Federated Identity & Access Management Schutz vor unberechtigtem Zugriff

Autor / Redakteur: David Miller / Stephan Augsten

Wer darf in einem föderalen System auf welche Daten zugreifen? Mit dieser Fragestellung setzt sich die aktuelle Debatte um die Gesetzesvorlage zur Antiterrordatei auseinander. Darin heißt es: „Innerhalb der beteiligten Behörden erhalten ausschließlich hierzu ermächtigte Personen Zugriff auf die Antiterrordatei“. In Unternehmen stellt sich die Frage nach der Zugangsberechtigung genauso, und sie geht sogar noch einen Schritt weiter.

Firma zum Thema

( Archiv: Vogel Business Media )

Im Unterschied zur Antiterrordatei geht es in der Wirtschaft nicht allein um Datenzugriffe, sondern um die Teilnahme an unternehmensübergreifenden Prozessen, unter anderem aus Produktion, Logistik und Entwicklung. Ein gutes Beispiel bilden die Lieferketten der Automobilindustrie. Hier sind viele Personen aus verschiedenen Unternehmen mit unterschiedlichen Aufgaben in einem gemeinsamen Prozess eingebunden.

Um ein für diese Anforderungen geeignetes Identity- und Access-Managementsystem zu implementieren, ist ein dreistufiger Prozess erforderlich.

Bildergalerie

Zum Ersten müssen Sie sicherstellen, dass nur berechtige Nutzer auf das System zugreifen können. Zweitens gilt es einen Prozess einzuführen, der für zugangsberechtigte Personen regelt, welche Informationen und Anwendungen sie bearbeiten dürfen. Beispielsweise werden einem Finanzanalysten alle relevanten Finanzdaten angezeigt, damit er einen Report erstellen kann. Allerdings wird er nicht berechtigt, Transaktionen durchzuführen oder die Daten zu verändern. Als Drittes müssen Sie für eine zentrale Kontrolle über das System sorgen.

Gestatten, Federation

Es ist also eine übergreifende Lösung notwendig, die ähnlich wie bei der Antiterrordatei den Zugriff interner und externer „ermächtigter“ Anwender auf Daten und Prozesse nach föderalen Prinzipien sicher und effektiv regelt. Dabei muss sie umfassende Kontrolle bieten, damit Unternehmen Compliance-Vorschriften wie den Sarbanes-Oxley Act (SOX) oder die europäische Datenschutzdirektive erfüllen können. Schließlich sollte die Lösung Unternehmensrichtlinien zur Verwaltung von Zugangsrechten umsetzen.

Eine solche Lösung wird als Federated Identity & Access Management (FIAM) bezeichnet. FIAM umfasst alle Prozesse, Vorgänge und Technologien, die es einem Unternehmen ermöglichen, Identitätsdaten über Unternehmensgrenzen hinweg bereit zu stellen und zu verwalten.

Vorteile einer Federation-Lösung

Im Vergleich zur Verwaltung von Zugangsrechten in jeder Applikation bietet ein föderatives Konzept wie FIAM deutliche Effizienz- und Kostenvorteile. Federation bedeutet, dass Identitäten (IDs) portabel sind und zwischen den Anwendungen ausgetauscht werden. Der Anwender kann mit einer Identität die unterschiedlichsten Anwendungen in unterschiedlichen Rollen nutzen. Dabei muss er sich nur noch an einer Stelle einloggen, erhält jedoch Zugriff auf alle verfügbaren Informationen, unabhängig davon, in welcher Anwendung diese liegen.

Dies ist besonders vorteilhaft, wenn Unternehmen die Informationen und Dienstleistungen über die eigenen Grenzen hinweg austauschen. Denn nur so können auch Partner, Kunden, Investoren und Zulieferer in die Arbeitsprozesse eingebunden werden und die Zusammenarbeit wird einfacher und effizienter. Scheidet der Anwender aus einem Unternehmen aus, können alle seine Rechte in einem einzigen administrativen Vorgang gelöscht werden, ohne dass einzelne Anwendungen angefasst werden müssen.

Folgende Absätze und die entsprechenden Grafiken in der Bildergalerie verdeutlichen den Unterschied zwischen den unterschiedlichen Identity-Management-Modellen.

