
taa22 - stock.adobe.com
IAM-Standards für die Authentifizierung und Autorisierung
IAM-Standards erledigen einen Großteil der Arbeit hinter den Kulissen bei der Autorisierung und Authentifizierung. Die wichtigsten Standards und deren Einsatzgebiete im Überblick.
Identity und Access Management ist eine umfassende Aufgabe, die von der Bereitstellung und Deprovisionierung über Single Sign-On, (SSO) MFA (Multifaktor-Authentifizierung) und Privileged Access Management bis hin zum Machine Identity Management alles umfasst, was mit Benutzerauthentifizierung, Autorisierung und Zugriffsmanagement auf Unternehmensressourcen zu tun hat.
Da IAM so viele Aufgaben umfasst, gibt es keine einzelne Technologie oder Norm, die alle Aspekte vollständig abdeckt. Die Anwendungsfälle und Umgebungen unterscheiden sich je nach Unternehmen und Branche.
Im Laufe der Jahrzehnte haben sich mehrere Standards etabliert, darunter die folgenden:
- Authentifizierung, Autorisierung und Abrechnung (AAA).
- OAuth 2.0.
- OpenID Connect (OIDC).
- Security Assertion Markup Language (SAML).
- System für domänenübergreifende Identitätsverwaltung (SCIM, System for Cross-domain Identity Management).
- Lightweight Directory Access Protocol (LDAP).
- Interoperabilitätsprofil für sichere Identität im Unternehmen (IPSIE, Interoperability Profiling for Secure Identity in the Enterprise).
In Kombination mit Best Practices bieten IAM-Standards den Unternehmen wichtige Vorteile, darunter die folgenden:
- Verbesserte Sicherheit. IAM-Standards bieten Mechanismen für die Authentifizierung von Benutzern und die Kontrolle des Zugriffs, wodurch das Risiko eines unbefugten Zugriffs und von Datenverletzungen verringert wird.
- Einhaltung gesetzlicher Vorschriften. Die Implementierung von IAM-Standards hilft Unternehmen bei der Einhaltung gesetzlicher Vorgaben.
- Interoperabilität. Standards stellen sicher, dass verschiedene IAM-Systeme und -Komponenten zusammenarbeiten können.
- UX (User Experience). Standardisierte IAM-Prozesse können den Benutzerzugriff über mehrere Systeme hinweg optimieren und so die Produktivität und das Gesamterlebnis verbessern.
1. AAA (Authentifizierung, Autorisierung und Abrechnung)
AAA ist ein Security-Framework, das den Netzwerkzugriff kontrolliert, indem es zunächst die Identität eines Benutzers überprüft (Authentifizierung), dann festlegt, was dieser tun darf (Autorisierung), und schließlich seine Ressourcennutzung nachverfolgt (Abrechnung)
Funktionsweise
AAA verwendet ein Client-Server-Modell, das in der Regel über branchenübliche Protokolle verwaltet wird. RADIUS wird häufig für den Netzwerkzugriff verwendet. TACACS+ (Terminal Access Controller Access-Control System Plus) wird für die Geräteverwaltung verwendet. Diameter ist eine erweiterte Version von RADIUS, die auf dedizierten Servern ausgeführt wird, die alle drei AAA-Schritte verarbeiten.
Einsatzgebiet
Das AAA-Rahmenwerk kann für Organisationen jeder Größe eingesetzt werden, da es einen strukturierten Ansatz bietet, der skaliert und an verschiedene Anforderungen angepasst werden kann.
Vorteile
- Verbessert die Netzwerksicherheit.
- Zentralisiert die Protokollverwaltung.
- Ermöglicht eine granulare Steuerung und Flexibilität.
- Bietet eine skalierbare Zugriffsverwaltung.
Nachteile
- Die vollständige Umsetzung kann komplex sein.
- Erfordert fortlaufende Wartung und Aktualisierungen.
2. OAuth 2.0
OAuth 2.0 ist ein Autorisierungs-Framework, das es Anwendungen von Drittanbietern ermöglicht, eingeschränkten Zugriff auf Benutzerkonten in einem HTTP-Dienst zu erhalten.
