janews094 - stock.adobe.com
Vor- und Nachteile beim Management föderierter Identitäten
Immer mehr Unternehmen gewähren auch externen Nutzern Zugriff auf ihre Daten und Anwendungen. Ein guter Ansatz beim Identitäts-Management sind hier föderierte Identitäten.
Früher kontrollierten die für das Identitäts-Management zuständigen IT-Teams nur den Zugriff auf die Ressourcen innerhalb einer einzigen Sicherheitsdomäne. Aber in den letzten Jahren griffen interne Benutzer zunehmend auf externe Ressourcen zu; umgekehrt gewähren Firmen auch immer mehr externen Benutzern den Zugriff auf interne Daten und Anwendungen. Damit werden die traditionellen Ansätze beim Identitäts-Management komplexer und schwieriger zu verwalten.
Als Antwort auf diesen wachsenden Trend setzen viele Unternehmen auf die Verwaltung von föderierten Identitäten (Federated Identities), um Benutzern die Arbeit über mehrere Systeme hinweg zu erleichtern und gleichzeitig den Verwaltungsaufwand zu reduzieren, der sich aus der Unterstützung des Zugriffs auf diese Systeme ergibt.
Föderierte Identitäten – eine Einführung
Föderierte Identitäten verbinden die Identität eines Benutzers über mehrere Sicherheitsdomänen hinweg, wobei jede ihr eigenes System für die Verwaltung der Identitäten unterstützt. Wenn zwei Domains miteinander verbunden sind, kann sich der Benutzer bei einer Domain authentifizieren und dann auf Ressourcen in der anderen Domain zugreifen, ohne sich ein zweites Mal anmelden zu müssen.
Beispielsweise könnte eine Gruppe von Firmen, die gemeinsam an einem Projekt arbeiten, eine Identitätsföderation bilden, damit Benutzer aus den beteiligten Firmen einfacher Daten nutzen und mit den anderen Teilnehmern austauschen können. Dank der föderierten Identität müssen sich die Nutzer nur einmal authentifizieren und können dann die Ressourcen aller Domänen verwenden. Die Administratoren können in ihren eigenen Domänen auch weiterhin die Zugriffsrechte steuern und kontrollieren.
Eine wichtige Komponente der föderierten Identität ist Single Sign-On (SSO). Mit diesem Mechanismus authentifizieren sich die Benutzer nur einmal mit ihren Anmeldeinformationen für den Zugriff auf mehrere Systeme oder Anwendungen. Föderierte Identitäten und SSO werden zwar manchmal in denselben Topf geworfen, unterscheiden sich als Systeme aber deutlich. Gleichzeitig ist Identity Federation stark auf SSO-Technologien angewiesen, um Benutzer domainübergreifend zu authentifizieren.
Die Identitätsföderation soll Barrieren beseitigen, die Benutzer daran hindern, einfach auf verteilte Ressourcen zuzugreifen, wenn sie diese benötigen. Benutzer müssen keine neuen Konten erstellen oder sich die Anmeldeinformationen für jede Domain merken, und sie müssen ihre Anmeldeinformationen nicht erneut eingeben, wenn sie von einer Domain in die andere wechseln. Ziel ist es, einen möglichst nahtlosen Prozess zu schaffen und gleichzeitig den Anwendern den Zugriff auf die von ihnen genutzten Ressourcen zu ermöglichen.
Die Rolle des Managements föderierter Identitäten
Beim Einsatz von föderierten Identitäten müssen sich Administratoren kaum mit Problemen auseinandersetzen, die mit einem ausgewogenen Zugriff auf verschiedene Domains verbunden sind. Beispielsweise ist es nicht notwendig, ein spezielles System zu entwickeln, um den Zugriff auf die Daten und Anwendungen einer externen Organisation zu erleichtern.
Auch Anwendungen, die auf Ressourcen in mehreren Sicherheitsdomains zugreifen, profitieren davon.
Um diese Vorteile zu realisieren, müssen IT-Teams ein umfassendes Identity Federation Management implementieren. Identity Federation Management beschreibt als Oberbegriff den Prozess der Verwaltung aller Komponenten, die in eine umfassende Identity-Federation-Plattform einfließen. Dazu gehören nicht nur die Technologien, die eine Föderation ermöglichen, sondern auch die Vereinbarungen, Richtlinien, Standards und andere Elemente, die festlegen, wie der Service umgesetzt wird.
