Titelbild IAM Experte Identity Provider

Identity Provider – ein Schlüssel für viele Schlösser

Identity Provider – ein Schlüssel für viele Schlösser

Die IT-Landschaft eines Unternehmens besteht meist aus fragmentierten Anmeldeseiten und Single Sign-On Endpunkten. Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Darüber hinaus soll die Abhängigkeit von herstellerspezifischen Produkten und proprietären Protokollen in einer Web-Authentisierungslandschaft minimiert werden. Hier empfiehlt sich die Nutzung von einem zentralen Service, welcher die Authentifizierung, Token-Generierung und Bereitstellung der Nutzerinformationen für alle angeschlossenen Applikationen in unterschiedlichen Netzwerkzonen ermöglicht. 

Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Kundenspezifisch und anwenderfreundlich

Wie ein Schlüssel für mehrere Schlösser wird der Identity Provider eingesetzt, um den Zugang zu den unterschiedlichen Portalen und Anwendungen für Mitarbeitende so einfach wie möglich zu gestalten.

Unterschiedliche Identity Provider kümmerten sich bisher um die Anmeldungen, dadurch wurde es für das Unternehmen sowie seine Anwender zusehends unübersichtlich. Eine anwenderfreundlichere Lösung war gefragt. 

Bei der Konzeptionierung und anschliessenden Implementierung des zentralen Identity Provider waren für den Kunden die Verbindung (Connectivity) und Funktionalität über verschiedene Netzwerkzonen sowie die Verknüpfung mehrerer Verzeichnisdienste die größten Herausforderungen. Mit einem zentralen IdP erhalten alle Benutzer aus den verschiedenen Bereichen des Unternehmens eine einheitliche Login-Seite.

Authentifizierungs- und Autorisierungsmechanismen als die wichtigsten Komponenten

Die zwei wichtigsten Komponenten des Prozesses zur Nutzung eines zentralen IdP sind die Authentifizierungs- und Autorisierungsmechanismen. Bei der Authentifizierung besteht das Hauptziel darin, die Identität des Benutzers oder des Systems zu bestimmen, um sicherzustellen, dass jede Person diejenige ist, für die sie sich ausgibt. Sobald die Authentifizierung erfolgreich durchgeführt wurde, beginnt der Prozess der Autorisierung. Dieser definiert, welche Zugriffsrechte der Benutzer oder das System haben soll. Dabei sind diese beiden wichtigen Komponenten eng miteinander verknüpft. Um die maximale Sicherheit der Systeme zu gewährleisten, müssen beide korrekt entworfen und konfiguriert werden.

Der Authentifizierungsprozess kann auf der Grundlage verschiedener, vom IdP bereitgestellter Anmeldemethoden, durchgeführt werden.

Die Authentifizierung

Die formularbasierte Anmeldung, der Klassiker

Eine der bekanntesten Authentifizierungsmethoden ist die formularbasierte Anmeldung via Benutzername und Passwort, falls diese noch zum Einsatz kommen und noch nicht komplett durch eine Multifaktor-Authentifizierung abgelöst wurde.

Die Multifaktor-Authentifizierung (MFA) für ein zentrales IdP-System

Die Multifaktor-Authentifizierung (MFA) ist eine weitere Anmeldemethode, welche vom IdP ermöglicht wird. Dieser Mechanismus ergänzt die Anmeldung mit Passwort, indem nach einem weiteren Identitätsnachweis (Faktor) verlangt wird. Dies kann zum Beispiel eine Mobiltelefon-App, SMS oder ein physisches Gerät sein, welches ein One Time Passwort (OTP) generiert.

Zertifikatsbasierte Authentifizierung mit dem Dienstausweis

Eine der sichersten Zwei-Faktor Authentifizierungen ist die zertifikatsbasierte Authentifizierung. Sie wird in Form einer Smart Card realisiert, welche der Kunde idealerweise auch zeitgleich als Ausweis für die Zutrittsberechtigung in Gebäuden verwendet. Diese enthält die von der PKI-Zertifizierungsstelle (Public Key Infrastructure) ausgestellten Zertifikate inkl. privaten und öffentlichen Schlüsseln. Bereits beim ersten Aufruf des IdP wird überprüft, ob das Endgerät ein Zertifikat mit passendem Verwendungszweck vorweisen kann und fordert diesen zur Auswahl des Zertifikats oder direkt zur Eingabe eines PIN auf. So wird sichergestellt, dass initial eine sichere und einfache Anmeldemethode verwendet wird.