Funktionsweise
OAuth 2.0 funktioniert so, dass ein Benutzer einer Drittanbieteranwendung eingeschränkten Zugriff auf seine Ressourcen in einem anderen Dienst gewähren kann, ohne die tatsächlichen Anmeldedaten weiterzugeben. Der Prozess umfasst die Anforderung des Zugriffs durch die Drittanbieter-App und die Genehmigung durch den Benutzer über den Autorisierungsserver des Dienstes, der der Anwendung dann ein temporäres Zugriffs-Token bereitstellt, das nur für den Zugriff auf die speziell zugelassenen Ressourcen verwendet werden kann.
Einsatzgebiet
OAuth 2.0 eignet sich besonders gut für Organisationen, die moderne Web- und Mobilanwendungen entwickeln, insbesondere solche, die mit Drittanbieterdiensten zusammenarbeiten.
Vorteile
- Ermöglicht eine sichere Datenfreigabe, ohne dass die Anmeldedaten der Benutzer offengelegt werden.
- Verwendet Token anstelle von Benutzername und Passwort für den Zugriff auf Ressourcen.
- Bietet eine granulare Zugriffskontrolle für bestimmte Ressourcen für begrenzte Zeiträume.
Nachteile
- In erster Linie für die Autorisierung und nicht für die Authentifizierung konzipiert.
- Kann bei nicht korrekter Implementierung anfällig für Sicherheitslücken sein.
3. OpenID Connect (OIDC)
OpenID Connect ist ein Authentifizierungsprotokoll, das auf OAuth 2.0 aufbaut und Single Sign-On (SSO) sowie standardisierte Benutzerauthentifizierung ermöglicht.
Funktionsweise
OIDC leitet Benutzer, die auf eine Anwendung zugreifen möchten, an einen Identitätsanbieter wie Google oder Microsoft weiter, der ihre Identität überprüfen kann. Nach erfolgreicher Authentifizierung sendet der Identitätsanbieter einen sicheren Token mit den Identitätsinformationen des Benutzers an die Anwendung zurück, sodass der Benutzer auf den Dienst zugreifen kann, ohne neue Anmeldedaten erstellen zu müssen.
Einsatzgebiet
OpenID Connect ist eine gute Wahl für Organisationen, die neue Anwendungen von Grund auf neu entwickeln, insbesondere solche, die auf mobile Plattformen abzielen.
Vorteile
- Kombiniert Authentifizierung und Autorisierung.
- Unterstützt mobile Anwendungen, APIs und browserbasierte Anwendungen.
- Verwendet JSON-Web-Token für eine einfachere Implementierung.
Nachteile
- Erfordert Vertrauen in Authentifizierungsdienste von Drittanbietern.
- Kann zu Dienstunterbrechungen führen, wenn der Identitätsanbieter eine Ausfallzeit hat.
- Wenn ein einzelner Berechtigungsnachweis kompromittiert wird, kann dies Auswirkungen auf mehrere Dienste haben.
4. SAML (Security Assertion Markup Language)
SAML ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten.
Funktionsweise
SAML ermöglicht eine sichere Kommunikation zwischen einem Identitätsanbieter, wie beispielsweise dem Hauptanmeldesystem einer Organisation, und einer Drittanbieteranwendung. Der Identitätsanbieter bestätigt die Identität eines Benutzers gegenüber dem Dienstanbieter durch digital signierte XML-Nachrichten.
Einsatzgebiet
SAML ist ideal für große Unternehmen und Organisationen mit vorhandener XML-Infrastruktur, insbesondere für solche, die Single Sign-On (SSO) für mehrere interne Anwendungen benötigen.
Vorteile
- Bietet umfassende Sicherheit für SSO in Unternehmensumgebungen.
- Unterstützt den Austausch detaillierter Benutzerinformationen.
- Ist in großen Organisationen und öffentlichen Einrichtungen etabliert.
Nachteile
- Die Implementierung komplexer XML-Schemata kann eine Herausforderung darstellen.
- Eignet sich weniger für mobile Anwendungen.
5. SCIM (System for Cross-domain Identity Management)
SCIM ist ein offener Standard, der die domänenübergreifende Bereitstellung von Benutzerkonten automatisiert. Im Gegensatz zu SAML und OIDC, die die Authentifizierung übernehmen, verwaltet SCIM die Bereitstellung von Benutzern. SCIM kann mit SAML und OIDC zusammenarbeiten, um ein umfassendes Identitätsmanagement zu ermöglichen.
