Federated Identities dienen dem Unternehmen als Business Enabler

Ein effizientes Identity Access Management kann Geschäftsprozesse beeinflussen

07.01.2008 | Autor / Redakteur: Joachim Gebauer, VeriSign / Stephan Augsten

Dem Thema Identity Management wird seit Jahren ein großer Stellenwert beigemessen. Das Angebot an technischen Lösungen ist enorm. Viele Konzepte sind jedoch insbesondere am Thema Management gescheitert. Dabei scheinen die Lösungsansätze im Grunde genommen sehr einleuchtend und logisch – speziell wenn es um den Einsatz eines Federated Identity Managements geht. In diesem Fachbeitrag erfahren Sie, wie Sie komfortabel und einfach ihre Prozesse automatisieren können.

Zunächst einmal sei darauf hingewiesen, dass der grundlegende Ansatz der Federated Identities relativ komplex ist: Die Planung und die im Hintergrund ablaufenden Details müssen viele Kriterien berücksichtigen, um der notwendigen Sicherheit zu entsprechen.

In der Projektplanungsphase stellen sich beispielsweise Fragen wie: Welcher Benutzer darf auf welche Informationen zugreifen und wie müssen diese Informationen geschützt werden – und zwar in Abhängigkeit von bestehenden Vertrauensverhältnissen und parallel zu existierenden Geschäftsbeziehungen? Betrachtet man die einzelnen Prozesse genauer, ergibt sich eine fast unendliche Anzahl an Kombinationen.

Um eine Vielzahl an Identitäten zu verwalten sind unterschiedliche Aspekte zu berücksichtigen: ein zentrales Benutzer-Management, verschiedene Authentifizierungslevel, Dateizugriffsrechte, Rollenbasierte Rechtevergabe, Provisioning und Webservices sind selbstverständlich eine Vielzahl beteiligter Applikationen. Dies sind zum Großteil bekannte Technologien innerhalb der IT-Organisationen und werden unternehmensweit eingesetzt.

Verwaltung von Zugriffsrechten und digitalen Identitäten

Es gibt unterschiedliche Auffassungen von der Verwaltung digitaler Identitäten. Manche verstehen darunter die Bereitstellung von Benutzerdaten (z.B. das Einrichten eines Benutzerkontos und die Verwaltung über den gesamten Lebenszyklus), andere denken an die Speicherung und das Aufrufen von Benutzerdaten (z.B. über LDAP-Verzeichnisse oder relationale Datenbanken). Wieder andere bringen Identity Management mit der Verwaltung verschiedener Identifikatoren und mit transaktionsbezogenen Geschäftsprozessen in Verbindung: Bei allen handelt wichtige Bestandteile eines Systems zum Management digitaler Identitäten.

Wickelt ein Unternehmen Geschäfte online ab, dürfen ausschließlich vertrauenswürdige Identitäten verwendet werden. Genau hier findet sich auch der Mehrwert des Identity Managements wieder. Eine effiziente Lösung für die Identitätsverwaltung schafft Vertrauen in die Online-Umgebung von Unternehmen.

Authentifizierung („Um wen handelt es sich?“) und Zugriffsverwaltung (Vergabe von Benutzerrechten) stehen in engem Zusammenhang miteinander. Sie basieren auf der Möglichkeit, digitale Identitäten über den gesamten Lebenszyklus hinweg von der Erstellung über die Wartung bis hin zu deren Aufhebung zu verwalten (Administration). Hinzu kommt die Durchsetzung unternehmensweiter Zugriffsrichtlinien.

Gleichermaßen bedeutend für ein automatisiertes e-Business sind die Identifikatoren verschiedener Transaktionen (Authentifizierung) und die damit verbundenen Sicherheitsanforderungen und Genehmigungen. All diese Faktoren sind ausschlaggebend für den Erfolg einer unternehmensweiten Identity Management-Lösung.

Authentifizierung, Autorisierung und Administration

Zur Verwaltung von Zugriffsrechten und digitalen Identitäten zählt man drei wichtige Sicherheitstechnologien: Authentifizierung, Autorisierung (Steuerung der Zugriffe) und Administration (Benutzermanagement). Jede Methode hat eine eigene Funktion und bietet Vorteile im Hinblick auf die weitere Entwicklung des e-Business:

Vertrauen durch Authentifizierung: Starke Authentifizierung in Form von Kennwörtern, Token, Smartcards, digitalen Zertifikaten usw. schafft das notwendige Vertrauen für digitale Benutzeridentitäten oder Identifikatoren von Transaktionen. Unter Authentifizierung versteht man die Möglichkeit, die Identität eines Benutzers oder einer Transaktion exakt festzustellen bzw. zu überprüfen. Durch diesen Identitätsnachweis können Unternehmen sicherstellen, dass sich hinter der digitalen Identität eines Benutzers auch die richtige Person verbirgt, die über entsprechende Rechte zum Durchführen der jeweiligen Transaktionen verfügt.

