Identity- und Access-Management (IAM)

Grundlagen der IAM-Systeme

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Identity- und Access-Management-Systeme (IAM) sorgen für Authentifizierung und Autorisierung der Anwender und stellen zentrale Verwaltungs- und Überwachungsmöglichkeiten bereit.
Identity- und Access-Management-Systeme (IAM) sorgen für Authentifizierung und Autorisierung der Anwender und stellen zentrale Verwaltungs- und Überwachungsmöglichkeiten bereit. (© jijomathai - stock.adobe.com)

Identity- und Access-Management-Systeme übernehmen als zentrale Authentifizierungs­plattform die Aufgabe, Benutzer zu identifizieren und Zugriff auf genau die Ressourcen zu geben, die er benötigt. Idealerweise ermöglichen IAM-System dies nur zu den Zeiten, die dafür vorgesehen sind. Dazu regeln die Lösungen den Zugriff auf alle Assets im heterogenen Netz und sorgen gleichzeitig für die Erfüllung bestehender Compliance-Vorgaben.

In der Praxis unterstützen Identity- und Access-Management-Lösungen (IAM) eine große Zahl unterschiedlicher Authentifizierungsverfahren, arbeiten mit Standardprotokollen und automatisieren zudem die Benutzeradministration. Die Produkte ermöglichen üblicherweise auch das Einrichten von Single-Sign-On-Szenarien (SSO). Manche können nicht nur Benutzerkonten, sondern auch Hardware, Netzwerk-Ressourcen, Sessions und Anwendungen – beziehungsweise den Zugriff darauf – verwalten. Das Thema IAM as a Service gewinnt momentan ebenfalls immer mehr an Bedeutung.

Funktionsweise

Im Betrieb müssen sich die Anwender zunächst bei den IAM-Produkten – dabei kann es sich sowohl um Appliances, als auch um Cloud- (wie bei Microsoft Azure AD) und On-Premise-Dienste handeln – authentifizieren. Damit belegen sie ihre Identität, beispielsweise durch ein Token, einen Login mit Benutzername und Passwort oder auch mit Hilfe von Systemen zur Multi-Faktor-Authentifizierung (MFA) wie dem Google Authenticator. Manche IAM-Lösungen (etwa das Produkt von Auth0) arbeiten auch mit externen Identity-Providern zusammen, um die Authentifizierung zu ermöglichen, beispielsweise Bank-IDs. Der Anbieter OptimalCloud ermöglicht es seinen Anwendern sogar, Daten von mehreren verschiedenen Identity Repositories einzubinden. Es gibt übrigens auch hybride IAM-Lösungen, etwa von Ping Identity, die Cloud- und On-Premise arbeiten.

Anhand der Identität stellt das IAM-System dann fest, auf welche Assets der jeweilige Benutzer zugreifen darf (zum Beispiel Web-Anwendungen, Cloud-Applikationen oder auch mobile Architekturen) und welche Aktionen ihm gestattet sind (Autorisierung). So ist es etwa möglich, einem Anwender aus der Buchhaltung nur Zugriff auf die Buchhaltungssoftware zu erteilen, die er für die Erledigung seiner Aufgaben braucht. Ein Datenbankadministrator aus der IT-Abteilung könnte im Gegensatz dazu Vollzugriff auf alle Datenbanken an einem bestimmten Standort oder in einem bestimmten Land erhalten. In der Regel weisen die IAM-Produkte die Rechte anhand von Benutzerrollen zu, da dies die Verwaltung vereinfacht. Auf diese Weise können die Administratoren beispielsweise Rollen für "IT-Mitarbeiter", "Verwaltungsangestellte" oder die Buchhaltung anlegen und diese dann den Mitarbeitern der jeweiligen Abteilungen zuweisen – bei Bedarf mit geringen Anpassungen an die jeweilige Person.

