Titelbild IAM Experte Identity Provider

Identity Provider – ein Schlüssel für viele Schlösser

Identity Provider – ein Schlüssel für viele Schlösser

Die IT-Landschaft eines Unternehmens besteht meist aus fragmentierten Anmeldeseiten und Single Sign-On Endpunkten. Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Darüber hinaus soll die Abhängigkeit von herstellerspezifischen Produkten und proprietären Protokollen in einer Web-Authentisierungslandschaft minimiert werden. Hier empfiehlt sich die Nutzung von einem zentralen Service, welcher die Authentifizierung, Token-Generierung und Bereitstellung der Nutzerinformationen für alle angeschlossenen Applikationen in unterschiedlichen Netzwerkzonen ermöglicht. 

Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Kundenspezifisch und anwenderfreundlich

Wie ein Schlüssel für mehrere Schlösser wird der Identity Provider eingesetzt, um den Zugang zu den unterschiedlichen Portalen und Anwendungen für Mitarbeitende so einfach wie möglich zu gestalten.

Unterschiedliche Identity Provider kümmerten sich bisher um die Anmeldungen, dadurch wurde es für das Unternehmen sowie seine Anwender zusehends unübersichtlich. Eine anwenderfreundlichere Lösung war gefragt. 

Bei der Konzeptionierung und anschliessenden Implementierung des zentralen Identity Provider waren für den Kunden die Verbindung (Connectivity) und Funktionalität über verschiedene Netzwerkzonen sowie die Verknüpfung mehrerer Verzeichnisdienste die größten Herausforderungen. Mit einem zentralen IdP erhalten alle Benutzer aus den verschiedenen Bereichen des Unternehmens eine einheitliche Login-Seite.

Authentifizierungs- und Autorisierungsmechanismen als die wichtigsten Komponenten

Die zwei wichtigsten Komponenten des Prozesses zur Nutzung eines zentralen IdP sind die Authentifizierungs- und Autorisierungsmechanismen. Bei der Authentifizierung besteht das Hauptziel darin, die Identität des Benutzers oder des Systems zu bestimmen, um sicherzustellen, dass jede Person diejenige ist, für die sie sich ausgibt. Sobald die Authentifizierung erfolgreich durchgeführt wurde, beginnt der Prozess der Autorisierung. Dieser definiert, welche Zugriffsrechte der Benutzer oder das System haben soll. Dabei sind diese beiden wichtigen Komponenten eng miteinander verknüpft. Um die maximale Sicherheit der Systeme zu gewährleisten, müssen beide korrekt entworfen und konfiguriert werden.

Der Authentifizierungsprozess kann auf der Grundlage verschiedener, vom IdP bereitgestellter Anmeldemethoden, durchgeführt werden.

Die Authentifizierung

Die formularbasierte Anmeldung, der Klassiker

Eine der bekanntesten Authentifizierungsmethoden ist die formularbasierte Anmeldung via Benutzername und Passwort, falls diese noch zum Einsatz kommen und noch nicht komplett durch eine Multifaktor-Authentifizierung abgelöst wurde.

Die Multifaktor-Authentifizierung (MFA) für ein zentrales IdP-System

Die Multifaktor-Authentifizierung (MFA) ist eine weitere Anmeldemethode, welche vom IdP ermöglicht wird. Dieser Mechanismus ergänzt die Anmeldung mit Passwort, indem nach einem weiteren Identitätsnachweis (Faktor) verlangt wird. Dies kann zum Beispiel eine Mobiltelefon-App, SMS oder ein physisches Gerät sein, welches ein One Time Passwort (OTP) generiert.

Zertifikatsbasierte Authentifizierung mit dem Dienstausweis

Eine der sichersten Zwei-Faktor Authentifizierungen ist die zertifikatsbasierte Authentifizierung. Sie wird in Form einer Smart Card realisiert, welche der Kunde idealerweise auch zeitgleich als Ausweis für die Zutrittsberechtigung in Gebäuden verwendet. Diese enthält die von der PKI-Zertifizierungsstelle (Public Key Infrastructure) ausgestellten Zertifikate inkl. privaten und öffentlichen Schlüsseln. Bereits beim ersten Aufruf des IdP wird überprüft, ob das Endgerät ein Zertifikat mit passendem Verwendungszweck vorweisen kann und fordert diesen zur Auswahl des Zertifikats oder direkt zur Eingabe eines PIN auf. So wird sichergestellt, dass initial eine sichere und einfache Anmeldemethode verwendet wird.

