Cloud-Strukturen für IAM nutzen

Identity- und Access-Management in der Cloud

| Autor / Redakteur: Niels von der Hude* / Peter Schmitz

IAM soll den Graben zwischen on premise und Cloud überbrücken, aber bei der Nutzung von Cloud-Strukturen für Identity- und Access-Management Prozesse gilt es für Unternehmen einige Aspekte zu beachten.
IAM soll den Graben zwischen on premise und Cloud überbrücken, aber bei der Nutzung von Cloud-Strukturen für Identity- und Access-Management Prozesse gilt es für Unternehmen einige Aspekte zu beachten. (Bild: Pixabay / CC0)

Im typischen Unternehmen des 21. Jahrhunderts ist alles global vernetzt – von den Teams über die Prozesse bis hin zu den IT-Systemen. Für IAM-Systeme bedeutet dies, dass sie diese flexiblen Strukturen auf konzeptioneller Ebene berücksichtigen und unterstützen müssen. Dem Thema „Cloud Computing“ kommt dabei eine zentrale Rolle zu.

Beim Stichwort „Cloud“ denken viele an Anwendungen für Endkunden, wie Google Fotos. Zwar sind solche für Geschäftskunden nur bedingt relevant, es kommen jedoch immer mehr Cloud-Services für Unternehmen auf den Markt, die ihnen ähneln: Salesforce.com, Dateihosting-Services à la Dropbox oder Office 365, um nur einige zu nennen. Solche gilt es, im unternehmensweiten IAM-Konzept zu berücksichtigen.

Wie verschafft sich ein Unternehmen nun Zugang zu den in der Cloud betriebenen Anwendungen? In diesem Zusammenhang gewinnt SCIM (System for Cross-Domain Identity Management) an Bedeutung. Es gilt mittlerweile als de-facto-Standard für diese Form der Bereitstellung. Abzuwarten bleibt, ob sich der aktuelle Trend weiter fortsetzt und dazu führt, dass weitere Anwendungsanbieter diesen Standard aufgreifen. Die SCIM-Schnittstelle wird derzeit von vielen, jedoch längst nicht allen Cloud-Anbietern unterstützt. Zahlreiche Anwender der Beta Systems-IAM-Lösungen richten ihre Cloud-Anwendungen bereits über die SCIM-Verbindung ein.

Bereitstellung in privaten Cloud-Umgebungen

Lange bevor der Begriff „Cloud-Computing“ Einzug in den normalen Wortschatz erhielt, gingen Unternehmen dazu über, einzelne IT-Anwendungen oder komplette IT-Umgebungen an externe Anbieter auszulagern. Aus Sicht des IAM-Systems handelt es sich hierbei ausnahmslos um private Cloud-Umgebungen, da die Zielanwendung außerhalb des Firmengeländes betrieben wird. Die unterschiedlichen Cloud-spezifischen Abrechnungsmodelle (nutzungsbasiert bzw. als Abonnement) haben keinen Einfluss auf die technische Umsetzung dieses IAM-Ansatzes.

Die Herausforderung besteht vielmehr darin, das IAM-System über die gesamte IT-Landschaft mit ihren verteilten IT-Plattformen und komplexen Organisationsstrukturen hinweg zu betreiben. Das Bereitstellen von Konten, deren zugehörige Anwendungen in einer privaten Cloud-Umgebung ausgeführt werden, erfordert ein robustes, wartungsarmes und autonomes Konzept für den Zugriff auf die externen Anwendungen. Ein ähnlich komplexes Bild ergibt sich für den Fall, dass ein IAM-System auch Anwendungen verwalten muss, die aus organisatorischer Sicht in unabhängigen Niederlassungen oder Schwestergesellschaften betrieben werden. Beta Systems empfiehlt in diesem Bereich agentenfreie Verbindungskonzepte. Gemeinsam mit fehlertoleranter, bidirektionaler Kommunikation und einem Konzept für die schnelle Bereitstellung dient die IAM-Software als Mittler, mit dem der Nutzer maximale Kontrolle über sein externes Anwendungsnetzwerk erhält.

