< Thema >

Was ist Identity and Access Management (IAM)?

Obwohl man sich im Internet oft anonym bewegt (auch wenn es Tracking gibt), gibt es Situationen, in denen Dienste genau wissen müssen, wer sie nutzt.

Beispiele sind Online-Stores oder Banking-Apps, die wissen müssen, auf wessen Konten sie Zugriff geben. So auch News-Portale, die Artikel hinter Bezahlschranken nur ihren Abonnenten anzeigen, oder Portale, die Informationen und Dienste nur ihren Mitgliedern bereitstellen. Soziale Medien, Portale und Apps, die durch Benutzer erzeugte Inhalte (User-generated Content) veröffentlichen, wie Instagram, LinkedIn, TickTok, Facebook, Wikipedia, Confluence, GitHub, sind ebenfalls Anwendungsbereiche.

Alle diese Anwendungen müssen ihre Benutzer kennen, um zu entscheiden, wer welche Inhalte editieren, sehen, oder kopieren darf.

Solche Anwendungen besitzen in der Regel auch administrative Dienste, auf die nur berechtigte Benutzer zugreifen dürfen. Diese nutzen Funktionen, um Inhalte zu editieren, andere Benutzer zu verwalten oder andere System-Funktionen zu bedienen.

Die Aufgabenbereiche

Identity and Access Management (IAM) ist der Oberbegriff für die Systeme, die die Problematik der oben genannten Beispiele umsetzen. Sie behandeln im Allgemeinen die Aspekte Identifikation von Benutzern, sowie deren Authentifizierung und Autorisierung für die Diensten, die sie benutzen. 

Wenn es sich bei Benutzern um Kunden handelt, sprechen wir auch von Customer Identity and Access Management (CIAM).

IAM-/CIAM-Systeme bieten häufig die im Folgenden beschriebenen Funktionalitäten an.

Verwaltung von Benutzerprofilen

  • Registrierung / Sign-In des Benutzers,
  • Verifikation des registrierten Benutzers,
  • alternativ die Übernahme einer Registrierung von einem anderen Online-Dienst (Identity-Brokering),
  • oder die Übernahme von Benutzerprofilen von externen Systemen (Federation), zum Beispiel Verzeichnisdiensten (Microsoft Active Directory, SAP Solution Manager, Open Directory, OpenLDAP).

Zugangsportale mit den folgenden Funktionen

  • Login / Sign-On,
  • Single-Sign-On (SSO), also das Login für verschiedene Dienste gleichzeitig,
  • Multi-Faktor-Authentifikation (MFA),
  • Aufklärung darüber, zu welchem Zweck der Login dient (Scope),
  • Zustimmung des Benutzers zur Weitergabe persönlicher Informationen nach dem Login an angeschlossene Dienste, im Rahmen des Zweckes / der Scopes.

Übermittlung von Informationen zum Benutzer an externe und interne Dienste

  • Für die Autorisierung und Zugriffssteuerung von Diensten: Per Access-Token oder Webservice, mit Informationen zu Berechtigungen des Benutzers, wie Gruppen, Rechte, persönliche Kürzel.
  • Zur Identifikation des Benutzers: Per Identity-Token oder Webservice, mit Stammdaten des Benutzers, zum Beispiel Namen, Adressen, Kontakt-Informationen.
  • Zur Absicherung der Informationen durch kryptographische Verfahren, damit sich angeschlossene Dienste auf diese verlassen können (Signaturen, JWK).

Zugriffssteuerung / Autorisierung in angeschlossenen Diensten

  • Für die Autorisierung und Zugriffssteuerung von Diensten: Per Access-Token oder Webservice, mit Informationen zu Berechtigungen des Benutzers, wie Gruppen, Rechte, persönliche Kürzel.
  • Zur Identifikation des Benutzers: Per Identity-Token oder Webservice, mit Stammdaten des Benutzers, zum Beispiel Namen, Adressen, Kontakt-Informationen.
  • Zur Absicherung der Informationen durch kryptographische Verfahren, damit sich angeschlossene Dienste auf diese verlassen können (Signaturen, JWK).