Funktionsweise
SCIM synchronisiert Benutzerkontodaten automatisch zwischen verschiedenen Domänen oder Systemen. Wenn im Quellsystem Änderungen vorgenommen werden, aktualisiert SCIM automatisch die entsprechenden Benutzerkonten im Zielsystem, sodass keine manuelle Kontoverwaltung mehr erforderlich ist.
Einsatzgebiet
SCIM ist für Organisationen mit komplexer Benutzerverwaltung von Nutzen, insbesondere für solche, die häufige Mitarbeiterwechsel oder Änderungen der Zugriffsanforderungen zu bewältigen haben.
Vorteile
- Optimiert die Bereitstellung und Deprovisionierung von Benutzern.
- Reduziert manuelle Fehler bei der Benutzerverwaltung.
Nachteile
- Konzentriert sich hauptsächlich auf das Management des Benutzerlebenszyklus, nicht auf Authentifizierung oder Autorisierung.
6. LDAP (Lightweight Directory Access Protocol)
LDAP ist ein Softwareprotokoll, das dabei hilft, Informationen über Organisationen, Einzelpersonen und Ressourcen in Netzwerken zu finden.
Funktionsweise
LDAP funktioniert über einen zentralisierten Verzeichnisdienst, in dem Informationen über Benutzer, Organisationen und Ressourcen in einer hierarchischen Baumstruktur gespeichert sind, die abgefragt werden kann. Wenn ein Benutzer oder eine Anwendung Informationen finden oder sich authentifizieren muss, stellt LDAP eine sichere Verbindung zum Verzeichnisserver her, validiert die Anmeldedaten des Benutzers und gibt die angeforderten Informationen basierend auf der Berechtigungsstufe des Benutzers zurück.
Einsatzgebiet
LDAP wird hauptsächlich für die zentralisierte Authentifizierung und Verzeichnisdienste – wie beispielsweise des Active Directory – verwendet.
Vorteile
- Zentralisiert die Authentifizierung und Benutzerverwaltung.
- Ist ein schlankes und effizientes Protokoll.
- Ist ein Industriestandard mit breiter Unterstützung.
Nachteile
- Ist nicht für häufige Datenaktualisierungen ausgelegt.
- Ist anfällig, wenn es nicht richtig konfiguriert ist.
- Ist auf hierarchische Datenstrukturen beschränkt.
- Kann zu einem Single Point of Failure (SPoF) werden.
7. IPSIE (Interoperability Profiling for Secure Identity in the Enterprise)
Die IPSIE Working Group ist eine neue Initiative der OpenID Foundation. IPSIE ist selbst kein Standard, sondern zielt darauf ab, sichere Profile auf Basis bestehender Spezifikationen zu entwickeln, um die Interoperabilität in Unternehmensimplementierungen zu verbessern.
Funktionsweise
IPSIE erstellt standardisierte Profile bestehender Identitätssicherheitsprotokolle, um eine einheitliche Implementierung in SaaS-Anwendungen und bei Identitätsanbietern im gesamten Unternehmen zu gewährleisten. Es ermöglicht verschiedenen Systemen, auf einheitliche Weise zu kommunizieren und Sicherheitsinformationen auszutauschen, und koordiniert alles von der Benutzerauthentifizierung und Zugriffsverwaltung bis hin zur Risikoerkennung und Sitzungssteuerung.
Einsatzgebiet
IPSIE richtet sich an Unternehmen, die eine standardisierte Identitätssicherheit über mehrere SaaS-Anwendungen hinweg benötigen, um eine konsistente Authentifizierung, Zugriffskontrolle und Sicherheitsüberwachung zu gewährleisten.
Vorteile
- Standardisiert die Identitätssicherheit über mehrere SaaS-Anwendungen hinweg.
- Wird von großen Technologieunternehmen wie Microsoft und Google unterstützt.
- Verwendet vorhandene Protokolle, anstatt neue zu definieren.
Nachteile
- Befindet sich noch in der Entwicklungsphase.
- Erfordert eine breite Akzeptanz, um effektiv zu sein.
- Ist auf SaaS-Anwendungsfälle in Unternehmen beschränkt.