugreifen. Es bietet den Komfort, dass sie sicher auf Systeme in verschiedenen Bereichen zugreifen können, ohne sich mehrere Anmeldedaten merken oder sich mehrfach anmelden zu müssen. Auf diese Weise kann der Benutzer Zeit sparen, Zugriffsschwierigkeiten minimieren und die Produktivität steigern.

FIM vereinfacht auch die Datenverwaltung, den Datenschutz und die Einhaltung von Vorschriften und reduziert die Speicherkosten.

Ein Nachteil von FIM sind die Vorabkosten, die Unternehmen für die Änderung bestehender Systeme und Anwendungen aufbringen müssen. Dies kann für kleinere Organisationen eine erhebliche finanzielle Belastung darstellen.

Eine weitere Herausforderung besteht darin, dass die teilnehmenden Mitglieder des Verbunds Richtlinien erstellen müssen, die den Sicherheitsanforderungen aller Mitglieder entsprechen. Diese Verhandlung kann ein kompliziertes, zeitaufwendiges Unterfangen sein, wenn jedes Unternehmen unterschiedliche Anforderungen und Regeln vorgibt.

Schließlich kann eine teilnehmende Organisation Mitglied in mehr als einem Verbund sein, so dass ihre Richtlinien die Regeln und Anforderungen der einzelnen Verbände widerspiegeln sollten. Wenn das Unternehmen weiteren Verbänden beitritt, kann dies kompliziert werden und einen enormen Zeitaufwand erfordern, auf den viele Unternehmen nicht vorbereitet sind.

Diese Definition wurde zuletzt im Februar 2024 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)