Leistungsfähige IAM-Lösungen sind nicht nur dazu in der Lage, solche Szenarien abzubilden und umzusetzen, sondern bieten den zuständigen Mitarbeitern auch die Option, die Zugriffe zu verifizieren und zu überwachen. Sie stellen also einen zentralen Anlaufpunkt für die Verwaltung und das Monitoring der Zugriffsrechte und -konten eines Unternehmens über alle Assets im Netz hinweg dar. Außerdem helfen sie den Administratoren dabei, allen Anwendern immer nur die Rechte zuzugestehen, die sie tatsächlich benötigen und so dafür zu sorgen, dass immer nur minimale Privilegien vergeben werden müssen. Solche Privileged Access Management-Features (PAM) bringt beispielsweise die Lösung von CA-Technologies mit. Im Idealfall behält das IAM-Produkt die verwendeten Benutzerkonten vom Augenblick ihrer Generierung bis zu dem Moment ihrer Löschung im Blick, so dass die IT-Mitarbeiter immer genau wissen, wozu die Accounts genau genutzt wurden.

Grundlagen der IoT-Sicherheit

Sicherheit im Internet der Dinge

Grundlagen der IoT-Sicherheit

23.05.18 - Das Internet of Things (IoT) kann der Wirtschaft große Vorteile bieten, allerdings werden bei der Umsetzung wichtige Sicherheitsmechanismen häufig vernachlässigt. Das kann schnell zum Stolperstein der Digitalisierung werden. Um wirksame Security-Konzepte für das Internet der Dinge und eine damit verbundene, erfolgreiche Modernisierung zu entwickeln, muss man aber zunächst die Grundlagen des heutigen Begriffs IoT verstehen. lesen

Internet of Things (IoT)

Beim Zugriff auf die Assets spielen auch die jeweils verwendeten Geräte eine große Rolle. Dieses Thema gewinnt im Zusammenhang mit dem Internet of Things (IoT) immer mehr an Bedeutung, da viele IoT-Komponenten nur über limitierte Ressourcen verfügen und deswegen nicht dazu in der Lage sind, mit allen Plattformen zusammenzuarbeiten. Deswegen bietet zum Beispiel ForgeRock einen so genannten Edge Gateway an, der eben solche Devices in seine IAM-Lösung integrieren kann.

Abgesehen davon verfügen leistungsfähige IAM-Produkte noch über eine umfassende Funktionalität beim Verwalten der Administratorzugriffe auf die Authentifizierungslösung selbst. Damit lässt sich vermeiden, dass ein Super-User Zugriff auf das ganze System erhält. Stattdessen stehen im Betrieb normalerweise Administrationskonten für bestimmte Aufgaben, wie das Anlegen neuer Konten, das Modifizieren von Zugriffsrechten oder auch das Verwalten von Benutzerinformationen zur Verfügung.

IAM-Services müssen zum Unternehmen passen

Herausforderungen bei IAM-Services

IAM-Services müssen zum Unternehmen passen

09.11.18 - Cloud-Services für Identity and Access Management (IAM) senken nicht nur die Betriebskosten, sondern auch den Bedarf an IAM-Expertise im eigenen Unternehmen. Gleichzeitig besteht aber die Herausforderung, wie sich mit Standard-Services die individuellen Aufgaben für IAM im Unternehmen bewältigen lassen. Die Antwort liegt in der Anpassung der IAM-Services. lesen

Privatsphäre

In diesem Zusammenhang spielt auch die Privatsphäre eine wichtige Rolle. Um ihre Aufgaben wahrzunehmen, müssen die IAM-Systeme eine Vielzahl an Informationen über alle Anwender speichern. Dazu gehören zum Beispiel Kontaktinformationen, Zugriffsrechte, Zeitraum der Betriebszugehörigkeit und vieles mehr. In der Regel befinden sich viele sensitive Informationen darunter, so dass das Absichern der Zugriffe auf die IAM-Daten einen hohen Stellenwert einnimmt.