Risikobasierte Authentifizierung (RBA) für den Verdachtsfall

Die risikobasierte Authentifizierung (RBA) oder adaptive Authentifizierung ist eine weitere Sicherheitsebene, die bei dem Kunden am IdP implementiert wird. Der risikobasierte Authentifizierungsmechanismus bewertet das Risikoprofil eines Benutzers auf der Grundlage von Faktoren wie Endgerät, Standort und das Netzwerk, über welches der Benutzer versucht auf die Ressource zuzugreifen. Diese faktoren spielen hier ebenso eine Rolle, wie die Empfindlichkeit der Ressource selbst. Im Falle eines verdächtigen Zugriffs auf eine Ressource wird eine zusätzliche Authentifizierung verlangt.

Die Verwendung eines IdP hat den großen Vorteil, dass eine oder jede Kombination der oben genannten Authentifizierungsmethoden für die jeweiligen Anwendungen implementiert und bearbeitet werden kann. Damit ist die Notwendigkeit für unterschiedliche Authentifizierungen der einzelnen Applikationen nicht mehr gegeben. Darüber hinaus kann der Authentifizierungsmechanismus dieser Anwendung bei etwaigen Änderungen über den IdP bearbeitet werden.

Die Autorisierung

Autorisierung auf Basis der Authentifizierung

Die optionale Autorisierung durch den IdP erfolgt auf Basis der bereits genannten Stärke-Stufen der Authentifizierung, welche pro Applikation definiert werden. Der IdP kann mit diesen Informationen die jeweiligen Zugriffsentscheidungen treffen und gewährt dem Anwender Zugriff auf das Zielsystem, fordert eine stärkere Authentifizierungsstufe oder blockiert den Zugriff.

Identität und Single Sign-On für Applikationen

Sobald die Identität und die Zugriffsrechte des Benutzers festgestellt wurden, kann ein Austausch von dessen Attributen mittels SSO-Protokolls erfolgen. Die Auswahl des Protokolls ist abhängig von den Fähigkeiten der Service Provider (SP). Aktuelle Anwendungen nutzen überwiegend SAML 2.0 oder OIDC für die Authentifizierung und nehmen jeweils den Token dieser Protokolle entgegen.

Die Herausforderung bei diesem Prozess besteht darin, dass jede Anwendung unterschiedliche Attribute für die Authentifizierung verlangt, zum Beispiel E-Mail-Adresse oder UserID usw.

Mit den Informationen aus dem Token kann die Applikation bei Bedarf eine Autorisierung selbst durchführen. Zum Beispiel wird anhand einer Liste von Rollenmitgliedschaften entschieden, welche Zugriffsrechte der Benutzer hat, da der IdP diese Informationen in den Token schreiben kann.

Es muss vorab klar definiert sein, welche Daten in den jeweilige Token geschrieben werden, um dann die einzufügenden Attribute zu konfigurieren. Für SAML 2.0 wird die existierende Assertion im XML-Dateiformat erweitert und für OIDC der JSON Web Token (JWT) angepasst.

IdP für mehr Komfort und besseren Überblick

Die Implementierung eines IdP spiegelt den Grundgedanken wider, die Anwendung separat zu betrachten und über standardisierte Protokolle erreichbar zu machen, um so eine maximale Flexibilität zu erreichen und Software-Produkte austauschbar zu machen.

Vorteile:

  • Kein Vendor Lock-in-Effekt
  • Access Enforcement kann mit anderen Produkten erfolgen
  • Nutzung einer existierenden Identity Plattform
  • Einheitlicher Login Prozess aus Benutzersicht

Nachteile:

  • Initiale Konfiguration aufwendig
  • Der IdP muss gegen Ausfall abgesichert sein

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Unsere Experten stehen mit Ihrem langjährigen Know-how für kundenspezifische Applikationen gerne bereit. 

Wissen

Migration – Eine Aufgabe, viele Möglichkeiten

Wird eine Software nicht länger vom Hersteller unterstützt, so sieht man sich schnell in der Pflicht, eine alternative Softwarelösung zu suchen. Um eine optimale Vorgehensweise zu ermitteln, unterstützt X-INTEGRATE bei diesem Prozess mit kompetenter Beratung und umfangreichen Erfahrungswerten.

Lösung

Storyblok – dein Schlüssel zur digitalen Exzellenz!

In einer Zeit, in der gute Inhalte entscheidend sind und Flexibilität unerlässlich ist, bietet Storyblok eine herausragende Lösung, um das volle Potenzial deiner Online-Präsenz auszuschöpfen.

Lösung

Google Analytics: Dein Schlüssel zu tieferen Einblicken

Google Analytics bietet tiefgehende Einblicke in deine Online-Präsenz. Unsere Partnerschaft mit Google garantiert dir Zugang zu den neuesten Tools und Ressourcen.

