semisatch - stock.adobe.com

Kundenkonten verwalten: Wie unterscheiden sich CIAM und IAM?

Viele Firmen setzen bereits IAM-Lösungen für ihre Mitarbeiter ein. Lassen sich diese Systeme auch für das Management von Kunden-Accounts nutzen oder gibt es wichtige Unterschiede?

Was für Ihre Mitarbeiter gut ist, ist nicht immer auch das Richtige für Ihre Kunden. Sie würden ja auch nie Ihre Kunden bitten, Ihr Mitarbeiterhandbuch zu lesen und zu unterschreiben oder sie in das Fußball-Team Ihres Unternehmens einladen, oder?

Diese Binsenweisheit mag leicht verständlich sein. Sie aber in die Praxis umzusetzen, ist der wichtigste Punkt, wenn es um einen direkten Vergleich zwischen IAM und CIAM geht. IAM ist die bekannte Abkürzung für Identity and Access Management, während CIAM für Customer IAM oder Customer Identity and Access Management steht. Weil Ihre Kunden andere Bedürfnisse, Erwartungen und Beweggründe haben als Ihre Mitarbeiter, gehen sie auch anders mit Ihrer Organisation und Ihrer IT um. Das führt dazu, dass auch für die dabei eingesetzten Systeme andere Ziele gelten und andere Voraussetzungen erfüllt werden müssen.

Das alles ist keine nur schwer zu verstehende Raketenwissenschaft. Es ist aber wichtig, dass IT-Profis die feinen Unterscheide kennen und verstehen, die hier gelten. Das ist besonders dann von Bedeutung, wenn es um die Auswahl von geeigneten CIAM- und IAM-Tools geht, weil die Voraussetzungen, die enthaltenen Funktionen und die Bewertungskriterien sich unterscheiden und möglicherweise auch nicht immer dem entsprechen, was Sie in der Praxis von diesen Werkzeugen erwarten.

Auf Basis dieser Erkenntnisse wollen wir uns nun ausführlicher mit CIAM beschäftigen. Wir zeigen, wie sich diese Technik von einem traditionellen IAM unterscheidet und erklären welche Funktionen dabei unverzichtbar sind.

CIAM versus IAM

Den meisten IT-Profis ist bekannt, dass es bei IAM darum geht, autorisierten Einzelpersonen einen Zugang zu den von ihnen benötigten Ressourcen zum richtigen Zeitpunkt zu gewähren. Auch wenn bei den Überlegungen zum Identitätsmanagement meist auch Kunden und Nicht-Kunden (zum Beispiel feste Mitarbeiter, Aushilfskräfte, Vertragspartner und so weiter) mit einbezogen werden, dreht es sich doch bei der Mehrzahl der IAM-Systeme, die im Laufe der Jahre in den Unternehmen implementiert wurden, vor allem um eine Nutzergruppe: die eigenen Angestellten. IAM-Lösungen werden zum Bereitstellen neuer Nutzer-Accounts (sowohl On-Premises als auch in der Cloud), zum Verwalten von Zugriffsrechten, zur Unterstützung bei Compliance-Fragen, zum automatisierten Erledigen bestimmter Workflows im Unternehmen, für Autorisierung und Authentifizierung sowie für zahllose andere sicherheitsrelevante Aufgaben benötigt. Firmen, die diese Dienste optimieren und ausweiten wollen, stellen jedoch meist schnell fest, dass sie sie in etwas anderer Weise für ihre Kunden bereitstellen müssen.

Viele Unternehmen vertrauen auf die eigenen Programmierer, die verschiedene Applikationen entwickeln, die dann von den Kunden genutzt werden. In der Regel sind die dabei verwendeten Funktionen zur Authentifizierung relativ bescheiden. Ein Beispiel für eine solche Applikation ist etwa eine vor einiger Zeit schon erstellte Anwendung, die von den Kunden nur über ein bestimmtes Gerät genutzt werden kann. Die Lösung verwendet Identitäten, die die Kunden bei ihrer Registrierung selbst angelegt haben. Gespeichert werden die dabei erfassten Daten in einer eigenen Tabelle in einer internen Datenbank. Die in die Anwendung integrierten Mechanismen zur Authentifizierung und Kontrolle genügen aber meist nur für eine kleinere Zahl von Nutzern.

Für moderne Anwendungen reicht das nicht mehr aus, weil die Kunden jetzt mehr erwarten. Vor allem wollen sie nicht belästigt und in ihren Absichten behindert werden. Wo immer es möglich ist, erwarten sie heutzutage, dass sie verschiedene Dienste und Anwendungen in einer Organisation ohne Grenzen nutzen können, ohne sich dazu wiederholt neu anmelden zu müssen. Außerdem wollen sie, dass sie mehr als nur ein einziges Gerät verwenden können, um auf die gewünschten Services zuzugreifen. Dazu gehören die Smartphones und Tablets der Kunden bis zu ihren Fernsehern und sogar ihren Autos. Einmal begonnene Sitzungen sollen dabei von Plattform zu Plattform übertragen werden können. Essentiell für erfolgreiche Angebote sind auch schnelle Reaktionszeiten, gleichgültig, welche Tages- oder Nachtzeit gerade ist. Wenn Sie nicht in der Lage sind, diese Vorgaben zu erfüllen, aber ihr Konkurrent, wohin werden Ihre Kunden dann wohl abwandern?

Ein CIAM soll die aktuellen Erwartungen der Kunden in einer Weise erfüllen, die erweiterbar ist und die sich leicht an verschiedene Situationen anpassen lässt. Bei CIAM-Lösungen handelt es sich also um Systeme, die Erwartungen der Kunden unterstützen und die bei der praktischen Umsetzung genutzt werden können.