Ebenfalls von großer Bedeutung: Self Service-Funktionen, wie sie unter anderem SecureAuth bereitstellt. Diese sorgen im Idealfall dafür, dass die Anwender selbst in der Lage sind, ihre Benutzerkonten zu verwalten, und zwar vom Anlegen über das Zuweisen von Authentifizierungsmethoden und das Ändern von Passwörtern bis hin zum Löschen. Das entlastet das Help Desk deutlich und spart so viele Ressourcen.

Viele IAM-Produkte bringen noch weitere Funktionalitäten mit, wie beispielsweise das Einbinden von Mobile Device Management- (MDM) sowie Enterprise Mobility Management-Lösungen (EMM). So verfügt unter anderem das Produkt von Centrify über umfassende MDM-Funktionalitäten, mit denen sich Zugangsdaten und Anwendungen auf mobile Endpoints verteilen lassen. In diesem Zusammenhang ist es sogar möglich, abhängig vom Gerätestatus (sicher, unsicher und ähnliches) festzulegen, welche Zugriffrechte erteilt werden. Zu den weiteren Features, die viele IAM-Lösungen bieten, gehören auch Passwort-Vaults und das Weiterleiten von Passwörtern an Anwendungen, die sonst nicht, beispielsweise über ein API, ansprechbar sind.

Zum Einbinden von Anwendungen, also der Applikationen, deren Nutzung den Usern nach der Authentifizierung gestattet wird, verwenden viele IAM-Systeme, so wie beispielsweise die Lösung von Auth0, Software Development Kits (SDKs) für verschiedene Development Frameworks. Manche SaaS-Angebote lassen sich auch über Templates integrieren, das ist beispielsweise beim Produkt von Micro Focus der Fall. SSO-Funktionen realisieren die Systeme üblicherweise durch eine Kombination von Agenten und Proxy-Servern.

Die beliebtesten IAM-Systeme 2018

IT-Awards 2018

Die beliebtesten IAM-Systeme 2018

21.11.18 - Wenn es um die Verwaltung von Identitäten und Zugriffsrechten innerhalb eines Unternehmens und dessen Netzwerk geht, leisten Identity- und Access-Management-Systeme (IAM) wertvolle Arbeit. Sie sorgen für Authentifizierung und Autorisierung der Anwender und stellen zentrale Verwaltungs- und Überwachungsmög­lich­keiten bereit. IAM-Systeme sind ein wichtiger Teil jeder IT-Security- und Compliance-Strategie. lesen

Analyse und Reports

Damit die zuständigen Mitarbeiter sehen, was in ihrer Umgebung passiert, bieten alle IAM-Systeme mehr oder weniger leistungsfähige Analyse- und Reporting-Funktionen zu den beim Access Management anfallenden Ereignissen. Micro Focus hat in diesem Zusammenhang eine Analysekomponente im Angebot, die Custom Reporting unterstützt. Microsofts Azure AD geht noch einen Schritt weiter und umfasst nicht nur Reporting-Funktionen, sondern auch Sicherheitsanalysen.

Anbieter

Kommen wir nun zu den wichtigsten Anbietern im IAM-Markt. Gartner stuft in seinem aktuellen Magic Quadrant zu Access Management die Unternehmen Atos (Evidian), i-Sprint Innovations, Optimal IdM und SecureAuth + Core Security als „Niche Players“ ein. „Visionaries“ sind Auth0, CA Technologies, Centrify, ForgeRock, Micro Focus und OneLogin. „Challengers“ gibt es keine und als „Leaders“ gelten IBM, Microsoft, Okta, Oracle und Ping Identity.

Fazit

Neben den genannten Funktionen spielen auch noch andere Fakten eine Rolle bei der Auswahl der richtigen IAM-Lösung. Dazu gehören unter anderem schnelle Implementierungen, Funktionalität der Dienste, Support und Zuverlässigkeit der Lösung. In diesen Punkten schneidet laut Gartner OneLogin besonders gut ab. Unter dem Strich muss aber jedes Unternehmen selbst wissen, welche Faktoren in seinem Netz eine besondere Rolle spielen und seine Produktentscheidung davon abhängig machen.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45686385 / Authentifizierung)