Identity Inspection- Identity Access Management - intension GmbH

Der intension Blog

Bleiben Sie am Ball mit Informationen rund um
Identity und Access Management.

Föderation digitaler Identitäten / Federated Identity Management

In vielen Organisationen haben sich IT-Systeme innerhalb der einzelnen Organisationseinheiten über Jahre hinweg unabhängig voneinander entwickelt. Dies führte zu einer steigenden Anzahl isolierter IT-Dienste und einer verteilten Verwaltung identitätsbezogener Informationen. Um sich auf aktuelle Entwicklungen einstellen zu können und die Konkurrenzfähigkeit aufrecht zu erhalten, stehen Organisationen nun vor der Herausforderung, Geschäftsprozesse nicht nur innerhalb einzelner Teilbereiche, sondern auch über die eigenen Organisationsgrenzen hinaus zu unterstützen.

Dies erfordert eine Vernetzung der IT-Systeme und bedarf eines übergreifenden Identity Managements, welches eine Kopplung dieser isolierten Dienste und Systeme ermöglicht.

Die Lösung ist ein modernes, offenes und übergreifendes Identity und Access Management System, welches ein föderatives Identitätsmanagement (Federated Identity Management, FIM) unterstützt. Moderne Identity und Access Management Produkte sind in der Lage, digitale Identitäten sowohl zentral als auch dezentral verwalten und zwischen mehreren administrativ eigenständigen Systemen auszutauschen zu können.

Federated Identity Management

Das föderative Identitätsmanagement stellt durch seine Dezentralität und Modularität einen vielversprechenden Ansatz sowohl für organisationsinterne als auch organisationsübergreifende Szenarien dar. Der föderative Ansatz lehnt sich hierbei mehr an den Grundgedanken von Peer-to-Peer-Systemen an, als an den Grundgedanken klassischer „zentralisierter“ Identity Management Systeme.

Was ist Föderiertes Identity Management?

Föderiertes Identity Management ist eine sichere und nachvollziehbare Vereinbarung, die zwischen zwei oder mehr vertrauenswürdigen Domains, sog. „Trust Domains“ getroffen werden kann, um Benutzern dieser Trust Domains den Zugriff auf Anwendungen und Dienste mit einer digitalen Identität zu ermöglichen. Eine solche Identität wird als Föderierte Identität bezeichnet; die Umsetzung eines solchen Ansatzes wird als Identity Federation bezeichnet.

Föderiertes Identity Management basiert auf dem Vertrauen zwischen zwei oder mehr Trust Domains. Eine Trust Domain kann beispielsweise eine Partnerorganisation, eine Geschäftseinheit, eine Tochtergesellschaft usw. sein.

In jeder modernen Organisation wird Identity und Access Management (IAM) mittels einer Identity und Access Management Lösung umgesetzt. Moderne IAM-Lösungen sind in der Lage, digitale Identitäten auch mit anderen IAM-Lösungen auszutauschen. Diese Funktion wird als ein Identity Broker bezeichnet. Ein Identity Broker ist ein Service, der Zugangskontrollen zwischen verschiedenen identitätsverwaltenden Systemen steuert.

Häufig verwendete Begriffe in diesem Zusammenhang:

Ein Identity Provider ist für die Bereitstellung digitaler Identitäten verantwortlich.

Ein Resident Identity Provider ist für die Bereitstellung der digitalen Identitäten innerhalb seiner Trust Domain verantwortlich. Manchmal wird dies auch als lokaler Identity Provider bezeichnet.

Ein föderierter Identity Provider verantwortet die Bereitstellung digitaler Identitäten, die zu einer anderen bestimmten Trust Domain gehören. Zwischen den verschiedenen Identity Providern wird eine Vertrauensbeziehung aufgebaut.

Federated Identity Provider

Der Begriff Federated Identity Provider bezeichnet einen Identity Broker, der sich auf die sichere Vermittlung digitaler Identitäten zwischen mehreren Identity Providern auf der Grundlage von Vertrauensbeziehungen spezialisiert hat.

User Life Cycle Management; Identity Life Cycle Management; intension Identity und Access Management Suite; intension GmbH

Identity und Access Management mit der intension Identity und Access Management Suite

Identity Federation bietet eine Reihe von Vorteilen:

Benutzer müssen sich nur einen Login merken, was eine reibungslose Benutzerführung ermöglicht.

Vermeidet Verwaltungsaufwand, indem die Verantwortlichkeiten für die Verwaltung von Konten und Passwörtern an den Federated Identity Provider delegiert werden, anstatt mehrere Identitätssilos zu verwalten.