CIAM vs. IAM: Funktionen und Unterschiede

Aber worin unterscheiden sich nun konkret die Funktionen von CIAM- und IAM-Lösungen? Es gibt eine Reihe von wichtigen Unterscheidungsmerkmalen. Aus praktischer Sicht ist aber vielleicht der wichtigste Punkt die Frage der Skalierbarkeit. Ein CIAM muss in der Lage sein, sich auch in einem Umfang einsetzen zu lassen, der noch vor wenigen Jahren kaum denkbar war. Eine Nutzung durch mehrere Millionen Nutzer erzeugt einen Durchsatz, der weit höher liegt, als Sie vermutlich vermuten.

Nehmen wir als Beispiel einen Dienst wie Xing. Bei dieser Plattform sind über den ganzen Tag verteilt zahlreiche Logins zu erwarten. Aber wie sieht es Montagmorgen zwischen 8 und 9 Uhr aus? Oder wie ist es bei einer Plattform für elektronische Grußkarten während der Weihnachts- und Silvesterferien? CIAM-Systeme müssen nicht nur diese Spitzen verkraften können, es dürfen dabei auch keine spürbaren Verzögerungen auftreten. Dieses enorme Maß an Skalierbarkeit ist nachträglich praktisch nicht mehr hinzuzufügen. Es muss von Anfang an in eine Plattform mit eingeplant werden, wenn es später zu keinen Überlastungen kommen soll.

Darüber hinaus muss ein CIAM eine schnelle und flexible Authentifizierung der Kunden erlauben. Und zwar egal, welche Applikation von welchem Gerät auch immer er verwendet. Die Lösung muss fähig sein, einen Zugang zu in manchen Fällen Dutzenden modularen und anderweitig segmentierten Anwendungen zu ermöglichen, der sich über mehrere Umgebungen sowohl On-Premises als auch in der Cloud erstrecken kann. Dazu gehört auch ein nahtloser Login bei Diensten und Anwendungen, die von anderen Firmen bereitgestellt werden. Beispiele dafür sind etwa an Vertragspartner ausgelagerte Support-Dienste oder Plattformen für Echtzeitverkäufe und zugemietete Interfaces für Chat-Kontakte zwischen Mitarbeitern und Kunden.

Alles das muss nahtlos erfolgen, ohne dass der Kunde die Grenzen zwischen den einzelnen Diensten und Anwendungen zu spüren bekommt und auch ohne, dass er sich dazu erneut einloggen muss. Wie bereits erwähnt, muss dabei auch immer der aktuelle Authentifizierungsstatus erhalten bleiben. Diese Fähigkeit wird Omnichannel genannt. Wenn sich ein Kunde im direkten Chat-Kontakt mit einem Vertriebs- oder Support-Mitarbeiter befindet, dann muss es möglich sein, diese Verbindung auf ein anderes Gerät zu übertragen, ohne dass dazu die gesamte Session neu gestartet werden muss und ohne dass dabei eine erneute Authentifizierung verlangt wird.

Zu den benötigten Kernfunktionen von Customer IAM gehört auch eine maximale Flexibilität. Nur so können Sie spätere weitere Nutzungen integrieren, während Sie wachsen. Nehmen wir an, Sie benötigen anfangs nur zwei Nutzergruppen: Administratoren und normale Nutzer. Später benötigen Sie aber mehrere Service-Level für gewöhnliche Nutzer, aber auch für Gold- und Platinum-Kunden. Informationen wie diese über den Kunden und seinen aktuellen Status ermöglichen eine weitere Personalisierung der angebotenen Dienste. Das führt dann in der Regel dazu, dass auf bestimmte Funktionen erst nach einer weiteren Autorisierung zugegriffen werden darf oder dass zusätzliche Authentifizierungsmaßnahmen eingeführt werden müssen.

Wenn man CIAM und IAM direkt miteinander vergleicht, wird schnell klar, dass Customer IAM eine gemeinsame, leicht zugängliche und hochverfügbare sowie im Idealfall zukunftsfähige Lösung sein muss, die alle wesentlichen Informationen über Ihre Kunden aufnehmen kann. Je nach Ihren Ansprüchen und Zielen kann es sich dabei um ein Directory handeln, wie Sie es bereits für Ihre internen Nutzer einsetzen, oder um ein komplett anderes System. Einige Hersteller haben bereits damit begonnen, die von ihnen angebotenen Produkte auf bestimmte Zielgruppen auszurichten und sich auf das Thema CIAM zu spezialisieren. Dazu gehören erweiterte Funktionen zur Verwaltung der Kunden und eine höhere Skalierbarkeit dieser Lösungen. Traditionelle IAM-Anwendungen lassen sich in begrenzten Fällen auch noch einsetzen. Einige dieser Produkte sollen sich nach Angaben der Hersteller ebenfalls für die Verarbeitung von Kundendaten eignen. Sehr oft bedeuten die erweiterten Voraussetzungen und die andere Zielrichtung aber, dass Sie sich für ein alternatives beziehungsweise ein erweitertes Tool umschauen sollten, mit dem Sie Ihre Ziele besser umsetzen können.

Nächste Schritte

Mit maschinellem Lernen Kunden von Betrügern unterscheiden

IAM in Zeiten der EU-DSGVO

Mit Customer Service Analytics Kundenerfahrungen verbessern

Erfahren Sie mehr über Identity and Access Management (IAM)