Damit die Föderation der Identitäten funktioniert, müssen sich alle Mitglieder auf diese Elemente einigen. Sie sollten entscheiden, welche identifizierenden Attribute wie E-Mail, Name und Funktion im Unternehmen sie aufnehmen wollen, wie diese Attribute intern dargestellt werden sollen und welchen Standard sie für den Austausch von Daten für die Authentifizierung und Autorisierung verwenden. Üblicherweise gilt für die föderierten Identitäten die Security Assertion Markup Language (SAML) als Standard. Daher müssen alle Mitglieder diesen Standard einhalten, wenn sie sich darauf einigen.
Die Einigung über all diese Elemente kann der schwierigste Teil der Implementierung einer Identitätsföderation sein, es sei denn, ein Unternehmen meldet sich einfach bei einer bestehenden Föderationsplattform an, wie sie beispielsweise Microsoft oder Facebook anbieten. Wenn das der Fall ist, hat das für das Hosting verantwortliche Unternehmen diese Entscheidungen bereits getroffen.
Firmen, die gemeinsam ihre eigene Föderation gründen wollen, haben es schwieriger, weil die teilnehmenden Mitglieder sich über alle Komponenten einigen müssen. Dieser Prozess kann durch lokale Systeme für Identitäts-Management, regionale Gesetze und Vorschriften und Teilnehmer, die Mitglieder mehrerer Föderationen sind, erschwert werden. Darüber hinaus muss eine der Firmen als zentrale Instanz fungieren. Das kann eine große Herausforderung sein.
Identity Federation Management eignet sich auch für ein einzelnes Unternehmen, das mehrere Sicherheitsdomains verwaltet, um den Föderationsprozess besser kontrollieren zu können. Da es sich hier um eine relativ junge Technologie handelt, deren genaue Bedeutung sich noch entwickelt, können die Spezifikationen von Quelle zu Quelle variieren.
So stellt man föderierte Identitäten bereit
Trotz der Herausforderungen, die mit der Verwaltung von föderierten Identitäten verbunden sind, treiben viele Unternehmen ihre eigenen Projekte voran. Diese sind nur erfolgreich, wenn die Verantwortlichen im Vorfeld die Projektziele klar und genau definieren, damit alle Beteiligten genau verstehen, was erreicht werden soll.
Die Teilnehmer müssen außerdem so viel wie möglich über die Mitglieder der Föderation erfahren und wissen, was sie von diesen Mitgliedern zu erwarten haben. Wenn ein Unternehmen einer bestehenden Föderation beitritt, muss das IT-Team die Regeln verstehen, denen es zustimmt, welche Standards es einhalten und welche Informationen es austauschen muss. Für Unternehmen, die bei null anfangen, müssen IT-Teams alles über die anderen Mitglieder lernen, einschließlich Details, wie etwa welche Informationen sie mit ihren Partnern teilen und welche Gesetze ihren Betrieb regeln.
Nachdem die IT-Teams die notwendigen Informationen gesammelt haben, beginnt die Planung. Wenn sie nicht einer bestehenden Föderation beitreten, müssen sie einen Konsens darüber finden, wie sie die Identitätsföderation umsetzen können. Sie müssen sich über die Software- und Hardwareanforderungen, Konfigurationsrichtlinien, Attributtypen und -standards, Richtlinien für die An- und Abmeldung und unzählige andere Überlegungen einigen. Jedes IT-Team muss auch seinen eigenen Einsatz im Rahmen der Standards und Vereinbarungen der Föderation planen.
Der wichtigste Aspekt im Rahmen der Planung sind die sicherheitsrelevanten Fragen. Die Teilnehmer müssen Mindeststandards für Sicherheit festlegen, auf die sich alle Mitglieder einigen können. Die Standards sollten Details darüber enthalten, wie man Systeme auditiert, Daten protokolliert und gleichzeitig die Privatsphäre schützt. Die Mitglieder sollten auch festlegen, welche sicherheitsrelevanten Technologien sie verwenden und wie sie Daten sichern.
Während des gesamten Prozesses sollten die Teams die Bedürfnisse der Nutzer berücksichtigen. Ziel ist es, deren Alltag mit föderierten Identitäten zu verbessern, und nicht ihr Leben weiter zu erschweren. IT-Teams sollten den Benutzern klare Anweisungen geben, wie sie ihre Konten einrichten, sowie sie mit Informationen zum Datenschutz und zur Verwendung ihrer Anmeldeinformationen versorgen. Zudem ist es ratsam, Fehler-, Warn- und Informationsmeldungen prägnant und nützlich zu formulieren.
Wenn föderierte und lokale Anmeldemöglichkeiten nebeneinander existieren, sollten die Optionen klar und die Verfahren intuitiv und leicht verständlich sein.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!