Kontrolle durch Autorisierung: Die Zugriffssteuerung regelt die Rechte von Benutzern, die auf geschützte Ressourcen und Applikationen zugreifen und bestimmte Transaktionen ausführen dürfen. Sie kann auf oberer, mittlerer und unterer Autorisierungsstufe erfolgen. Das Unternehmen entscheidet, welche Benutzer auf welche Ressourcen zugreifen dürfen und berufen sich dabei auf Richtlinien, welche die individuellen Geschäftsziele widerspiegeln.

Rechenschaftspflicht durch Administration: Die Administration beschäftigt sich mit der Verwaltung digitaler Identitäten und der Aufzeichnung und Erstellung von Berichten über identitätsbezogene Vorgänge. Die applikationsübergreifende Verwaltung und Wartung von Benutzerprofilen ist für Unternehmen Pflicht. Während Benutzer bzw. Transaktionen auf verschiedene interne und externe Ressourcen zugreifen, werden Aufzeichnungen über den Zugriff auf unterschiedliche Dienste und Ressourcen und deren Verwendung geführt.

Eine immer größere Bedeutung gewinnt hierbei eine verteilte Administration basierend auf zentralen Benutzerspeichern (Repository). Dies können sowohl Verzeichnisdienste als Relationale Datenbanken sein, je nach den gewachsenen Strukturen des Unternehmens. Eine weitere wichtige Rolle besonders bei weltweiten Unternehmen gewinnen zunehmend Virtuelle Verzeichnisse (Vertial Directory´s). Diese ermöglichen den Aufbau eines zentralen Datenspeichers, der aus verschiedenen Unternehmensbereichen, die Benutzerinformationen aus ebenso unterschiedlichen Verzeichnissen und Datenbanken zusammenfügt.

Damit haben Unternehmen eine wichtige Grundvorrausetzung geschaffen. Wenn man jedoch bedenkt das Unternehmen Ihren eigentlichen Wert aus Applikationen beziehen, wie Auftragsbearbeitungen, CRM, ERP, SCM, darunter liegende Betriebssysteme und einige mehr, taucht die Frage auf ob diese auch Ihre Benutzerinformationen aus eben diesen zentralen Repositories beziehen können. Leider ist dies heute nicht immer möglich, sodass eine weitere Technologie - das Provisioning - zum Einsatz kommt.

Die Provisioning-Systeme sorgen dafür, dass die Userinformationen (ID, Passwort und evtl. Berechtigungen) aus einem führenden System heraus automatisch an alle angeschlossenen Applikationen und Systeme übertragen werden. Dies basiert meistens auf einem entsprechenden Workflow unter Berücksichtigung der unternehmensbedingten organisatorischen Abläufe (Selbstregistrierung der Benutzer und delegierte Administration).

Verwaltung von Zugriffsrechten und digitalen Identitäten im Überblick

  • Integration in Netzwerke und Applikationen
  • Schaffung und Verwaltung vertrauenswürdiger, digitaler Identitäten
  • Aufstellung und Durchsetzung von unternehmensweiten Richtlinien
  • Automatisches Einrichten und deaktivieren von Benutzerkonten
  • Speichern und Abrufen von Daten

Vorteile des Identitäts- und Zugriffsmanagements

Mithilfe von Identity- und Access-Management können Unternehmen ihren Mitarbeitern und Kunden bessere und vor allem sichere Dienste anbieten. Ein zusätzlicher Mehrwert der Technologie ist die deutlich vereinfachte Abwicklung von Geschäften mit einem Unternehmen. Durch Single-Sign-On (SSO) übers Web und eine vereinfachte Passwortverwaltung wird die Bedienungsfreundlichkeit erheblich verbessert und die Unternehmensproduktivität gesteigert.

Durch die Konsolidierung von Kerntechnologien wie Authentifizierung, Autorisierung und Administration auf einem System können Unternehmen den Administrationsaufwand senken und somit Kosten sparen. Schließlich bietet die Verwaltung von Zugriffsrechten und digitalen Benutzeridentitäten eine verbesserte Sicherheit durch einheitliche und durchsetzbare Richtlinien. Insgesamt wird durch den Einsatz von Identity Management das Vertrauen geschaffen, das Unternehmen für die Automatisierung strategischer Prozesse dringend benötigen.

Identity Management Systeme konzentrieren sich auf die Beherrschung der organisationsinternen Komplexität. Eine herkömmliche Lösung ist somit auch nicht für den Einsatz außerhalb der Unternehmensgrenzen gedacht. Daher gilt es zu überlegen, wie es gelingen kann, organisationseigene wie -fremde Informationssysteme und Nutzeridentitäten in verteilten Netzwerken zu integrieren und zu verwalten. Genau damit beschäftigt sich Federated Identity Management (FIM).