Sichere Verwaltung persönlicher Informationen über ihren gesamten Lifecycle

  • Zugriff auf Benutzerprofile erhalten nur Berechtigte.
  • Absicherung kritischer Informationen durch aktuelle kryptographische Verfahren.
  • Passwörter werden nur innerhalb des IAM-Systems verarbeitet und sicher abgelegt,
  • andere persönliche Informationen werden nur nach Zustimmung des Benutzers an angeschlossene Systeme weitergeleitet.
  • Verwaltung der Zustimmungen zur Informationsweitergabe.
  • Durchsetzung von Regelungen, wie etwa die regelmäßige Änderung von Zugangsdaten.
  • Löschung persönlicher Informationen und ganzer Benutzerprofile.

Protokollierung und Audit

  • Protokollierung von Registrierung, Login, Sessionzeiten, Abmeldungen, u.s.w.
  • Schutz von Geheimnissen dabei, etwa durch Password-Scrambling
  • Zugang zu diesen Protokollen für Berechtigte.

Standards und Produkte

Im Laufe der Zeit haben viele Hersteller eigene IAM-Produkte entwickelt, insbesondere für das Herzstück, den Identity Provider (IDP). Das ist der Service, der Benutzerdatensätze verwaltet, Benutzer identifiziert und diese für Authentifizierung und Autorisierung per Token ausweist.

Um eine gute Interoperabilität und Integrierbarkeit zu gewährleisten, haben Anbieter schon früh gemeinsame Industriestandards festgelegt, die heutzutage Grundlage fast aller relevanter Produkte im IAM-Bereich sind. Dies sind:

  • SAML für Authentifikation, Autorisierung und Brokering
  • OAuth2 für Autorisierung, und Brokering
  • OpenID Connect für Authentifikation, Autorisierung, Brokering und Single Sign On
  • LDAP für Federation
  • Kerberos für Single Sign On

Es existieren sowohl Cloud-Lösungen als auch installierbare Pakete, die on-premise betrieben werden können.

Produkte, die diese Standards implementieren, sind sehr einfach in eigene Services und Applikationen zu integrieren, denn es existieren für alle gängigen Programmiersprachen und Frameworks etablierte, gut getestete und somit gehärtete Softwarebibliotheken. 

Bedeutung für Unternehmen

Authentifikation und Autorisierung von Benutzern ist eine Anforderung sehr vieler IT-Anwendungen, insbesondere im unternehmerischen Bereich. Dabei sind Datensicherheit, Datenschutz und Systemsicherheit sehr relevante Aspekte.

Die Anforderungen sind komplex, die Lösungen im Kern aber immer ähnlich. Darum ist es teuer, hierfür immer wieder neue, eigene Lösungen zu entwickeln.

IAM-Anbieter bieten für Unternehmen fertige IDP-Produkte an. Cloud-Lösungen haben den Vorteil, dass man sich nicht um Installation, Betrieb und Aktualisierungen kümmern muss, On-Premise-Lösungen können hingegen in geschlossenen Netzwerken betrieben werden.

Man erhält damit die einfache Integration in die eigene Systemlandschaft, an das eigene Benutzerverzeichnis, bei Bedarf an fremde IDPs, mit fertigen Softwarebibliotheken an die eigenen Applikationen und Services. Zum Funktionsumfang gehören ebenso fertige Zugangsportale für Registrierung, Login, ggf. gleich mit Multi-Faktor-Authentifikation, Logout, Passwort vergessen, Benutzerprofil-Dialoge, Abmeldung und Profillöschung und E-Mail- und SMS-Services mit der Möglichkeit zum Theming und der Anpassung an das Corporate Design, sowie fertige Administrations- und Management-Applikationen für die Benutzerverwaltung.

Das könnte Sie auch interessieren:

AWS Kostenoptimierung

Die ultimative AWS-Checkliste: Erfolgreich zur Kostensenkung. Von S3 bis Cloud Financial Management

Mehr erfahren
Product Innovation

‘Low Hanging Fruits’ und ‘High Potentials’ aus der Sicht Ihrer Kunden und Anwender kompakt auf den Punkt gebracht.

Mehr erfahren
Techpresso

Was ist ein Identity Provider? Unser Techpresso erklärt's - kurz & bündig.

Video ansehen
Die Retrospektive

Die ideale Plattform, um gemeinsam Erfolge und Herausforderungen zu analysieren.

Mehr erfahren
News & Insights

Die aktuellsten Inhalte sind immer sofort auf unserer LinkedIn-Seite verfügbar.

Folgen Sie uns gerne!
Icon: Newsletter

Sie wollen mehr erfahren? 

Lassen Sie uns sprechen.