Zugangskontrolle ohne Federation (Abbildung 1)

Im einfachen Modell ohne Federation hat jeder Nutzer eine eigene ID für jede Anwendung oder für jedes System und die lokale Administration und der Helpdesk verwalten die Benutzer in den unterschiedlichen Systemen. In diesem Modell verzichtet man auf eine Integration, gleichzeitig erfordert das Modell einen hohen Verwaltungsaufwand und führt damit zu hohen Betriebskosten. Darüber hinaus bietet es potenzielle Sicherheitslücken.

Die Analysten von Gartner gehen davon aus, dass jeder Anwender im Schnitt 28 Benutzernamen und Passwörter benötigt. Um sich alle einzelnen Zugangskennungen zu merken, schreiben viele Anwender die Passwörter auf oder benutzen leicht durchschaubare Wörter wie Vor- und Nachnamen. Dieses Vorgehen öffnet jedoch schnell die Tür zum Missbrauch und führt durch die zwangsläufige Fehleranfälligkeit zu erhöhtem Serviceaufwand.

Einfache Federation (Abbildung 2)

Im einfachen Federation-Modell besitzt der Anwender ebenfalls eine eigene ID für jede Anwendung oder jedes System. Er braucht sich jedoch nur in einem System anzumelden, um dann zwischen allen freigegebenen Anwendungen im Verbund wechseln zu können (Single Sign-on).

Dieses Modell mindert jedoch nur unwesentlich den Aufwand des Administrators: Er muss weiterhin für jeden Nutzer festlegen, zwischen welchen Anwendungen im System der Anwender ohne weitere Anmeldung hin und her wechseln darf und auf welche Anwendungen er keinen Zugriff erhält.

Zentralisiertes Modell (Abbildung 3)

Im zentralisierten Modell agiert ein neutraler Dienstleister wie Covisint als zentraler ID-Verwalter. Dieser stellt eine Plattform bereit, über die Unternehmensinformationen, -anwendungen und -prozesse innerhalb des gesamten Geschäftspartner-Netzwerks genutzt werden können. Neben dem Nutzen auf der Anwender-Seite können Unternehmen, die einen Dienstleister nutzen, auch den Aufwand der Administratoren deutlich verringern.

Insbesondere bei der Einbindung externer Geschäftspartner muss der Administrator die Zugriffsanträge in der Regel nicht mehr selber bearbeiten. Der FIAM-Dienstleister steuert einen Freigabeprozess, der in erster Linie die Autoritäten des Handelspartners in die Pflicht nimmt. In diesem Modell sinkt der technische Aufwand, und die Prozesse zur Benutzerverwaltung werden sicherer und schneller. Der Dienstleister sorgt zum Beispiel dafür, dass die Zugriffrechte nach der abgestimmten Freigabe an die relevanten Systeme weitergegeben werden.

Unternehmen haben in diesem Modell auch den Vorteil, dass sie die Kosten genau kalkulieren können. Der Dienstleister stellt den gesamten ID- und Zugangs-Service zur Verfügung und berechnet dafür eine feste monatliche Gebühr, die geringer ist als der Aufwand für die eigene dezentrale ID-Verwaltung. Denn durch Auslagern dieser Prozesse profitieren die Unternehmen von den Skaleneffekten, die ein Dienstleister realisiert, der große ID- und Anwenderzahlen verwaltet. Bei Covisint beispielsweise nutzen mehr als 260.000 Anwender in über 30.000 Organisationen das FIAM-Modell.

Bei der Auslagerung an einen Dienstleister sind neben den technischen Aspekten auch juristische und prozessbezogene Voraussetzungen zu beachten. In Bezug auf die Ausgestaltung der Verträge mit Geschäftspartnern und die Freigabeprozesse dienen die großen Lieferantenportale der Automobilindustrie als Orientierungspunkt. Hier haben sich praxiserprobte Regelungen und stabile Prozesse zusammen mit einer föderativen, schlanken Administration in großen digitalen Gemeinschaften etabliert. Der neutrale Dienstleister hilft bei der Definition, implementiert, steuert und überwacht die Prozesse. Somit können Unternehmen ihre Verwaltungskosten reduzieren, während die Anwender vom Komfort profitieren.

David Miller ist Chief Security Officer bei Covisint.

Artikelfiles und Artikellinks

(ID:2004786)