wladimir1804 - stock.adobe.com
IDaaS ist das Fundament für eine Digitalstrategie
Eine Authentifizierung immer genau dort ermöglichen, wo sie gerade gebraucht wird und dabei Schutz vor Angriffen bieten. Dafür bieten sich integrierte Identitätsdienste an.
Möchte ein Nutzer auf Online-Dienste eines Anbieters zugreifen, muss er sich als erstes bei diesem registrieren und authentifizieren. Funktioniert das nicht reibungslos, wendet er sich meist enttäuscht ab und ruft den Dienst in Zukunft nicht mehr auf. Klemmt es bei diesem Vorgang dauerhaft, kann das negative Folgen für die gesamte digitale Geschäftsstrategie haben.
Wer hier auf Nummer sicher gehen möchte, sollte sich mit IDaaS (Identity as a Service) als Standard für eine einheitliche, sichere und dennoch adaptive Identitätsinfrastruktur auseinandersetzen.
Interne IAM-Lösungen brauchen Anschluss an digitale Dienste
Traditionelle IAM-Infrastrukturen mit ihren selbst entwickelten Lösungen sind meist nicht kompatibel mit den aktuellen Kundenanforderungen an einen Authentifizierungsprozess, über den sie auf digitale Dienste zugreifen können.
Der Kunde möchte sich schnell, einfach und unkompliziert von überall anmelden können. Damit haben organisch gewachsene IAM-Lösungen (Identity and Access Management) Probleme. Sie sind weder standardisiert, noch wissen Entwickler genau, welchen Anmeldeprozess der Kunde braucht, wenn er sich individuell registrieren und authentifizieren möchte.
Zudem gibt es tausende Möglichkeiten für den Kunden, online auf einen Dienst zuzugreifen, zum Beispiel von unterschiedlichen Geräten oder auch von diversen Standorten. Das macht die Entwicklungsleistung zusätzlich kompliziert.
Hier bietet sich eine Standardisierung der Identitätslösungen über sogenannte Service-Layers an. Das sind technische Schnittstellen (zum Beispiel Identitäts-API-Plattformen), worüber ein Entwickler beispielsweise zentrale Dienste aufrufen kann, die für eine Authentifizierung oder Registrierung von Nutzern und der Verwaltung von Identitäten wichtig sind.
Auch wenn sich diese Services nicht ausschließlich auf das Identitätsmanagement beschränken, sind diese Plattformen ein wichtiger Eckpfeiler für die effiziente und einfache Bereitstellung digitaler Dienste. Sie bündeln IAM-, CIAM- und IDaaS-Funktionen und stellen sie über die APIs zur Verfügung.
Strategisch steuern, anstatt einfach passieren lassen
Die Entscheidung für eine solche Plattform ist allerdings immer von der bestehenden IAM-Infrastruktur abhängig. So nutzen viele Unternehmen zwar bereits spezifische Lösungen für die Verwaltung ihrer Partner- oder Kundenidentitäten, die sind allerdings meist nicht strategisch aufgesetzt, sondern passieren anlassbezogen. Aufgrund der Integration vieler Funktionen und Protokolle (zum Beispiel Social Logins über Provider wie Apple, Google oder Facebook) kann das für Entwickler schnell zu einer unübersichtlichen Sache werden. Insbesondere wenn Daten aus verschiedenen Systemen (wie zum Beispiel CRM- oder Marketingplattformen) integriert oder synchronisiert werden müssen.
Daher ist es ratsam, Identitäts-API-Plattformen als Strategiebaustein für eine schnelle und agile Bereitstellung digitaler Dienste zu berücksichtigen. Hier geht es im Wesentlichen darum, im interdisziplinären Team mit Entwicklern, Produktmanagern, Security-Mitarbeitern und Marketingteams zu definieren, wann APIs (Programmierschnittstellen) verwendet werden sollen, wo Widgets wie die Registrierung oder die Passwortrücksetzung einleiten sollen, wer dafür die Verantwortung hat und welche weiteren technischen Integrationen notwendig sind. Denn in jedem Fall sollte der DevOps-Ansatz kompatibel mit dem Ablauf der Prozesse für den Kunden und dem Kundenerlebnis sein.
Skalierbarkeit ist das A und O
Dem Nutzer immer genau dort einen Service anbieten, wo er sich gerade befindet, lautet das Credo vieler Firmen, die auf digitale Services setzen. Das kann aber nur klappen, wenn das Identitätsmanagement zu großen Teilen in die Cloud verlagert wird.