Federated Identity Management eröffnet neue Möglichkeiten

Das FIM soll gewährleisten, dass eine Institution, die als Dienstanbieter agiert, über speziell ausgelegte Protokolle Zugriff auf die zur Authentifikation und/oder Abrechnung notwendigen Benutzerinformationen, bzw. -identitäten der eigenen Einrichtung erhält. Diese sogenannten Federated Identities sind auf wechselseitiger Anerkennung ausgelegt.

Dabei authentifiziert der Identity Provider die Benutzer (Identity Principal) und stellt Dienstanbietern die Anwender-Informationen zur Verfügung. Diese ermöglichen den Dienstanbietern zu entscheiden, ob die Benutzer auf eine geschützte Ressource zugreifen dürfen oder nicht. Um das hierfür notwenige Vertrauensverhältnis und einen organisatorischen Rahmen für den Austausch der notwendigen Informationen zu schaffen, schließen sich Identity Provider und Dienstanbieter in einer Föderation zusammen.

Verschiedene Voraussetzungen entscheiden darüber, ob ein FIM-System funktioniert:

  • Eine multiprotokollfähige und in bestehende Systeme leicht integrierbare Referenzimplementierung.
  • Rechtliche Rahmenbedingungen für verbindliche Regelungen bei Transaktionen.
  • Die Einhaltung der Datenschutzrichtlinien.
  • Eine verteilte Netzinfrastruktur, die von den Beteiligten genutzt werden kann.

Das Unternehmen VeriSign hat unlängst ein Konzept entwickelt, das genau diesen Problemen Rechnung trägt. Die Lösung VeriSign Identity Protection (VIP) vereint den offenen Authentifikationsstandard (OATH) mit einer Soft- und Hardware-Token-Technologie um insbesondere den Zugang zu den Anwendungen und somit die Identitäten der Nutzer zu schützen.

Mit einem Generator für Einmal-Passwörter (One Time Password - OTP) kann man sich dann bei den VIP-Kooperationspartnern PayPal, eBay oder Yahoo anmelden. Die zugehörigen Token werden von den Partnerunternehmen an die Nutzer ausgegeben. Anwender können ihre Benutzerkonten so vor dem Zugriff Dritter schützen, da das Passwort nach jedem Zugriff ersetzt wird.

Die Lösung

Immer mehr Applikationen werden für eine wachsende Zahl von Benutzern und Transaktionen verwendet. Unternehmen sollten ihre Anforderungen an Identity- und Access-Management genau definieren, da diese für die individuellen Geschäftsziele von zentraler Bedeutung sind.

Solche Lösungen müssen eine starke Authentifizierung bieten, verschiedene Authentifizierungsmethoden unterstützen und interoperable Funktionalität in puncto Sicherheit bieten, die mit Web-Services-Technologien kompatibel ist. Außerdem sind unterschiedliche Autorisierungsebenen und Zugriffsrechte für ein wachsendes, vielfältiges und dynamisches Umfeld an Applikationen und Anwendern notwendig. All dies muss innerhalb eines Rahmensystems geschehen, das Verwaltungs- und Berichtsfunktionen vereint

Potentiale und Vorteile, die aus dem Einsatz von Identity-Management-Lösungen resultieren, sind an spezifische Faktoren gebunden. Die beiden wichtigsten Voraussetzungen sind eine hinreichend große Anzahl an Benutzern und eine ausreichend große Anzahl an Applikationen. Hierbei sind nicht nur interne Mitarbeiter, sondern auch die eingebundenen Kunden, Partner und Lieferanten enthalten. Bei den Applikationen spielen vor allem die existierenden beziehungsweise geplanten Anwendungen die entscheidende Rolle.

Erfolgreiche Projekte zur Einführung von Identity Management weisen daher folgende Merkmale auf:

  • Es liegt eine Strategie vor, aus der die Zielrichtung und die spezifischen Potenziale der Technik für das Unternehmen hervorgeht.
  • Zur Einführung wird ein praxiserprobtes Vorgehensmodell verwendet.
  • Da es in der Regel zu komplex ist, eine Komplettlösung in einem Schritt einzuführen, sollte eine Roadmap vorhanden sein, die den Ausbauplan der Gesamtlösung im Zeitablauf aufzeigt.
  • Die Komplexität bei der Entwicklung eines unternehmensweiten Benutzerrechterollenkonzepts sowie der Aufwand bei der Integration der Applikationen darf in der Planungsphase nicht unterschätzt werden.

Joachim Gebauer ist Regional Technical Manager bei VeriSign.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2009890 / Server)