Senkt die Kosten für die Identitätsverwaltung und -speicherung.

Verringert bzw. vermeidet Datenschutz- und Compliance-Probleme.

Single Sign On wird in den meisten Implementierungen unterstützt.

Anwendungsfälle des föderierten Identity Managements:

Ermöglichen Sie Ihren Anwendern Zugriff auf die Systeme von Lieferanten und Geschäftspartnern, also außerhalb Ihrer eigenen Organisation.

Bieten Sie Benutzern nach Fusionen und Umorganisationen schnellen und sicheren Zugang zu den erforderlichen Systemen

Bieten Sie Benutzern Zugang zu kommerziellen Identitätsanbietern wie bspw. der Deutschen Post AG.

Bieten Sie Kunden die Möglichkeit, sich mit ihrem Social Login über bspw. Facebook oder Google, an Ihren Unternehmensanwendungen und Web-Portalen anzumelden.

Als temporäre Anordnung zur Unterstützung des Übergangs zwischen IAM-Systemen.

Inbound und Outbound Identity Federation

Identity Federation gliedert sich grob in zwei Bereiche:

Inbound Identity Federation

Outbound Identity Federation

In einem Identity Federation Workflow wird ein Identity Broker, der eine Assertion von einem anderen Identity Broker erhält, als Inbound Identity Federation bezeichnet. Mit anderen Worten, die Inbound Identity Federation ermöglicht es Ihnen, Zugang zu Ihren Anwendungen und Diensten für Identitäten zu gewähren, die außerhalb der traditionellen Grenze/Trust-Domain Ihres Unternehmens liegen.

Analog dazu wird ein Identitätsanbieter, der eine Assertion erstellt, die von einem anderen Identitätsbroker verwendet werden soll, als Outbound Identity Federation bezeichnet. Die Outbound Identity Federation ermöglicht Identitäten in Ihrer Organisation den Zugriff auf Anwendungen und Dienste, die sich außerhalb Ihrer Unternehmensgrenze/Trustdomäne befinden.

Identity Federation vs. Single Sign On

Die meisten föderierten Identity und Access Management Lösungen sind so implementiert, dass Benutzer nicht mehr als einmal pro angemeldeter Sitzung ihre Identität nachweisen müssen. Single Sign On ist allerdings nicht gleichbedeutend mit Identity Federation. Single Sign On basiert jedoch auf der Art und Weise, wie Identity Federation umgesetzt wird.

Auf der anderen Seite können nicht alle Single Sign On Implementierungen als Identity Federation kategorisiert werden. So ist beispielsweise die Integrierte Windows-Authentifizierung (IWA), die auf dem Kerberos-Netzwerk-Authentifizierungsprotokoll basiert, ein Beispiel für eine Single Sign On Implementierung über Anwendungen und Dienste hinweg, wird aber nicht als eine Identitätsföderation betrachtet, da sie auf ein bestimmtes (Windows-) Netzwerk beschränkt ist.

Bring Your Own Identity – Customer Identity und Access Management

Seitdem der Trend zur Nutzung sozialer Identitäten für den Zugriff auf Unternehmens-Anwendungen und -Diensten immer mehr an Fahrt aufnimmt, wurde der Begriff „Bring Your Own Identity“ (BYOID) immer populärer. Obwohl BYOID häufig im Zusammenhang mit sozialen Identitäten verwendet wird, gilt das Konzept für jede föderierte digitale Identität.

Viele Anwendungsfälle von BYOID finden sich häufig im Customer Identity und Access Management (CIAM). Sie können als „BYOID for sign-up“, „BYOID for sign-in“ und „BYOID to connect“ weiter unterteilt werden. Obwohl technisch gesehen alle diese Anwendungsfälle dem gleichen Ablauf folgen, gibt es Unterschiede:

Das Ziel von „BYOID for sign-up“ ist es, die Benutzerfreundlichkeit des Selbstregistrierungsprozesses beim Anlegen eines Benutzerkontos zu verbessern, indem ein Teil oder die vollständigen Profilinformationen abgerufen werden, die notwendig sind, um ein Benutzerkonto im zwischengeschalteten Identity Broker unter Verwendung einer von einem Dritten verwalteten Identität zu erstellen.

Das Ziel von „BYOID for sign-in“ ist es, den Anmeldevorgang für den Endbenutzer so reibungslos wie möglich zu gestalten, wobei nur minimale Aufforderungen für zusätzliche Eingaben wie möglich erforderlich sind.

Das Ziel von „BYOID to connect“ ist es, das lokale Benutzerprofil einfach mit zusätzlichen/fehlenden Informationen anzureichern/zu füllen.