Blog 11.03.22

Customer Centricity als Schlüssel des Erfolgs der GAFA-Unter

Nachdem ich im vorausgegangenen Podcast erklärt habe, um was es sich bei den GAFAs handelt, gehe ich in dieser Folge auf den Schlüssel ihres großen Erfolgs ein. „Customer Centricity is key to success“. Auf gut Deutsch heiße das, wer Kunden dauerhaft an sich binden möchte, muss sich über den Kaufprozess seiner Produkte und Dienstleistungen Gedanken machen. Denn Kunden gibt bei jedem Kauf, oft ganz unbewusst, eine emotionale Bewertung ab. „Wenn das, was ich bekomme, mir mehr Freude bringt als das, was ich gebe, bin ich mit dem Kauf glücklich“. Dabei gilt es, den Kunden in den vier Bereichen Kopf, Herz, Magen und Genital glücklich zu machen.

Kritische Sicherheitslücke in log4j
News

log4j Sicherheitslücke: Produkte vieler Hersteller betroffen

Es wurde eine kritische Sicherheitslücke in der Protokollierungsbibliothek Log4j für Java Anwendungen entdeckt. Unter anderem Produkte von Atlassian, Google, HCL, IBM, Microsoft, und Talend betroffen. Wir unterstützen Sie!

Titelbild zum Expertenbericht Fabric Identity - IAM
Blog 29.08.22

Identity Fabric

So können Unternehmen die effiziente Verwendung von Identitäten für die Digitalisierung nutzen und einen Wettbewerbsvorteil erzielen.

Titelbild IPG Partner Ping Identity
Partner

Ping Identity

Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity Security-Lösungen.

Titelbild OneIdentity by Quest
Partner

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Technologie Übersicht 07.08.20

One Identity

Bei One Identity dreht sich alles um das Thema IT-Sicherheit. Das Tochterunternehmen des Softwareherstellers Quest unterstützt seine Kunden bei der Entwicklung einer identitätsorientierten Sicherheitsstrategie. Dafür stellt es ein umfassendes Portfolio mit Lösungen zur Identitäts- und Zugriffsverwaltung zur Verfügung.

Titelbild OneIdentity by Quest

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Titelbild OneIdentity by Quest
Partner 17.08.21

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Titelbild IPG Partner Ping Identity

Ping Identity

Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity Security-Lösungen.

Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Presse 09.09.20

Fachbeitrag: Plattform für E-Mobility Service Provider

Besitzer von Elektroautos haben die Ladeanzeige der Akkus stets im Blick. Geht sie gegen Null, beginnt die Suche nach der nächstgelegenen Ladesäule, um die Fahrt fortzusetzen. Hier kommen Apps zum Einsatz, die den kürzesten Weg zur kostbaren Elektrotankstelle und deren Kapazität zeigen.

Blog 09.02.24

Ein Public Cloud Cheat Sheet der führenden Cloud Provider

Der Blogbeitrag bietet dir einen umfassenden Überblick über die aktuelle Landschaft der Public Cloud, insbesondere im Kontext von OVHcloud als führendem europäischen Cloud-Computing-Unternehmen. Das "Public Cloud Cheat Sheet" ist ein nützlicher Wegweiser durch die komplexe Welt der Public Cloud, unterteilt in acht Disziplinen. Diese Disziplinen reichen von Speicherdiensten über Datenbanken, Rechnersysteme, Orchestrierung, Netzwerk, Data & Analytics, KI bis hin zum Management.

Event 19.10.21

Enterprise Identity Roadshow

"The Future of Identity is Here" lautet der Leitsatz der ersten Enterprise Identity Roadshow am 18. November in München. Treffen Sie die IAM-Experten der TIMETOACT GROUP und tauschen Sie sich zu Innovationen und Fallstudien rund um Cybersicherheit aus.

Nov 18
Blogbeitrag Microsoft Identitäts Manager
Blog 30.06.22

Wie weiter mit dem Microsoft Identity Manager?

Microsoft wird das Portal in naher Zukunft nicht mehr unterstützen. Die Sync Engine bleibt noch bestehen und wird gerade im Azure Umfeld sehr häufig eingesetzt. Wir empfehlen unseren MIM Kunden nun das Thema anzugehen.

Expedition IAM
Blog 21.01.22

Die Expedition zum Identity Management

Die Expedition zum Identity Management - die etwas andere Phasenplanung im IAG.

Bild zum Newsbericht Governance
News 24.06.21

Wie steht es um Ihre Identity Governance?

Unser kostenloses Self Assessment gibt Ihnen einen Überblick über den Reifegrad der Identity Governance in Ihrem Unternehmen.

Teaser ipg cloud v3
Lösung

Enterprise Identity Cloud

Die Saviynt Enterprise Identity Cloud (EIC) ist die einzige konvergente Cloud-Identitätsplattform, die intelligenten Zugriff und umfassende Governance bietet. Ein modernes Identitätsmanagement mit einer Zero-Trust-Grundlage.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!