IAMaaS / Betrieb in der Cloud

IAM-Konzepte werden immer ausgefeilter, während Unternehmen zunehmend nach Wegen suchen, um Kosten in der IT zu reduzieren. Daher ist in den letzten Jahren einen Trend hin zu schlanken Systemen zu beobachten. Die Verlagerung von IAM in die Cloud stellt eine Möglichkeit dar, dieses Ziel umzusetzen. Skaleneffekten, geringere Anforderungen zum Betreiben der IAM-Lösung und vorkonfigurierte Governance-Konzepte und -Anwendungen sind die Vorteile, die Kunden sich davon versprechen. Derzeit können noch nicht alle Erwartungen erfüllt werden, jedoch lassen sich durch den Cloud-basierten Einsatz von IAM bereits zahlreiche solcher Vorteile erzielen. Die operativen Kosten einer IAM-Lösung kann man zudem deutlich reduzieren, sobald man die Lösung in einer Private-Cloud-Umgebung betreibt.

Externe Benutzer verwalten

Die Arbeit im Team mit externen Partnern oder Dienstleistern ist heutzutage die Regel. Seien es Freelancer, Partner, Lieferanten oder Kunden – diese externen Benutzer benötigen Zugriff auf spezifische Anwendungen des Unternehmens. Für IAM-Systeme leitet sich aus dieser modernen Arbeitsteilung die Notwendigkeit ab, dezentrale Administrationskonzepte einzuführen. Die stetig wachsende Zahl an externen Benutzertypen erschwert der Personalabteilung die Kontrolle über Ein- und Ausgliederungsprozesse. In diesem Szenario kann IAM nur funktionieren, wenn Möglichkeiten zur dezentralen Administration von (häufig projektspezifischen oder zeitlich begrenzten) Zugriffsrechten gefunden werden.

Das IAM-System sollte daher Funktionen für die flexible interne Sicherheit (ISEC) bereitstellen und organisatorische Strukturen (Zugangscodes) berücksichtigen. So können Unternehmen individuellen Nutzern feinstufig Administrationsrechte zuweisen und die selektive Bearbeitung von Zugriffsrechten für einzelne Benutzergruppen sicherstellen.

Zusammenarbeit mit anderen IAM-Körperschaften

Bei der Verwaltung externer Benutzer geht es um mehr als nur die Administration mittels dezentraler Konzepte und Fernanbindung. Immer mehr Anwendungen basieren auf sog. Identitätsverbunden (Identity Federations). Die dadurch entstehenden Vertrauensbeziehungen zwischen mehreren Anbietern von Identitätslösungen und Identity & Access-Managementsystemen machen es möglich, jede einzelne Identität in einem einzelnen System zu verwalten. Zugleich wird eine systemübergreifende Single-Sign-On-Funktionalität bereitgestellt, mit der die führenden Systeme Benutzer über sämtliche angebundenen Systeme hinweg identifizieren (SAML-Assertion). Indem er Steuerungsaufgaben für die vom IDP zu identifizierenden Benutzer übernimmt, kann der IAM-Lösungsanbieter Verbundsysteme und Identity-Provider (IDPs) unterstützen.

Webzugriff durch externe Benutzer

In zahlreichen Anwendungsfällen übersteigt die Zahl der extern angebundenen Teilnehmer die des internen Benutzerkreises um ein Vielfaches. Sehr häufig haben diese externen Nutzer/Kunden nur auf wenige Anwendungen Zugriff. Auch werden sie in der Regel nicht über komplexe und dynamische rollenbasierte Konzepte verwaltet. Meist gelten stattdessen pauschale Regeln, so dass die einzelnen Benutzer einen „standardisierten Zugriff“ auf ihre individuelle Datenbasis erhalten. Die zentrale Herausforderung besteht demnach nicht im Zugriffsmanagement, sondern darin, ein angemessenes Sicherheitskonzept auszuarbeiten.

Vergleichbar mit Firewall-Anwendungen müssen Systeme, die den Webzugriff externer Benutzer steuern, typische Gefahren des Internets berücksichtigen, darunter massive Denial-of-Service-Angriffe usw. Aus diesem Grund werden solche Anwendungen auch als „Web Access Firewalls“ bezeichnet.

* Niels von der Hude ist Director Product Strategy IAM der Beta Systems Software AG.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44325595 / Benutzer und Identitäten)