Risikobasierte Authentifizierung (RBA) für den Verdachtsfall

Die risikobasierte Authentifizierung (RBA) oder adaptive Authentifizierung ist eine weitere Sicherheitsebene, die bei dem Kunden am IdP implementiert wird. Der risikobasierte Authentifizierungsmechanismus bewertet das Risikoprofil eines Benutzers auf der Grundlage von Faktoren wie Endgerät, Standort und das Netzwerk, über welches der Benutzer versucht auf die Ressource zuzugreifen. Diese faktoren spielen hier ebenso eine Rolle, wie die Empfindlichkeit der Ressource selbst. Im Falle eines verdächtigen Zugriffs auf eine Ressource wird eine zusätzliche Authentifizierung verlangt.

Die Verwendung eines IdP hat den großen Vorteil, dass eine oder jede Kombination der oben genannten Authentifizierungsmethoden für die jeweiligen Anwendungen implementiert und bearbeitet werden kann. Damit ist die Notwendigkeit für unterschiedliche Authentifizierungen der einzelnen Applikationen nicht mehr gegeben. Darüber hinaus kann der Authentifizierungsmechanismus dieser Anwendung bei etwaigen Änderungen über den IdP bearbeitet werden.

Die Autorisierung

Autorisierung auf Basis der Authentifizierung

Die optionale Autorisierung durch den IdP erfolgt auf Basis der bereits genannten Stärke-Stufen der Authentifizierung, welche pro Applikation definiert werden. Der IdP kann mit diesen Informationen die jeweiligen Zugriffsentscheidungen treffen und gewährt dem Anwender Zugriff auf das Zielsystem, fordert eine stärkere Authentifizierungsstufe oder blockiert den Zugriff.

Identität und Single Sign-On für Applikationen

Sobald die Identität und die Zugriffsrechte des Benutzers festgestellt wurden, kann ein Austausch von dessen Attributen mittels SSO-Protokolls erfolgen. Die Auswahl des Protokolls ist abhängig von den Fähigkeiten der Service Provider (SP). Aktuelle Anwendungen nutzen überwiegend SAML 2.0 oder OIDC für die Authentifizierung und nehmen jeweils den Token dieser Protokolle entgegen.

Die Herausforderung bei diesem Prozess besteht darin, dass jede Anwendung unterschiedliche Attribute für die Authentifizierung verlangt, zum Beispiel E-Mail-Adresse oder UserID usw.

Mit den Informationen aus dem Token kann die Applikation bei Bedarf eine Autorisierung selbst durchführen. Zum Beispiel wird anhand einer Liste von Rollenmitgliedschaften entschieden, welche Zugriffsrechte der Benutzer hat, da der IdP diese Informationen in den Token schreiben kann.

Es muss vorab klar definiert sein, welche Daten in den jeweilige Token geschrieben werden, um dann die einzufügenden Attribute zu konfigurieren. Für SAML 2.0 wird die existierende Assertion im XML-Dateiformat erweitert und für OIDC der JSON Web Token (JWT) angepasst.

IdP für mehr Komfort und besseren Überblick

Die Implementierung eines IdP spiegelt den Grundgedanken wider, die Anwendung separat zu betrachten und über standardisierte Protokolle erreichbar zu machen, um so eine maximale Flexibilität zu erreichen und Software-Produkte austauschbar zu machen.

Vorteile:

  • Kein Vendor Lock-in-Effekt
  • Access Enforcement kann mit anderen Produkten erfolgen
  • Nutzung einer existierenden Identity Plattform
  • Einheitlicher Login Prozess aus Benutzersicht

Nachteile:

  • Initiale Konfiguration aufwendig
  • Der IdP muss gegen Ausfall abgesichert sein

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Unsere Experten stehen mit Ihrem langjährigen Know-how für kundenspezifische Applikationen gerne bereit. 

Bild zum Expertenbericht Customer IAM
Blog 30.06.21

Customer IAM - die praktische Einordnung ins IAM

Wie sieht das CIAM von der konkret, praktischen Seiten aus? Was ist dabei zu berücksichtigen und vor welche Herausforderungen steht man dabei? Wir beleuchten das Thema basierend auf konkreten Erfahrungen.
Teaserbild Expertenbericht 360 Grad Assessment IAM
Offering 29.06.23

360° Grad IAM-Assessment & Beratung durch IPG-Experten

Stärken Sie Ihre IT-Sicherheit. Unser 360° Grad IAM-Assessment deckt Schwachstellen auf und gibt Optimierungsempfehlungen. Kontaktieren Sie uns jetzt. ✅
Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Teaserbild Expertenbericht SSI
Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.
News

IAG Studie

Im Rahmen der digitalen Transformation und neuer Technologien wie Cloud-Lösungen ist das effiziente und effektive Verwalten von digitalen Identitäten eine Grundvoraussetzung, um auch zukünftig wettbewerbsfähig zu sein. Gemeinsam mit der IDG Research Service haben wir eine Studie durchgeführt, um den Stand der Branche zu diesem Thema abzufragen.
Blog 01.08.24