Hier können Serviceorientierung und hohe Skalierung sinnvoll ineinandergreifen, um schnell auf veränderte Kundenanforderungen, neue Bedrohungen oder technische Innovationszyklen zu reagieren. Auf dieser Basis kann immer dort, wo gerade Authentifizierungslast benötigt wird, hochskaliert werden. Individuelle Authentifizierungslösungen wären dafür zu träge. Diese Verbindung sollte über standardisierte APIs laufen, die eine schnelle Skalierung ermöglichen.
„Identitäts-API-Plattformen ermöglichen eine Implementierung und Wiederverwendung von Identity Services über viele digitale Plattformen und Dienste hinweg.“
Kevin Switala, Auth0
Integrierte Identitätsdienste erleichtern den schnellen Schutz vor Angriffen
Laut einer Erhebung von Auth0 werden weltweit 67 Prozent des gesamten Web-Traffics über die eigene Plattform als „verdächtig“ gekennzeichnet und damit potenziell als Cyberattacke eingestuft.
Denn geht es darum, möglichst schnell und einfach an tausende Anmeldedaten zu gelangen, nutzen auch die Angreifer mittlerweile modernste Technologien. Als häufigste Methode gilt derzeit Credential Stuffing. Dabei wird eine große Zahl von Anmeldelisten automatisiert über Botnetze für diverse Online-Konten ausgetestet.
Um neben Brute-Force-Angriffen und Passwortlecks auch dieser Angriffsart wirksam begegnen zu können, brauchen Unternehmen integrierte Werkzeuge, die Anomalien systematisch erkennen und ein entsprechendes Schutzlevel abrufen. Das funktioniert über standardisierte Identitäts-Schnittstellen, die sowohl Passwörter als auch passwordless schützen. Zudem kann darüber die Multifaktor-Authentifizierung, also die Stärke des Authentifizierungsgrads je nach Dienst, der abgerufen wird, schnell und flexibel gesteigert werden.
Identitäts-API-Plattformen in der As-a-Service-Ausführung ermöglichen eine Implementierung und Wiederverwendung von Identity Services über viele digitale Plattformen und Dienste hinweg.
Die wichtigsten Funktionen der Identitäts-API-Plattformen
Identitäts- und Benutzerverwaltungs-APIs: Diese ermöglichen die Verwaltung von Identitäten und Benutzerkonten ermöglichen, einschließlich der damit verbundenen Verzeichnisdienste und Datenbanken.
Authentifizierungs-APIs: Unterstützung von Authentifizierungsmethoden über APIs im Bereich von Benutzername/Passwort bis hin zu Biometrie und allem dazwischen. Außerdem Berücksichtigung von SSO (Single Sign-On) und Bereitstellung von SessionManagement.
Autorisierungs-APIs: Dieses steuern die Berechtigungen von Benutzern oder Administratoren auf Ressourcen steuern, wie zum Beispiel Policy Management, rollenbasierte Zugriffskontrolle (RBAC, Role Based Access Control) oder dynamische Berechtigungen.
Auditierungs- und Compliance-APIs: Diese unterstützen die Überwachung des Zugriffs eines Benutzers auf Ressourcen oder die Änderungen eines Administrators am System unterstützen.
APIs, die Audit- und forensische Funktionen bereitstellen: Beispielsweise um bei branchenspezifischen Compliance-Anwendungsfällen und der Analyse von Sicherheitsvorfällen zu helfen.
Workflow- und Orchestrierungs-APIs: Programmierschnittstellen, die die Automatisierung von Workflows wie zum Beispiel Zugriffsanforderungen, Selbstregistrierung oder Einwilligung von Benutzern ermöglichen, darüber hinaus auch die Automatisierung der Orchestrierung von mehr als einem Workflow oder einer Aktivität.
API-Security: Die Funktionalität einer Anwendung, APIs gegen Cyberangriffe und andere Bedrohungen mithilfe von Methoden wie Verschlüsselung, Häufigkeitsbegrenzung, Inhaltsfilterung und Schemavalidierung zu schützen.
DevOps-APIs: APIs, die sowohl Entwicklern als auch dem Betriebsteam Unterstützungsoptionen für die jeweilige IT-Umgebung mit ihren Tools, der Automatisierung und der kontinuierlichen Integration bieten.
Über den Autor:
Kevin Switala ist Enterprise Sales Manager bei Auth0.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.