Föderation digitaler Identitäten / Federated Identity Management - intension GmbH

Federated Identity Management mit den Lösungen der intension GmbH

Verknüpfung von föderierten Konten

Eine der Hauptaufgaben eines Federation Identity Providers ist die sichere Zuordnung und Verknüpfung einer Identität in mehreren Identity Providern mittels eines eineindeutigen digitalen Identifikators. Dies wird als Verknüpfung von föderierten Konten bezeichnet.

Ohne die Verknüpfung von föderierten Konten wird ein Identity Federation Provider einfach nur zwischen einem Dienstanbieter und einem föderierten Identitätsanbieter vermitteln. Diese Art der Föderation wird häufig in unkritischen Anwendungen und Diensten wie öffentlichen Foren, dem Herunterladen von Marketingmaterial usw. gesehen.

Just-in-Time Account Provisioning

Just-in-Time Account Provisioning wird verwendet, um ein Konto für den Benutzer in einem zwischengeschalteten Identitätsbroker „on the fly“ einzurichten.

Just-in-Time Password Provisioning

Die Just-in-Time Passwortbereitstellung ist ein optionaler Schritt der Just-in-Time Kontobereitstellung. Der Bedarf an dieser Art von Bereitstellung hängt im Allgemeinen von den kombinierten Konto- und Passwortrichtlinien des Unternehmens und den Anwendungen ab, auf die der Benutzer zugreifen wird.

Unterstützung von IAM-Transitionen

Identity Federation kann auch als Übergangsstrategie für IAM verwendet werden. Es kann den Übergang von mehreren dezentralen Quellbenutzerverzeichnissen zu einem einzigen zentralen Zielbenutzerverzeichnis erleichtern. Sobald alle Konten schließlich migriert sind, können Sie sich entscheiden, diese föderierten Identity Provider, welche die verteilten Verzeichnisse verwalten, zu trennen.

Fazit und Ausblick

Frithard Meyer zu Uptrup, Geschäftsführer intension GmbH

„Dieser Artikel konzentriert sich auf das Federated Identity Management und seine Verwendung. Es gibt viele Identitätsföderationsprotokolle wie SAML 2.0, OAuth 2.0, Web SSO, OpenID Connect, WS-Trust, WS-Federation, etc.

Unsere Identity und Access Management Suite unterstützt alle relevanten Protokolle sowie Schnittstellen und eignet sich gleichermaßen als vollständige, „stand alone“ IAM-Lösung und als Lösung für das Federated Identity Management. Unser Produkt verfügt über ein leistungsfähiges Identitätsmanagement- und Identitätsföderations-Framework, das ihr die Möglichkeit gibt, jede Aufgabe eines Identity Brokers zu übernehmen.

Für eine übergreifende Föderation digitaler Identitäten müssen verschiedene, identitätsverwaltende Systeme sicher integriert werden können. Unsere Produkte unterstützen alle relevanten Systeme und Standards und werden seit vielen Jahren u.a. von Deutschlands größtem IT-Dienstleister eingesetzt. Erfahren Sie weitere Details in unserem Referenzbericht mit T-Systems.“

intension IAM-Suite bei der Deutschen Telekom

Lesen Sie HIER, wie die Deutsche Telekom auf die skalierbare und hochverfügbare IAM-Lösung von intension setzt.

Fragen? Wir haben Antworten!

Wir freuen uns auf Ihre Nachricht.

Betreff *

Name *

E-Mail *

Telefon

Wann dürfen wir Sie zurückrufen?

Nachricht *

Bitte lasse dieses Feld leer.
Bitte Text einfügen

Bitte beweise, dass du kein Spambot bist und wähle das Symbol Stern aus.

Hiermit willige ich ein, dass mich die intension GmbH mittels Telefon, E-Mail oder Post kontaktieren darf. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@intension.de oder über dieses Kontaktformular widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird. Unsere Datenschutzerklärung.

Autor: summ-it Unternehmensberatung

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Monate

Akzeptieren	Facebook
Name	Facebook
Anbieter	Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
Zweck	Wird verwendet, um Facebook-Inhalte zu entsperren.
Datenschutzerklärung	https://www.facebook.com/privacy/explanation
Host(s)	.facebook.com

Akzeptieren	Twitter
Name	Twitter
Anbieter	Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07, Ireland
Zweck	Wird verwendet, um Twitter-Inhalte zu entsperren.
Datenschutzerklärung	https://twitter.com/privacy
Host(s)	.twimg.com, .twitter.com
Cookie Name	__widgetsettings, local_storage_support_test
Cookie Laufzeit	Unbegrenzt