Migration von HOST-Anwendungen zu AWS: Modernisierung

Legacy-Systeme bieten oft wertvolle Funktionen für Unternehmen. Dieser Artikel beschreibt, wie HOST-Anwendungen in die Cloud migriert werden können, ohne dass die Datensicherheit leidet. Lernen Sie, wie moderne AWS-Services nahtlos in bestehende Host-Landschaften integriert werden und profitieren Sie von den Vorteilen von Serverless-Technologien.
Blog 08.12.22

Teil 4: Eigenschaften einer Cloud-native Architektur

Beitrag zu Cloud-native Architekturen, ihre Möglichkeiten und Zielsetzungen sowie die Philosophie und Arbeitsweise, die daraus folgt.
Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?
Blog 05.11.24

Strategische Bedeutung von APIs in digitaler Transformation

Erfahren Sie, wie APIs Unternehmen Wettbewerbsvorteile verschaffen und die digitale Transformation beschleunigen. Mit praxisnahen Beispielen und Tipps zur Umsetzung.
Wissen

Migration – Eine Aufgabe, viele Möglichkeiten

Wird eine Software nicht länger vom Hersteller unterstützt, so sieht man sich schnell in der Pflicht, eine alternative Softwarelösung zu suchen. Um eine optimale Vorgehensweise zu ermitteln, unterstützt X-INTEGRATE bei diesem Prozess mit kompetenter Beratung und umfangreichen Erfahrungswerten.
Referenz

Digitale Transformation: HUK ersetzt Papier durch Cloud

ARS unterstützte HUK-COBURG dabei, Papierprozesse durch moderne Cloud-Microsites zu ersetzen, um fehlende Versicherungsdaten effizient zu erfassen.
Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen
Lösung

Storyblok – dein Schlüssel zur digitalen Exzellenz!

In einer Zeit, in der gute Inhalte entscheidend sind und Flexibilität unerlässlich ist, bietet Storyblok eine herausragende Lösung, um das volle Potenzial deiner Online-Präsenz auszuschöpfen.
Cyberversicherung
Blog 24.11.23

Verringerung von Cyberrisiken: Was ist versicherbar?

Warum sind Cyberversicherungen zu einem integralen Bestandteil moderner IT-Sicherheitsstrategien geworden? Welche entscheidenden Faktoren beeinflussen die Prämien – wir beleuchten die Dynamik dieses aufstrebenden Versicherungsbereichs.✅
Übersicht

IAM Managed Service

Vereinfachen Sie Ihr IAM-Management mit den Managed Services von IPG. Maximale Sicherheit, Compliance und Effizienz – ohne zusätzlichen Aufwand
Lösung

Google Analytics: Dein Schlüssel zu tieferen Einblicken

Google Analytics bietet tiefgehende Einblicke in deine Online-Präsenz. Unsere Partnerschaft mit Google garantiert dir Zugang zu den neuesten Tools und Ressourcen.
Blog 11.03.22

Customer Centricity als Schlüssel des Erfolgs der GAFA-Unter

Nachdem ich im vorausgegangenen Podcast erklärt habe, um was es sich bei den GAFAs handelt, gehe ich in dieser Folge auf den Schlüssel ihres großen Erfolgs ein. „Customer Centricity is key to success“. Auf gut Deutsch heiße das, wer Kunden dauerhaft an sich binden möchte, muss sich über den Kaufprozess seiner Produkte und Dienstleistungen Gedanken machen. Denn Kunden gibt bei jedem Kauf, oft ganz unbewusst, eine emotionale Bewertung ab. „Wenn das, was ich bekomme, mir mehr Freude bringt als das, was ich gebe, bin ich mit dem Kauf glücklich“. Dabei gilt es, den Kunden in den vier Bereichen Kopf, Herz, Magen und Genital glücklich zu machen.

Kritische Sicherheitslücke in log4j
News

log4j Sicherheitslücke: Produkte vieler Hersteller betroffen

Es wurde eine kritische Sicherheitslücke in der Protokollierungsbibliothek Log4j für Java Anwendungen entdeckt. Unter anderem Produkte von Atlassian, Google, HCL, IBM, Microsoft, und Talend betroffen. Wir unterstützen Sie!
Teaser Biometrie Bericht
Blog 23.11.23

Passwort oder Iris-Scan: Die Zukunft der Authentisierung

Wie hat sich die Authentifizierung im Laufe der Zeit entwickelt und welche Auswirkungen hat diese Evolution auf die heutigen Sicherheitsstandards zur Identitätsprüfung? Erfahren Sie mehr in unserem Artikel✅
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!