Access und Identity: Identitätsbasierter Schutz für Web-Ressourcen

In vielen Unternehmen steigt die Notwendigkeit, dass im Rahmen der Zusammenarbeit mit externen Partnern, aber auch mit Endanwendern der Zugriff auf Ressourcen, Insbesondere Applikationen und Daten ermöglicht werden muss. Damit entsteht die Herausforderung für die Unternehmens-IT, sichere, performante und nachvollziehbare Mechanismen zu schaffen, die den Zugriff von externen Systemen und auf externe Systeme ermöglichen. Hierzu gehört insbesondere auch die steigende Anzahl von Applikationen, die heute von Unternehmen in der Cloud genutzt werden.

Kommunikation und Interaktion als Basis neuer Geschäftsmodelle

Der Nutzen indes ist erheblich: Unternehmen erhalten definierten und kontrollierten Zugriff auf Anwendungen von Partnerunternehmen.  Die Zusammenarbeit innerhalb von industriespezifischen Netzwerken wird gestärkt, etwa entlang der Lieferkette.  Neue Modelle der Arbeit und der Zusammenarbeit mit externen Mitarbeitern, Freelancern, aber auch mit eigenen, mobilen Mitarbeitern werden ermöglicht. Immer wichtiger wird aber auch der Zugriff von Kunden und Interessenten auf Unternehmenssysteme sowohl in der Cloud als auch im eigenen Rechenzentrum. So kann zum Beispiel im Rahmen eines selbstregistrierten Kunden oder Interessenten oder auf der Basis der Nutzung sozialer Logins eine eingeschränkte, maßgeschneiderte Nutzung von bereitgestellten Dienstleistungen gewährt werden. Aber auch die Bereitstellung eines web-basierten Single-Sign On (SSO), also die Nutzung einer einheitlich Benutzer-Authentifikation für viele Anwendungen, ist ein grundlegender Basisnutzen, der in vielen Unternehmen auch im Jahr 2016 noch keine Selbstverständlichkeit ist.

Klar ist, dass diese Systeme dann auch einen essentiellen Bestandteil der Umsetzung einer Unternehmenssicherheitsrichtlinie darstellen. Ein nicht zu unterschätzender Aspekt ist hierbei die Gewährleistung von Compliance zu notwendigen externen, etwa regulatorischen und rechtlichen Anforderungen. Betroffene Aspekte können etwas der Schutz von personenbezogenen Daten und die Nachvollziehbarkeit von kritischen Zugriffen sein.  Hier kann üblicherweise die Notwendigkeit einer Auditierung und des Nachweises der Beachtung gesetzlicher, fach- und branchenspezifischer Regelungen entstehen. Allerdings bieten solche Lösungen dann auch einen Ansatzpunkt für die Umsetzung der Erfüllung dieser Anforderungen an zentraler Stelle.

Die zwei grundlegenden Säulen für den Aufbau solcher sicheren Zugriffsmöglichkeiten bilden die Bereiche Web Access Management und Identity Federation. Im Tandem ermöglichen es diese beiden Technologien gemeinsam, der kontinuierlich steigenden Nachfrage nach sicheren und nicht zuletzt auch komfortablen Kommunikationswegen mit internen und externen Partnern angemessen zu begegnen.

Web Access Management als gut kontrolliertes Eingangstor

Grundlegend werden zwei unterschiedliche Architekturansätze unterschieden, die in der Praxis aber auch durchaus kombiniert vorkommen können: Ohne direkten Eingriff in die eigentliche Webserver-Infrastruktur kommen die sogenannten Proxy-Lösungen aus. Alle Zugriffe auf potentiell freigegebene Anwendungen werden hierbei über einen zentralen Proxy geleitet. Dieser nimmt alle Anfragen entgegen, authentisiert die Benutzer, sorgt für ein Single-Sign-On und leitet Benutzer-bezogene Informationen an die dahinterliegenden Zielapplikationen weiter. Hierdurch kann etwa auf Policy-Basis der Zugriff auf Applikationen gewährt werden, die eigentlichen Server werden vor ungerechtfertigten Zugriffen geschützt und die Benutzer-Identifikation findet an zentraler Stelle statt.

Alternativ erfolgt der Einsatz von sogenannten Agenten oder Plugins, die auf den einzelnen Anwendungs-Servern installiert werden. Diese werden Bei jedem zu Griff aktiviert und haben zum Teil weitreichende Eingriffsmöglichkeiten in die einzelnen Anwendungen. Hierbei kommunizieren sie mit einer zentralen Berechtigungskomponente, die die individuellen Autorisierungsentscheidungen unterstützt.

Beide Lösungsansätze unterscheiden sich in Komplexität und Leistungsumfang, bieten in ihrer Gesamtheit aber ein hohes Maß an Flexibilität. Gerade bei einer Vielzahl von anzubindenden Applikationen liegt der Gateway- oder Proxy-Ansatz nahe, der schnell viele Lösungen integrieren helfen kann, ohne üblicherweise einen Eingriff in die individuelle Applikation zu erfordern. Bei der Einbindung von exotischeren Applikationen können aber Agenten eine wertvolle Unterstützung sein. Darüber hinaus muss aber beim Plugin-Ansatz für viele Applikationen kontinuierlich die Verfügbarkeit der einzelnen Agenten als gewartete Softwarekomponente sichergestellt werden.

Beim Proxy-Ansatz ist eine entsprechend leistungsfähige Dimensionierung der eigentlichen Proxy-Infrastruktur einzuplanen, gleiches gilt bei der Agent-Technologie für den Policy-Server, der dann für dynamische Autorisierungsanfragen unter entsprechender Last steht.

Unabhängig vom gewählten Ansatz ist zu beachten, dass diese Systeme als Zugangs- und Berechtigungs-gewährende Infrastruktur einem hohen Maß an Sicherheitsanforderungen unterliegen.  Eine einzelne fehlerhafte Konfiguration kann hier schon erhebliche Auswirkungen an solch einem „Single Point of Access“ haben.

Identity Federation als Quelle für Nutzerdaten

Identity Federation als quasi komplementäre Technologie zum Weg Access Management ist der Oberbegriff für eine Menge von Konzepten, mit der auf der Basis standardisierter Protokolle der Zugriff auf Identitäten gewährt wird, die autoritativ durch andere Dateneigentümer bereitgestellt werden können. Somit können Unternehmenssysteme auch auf Nutzerdaten zugreifen, die im Identitätsmanagement von Partnerunternehmen liegen. Stark im Trend liegt auch der Einsatz von dedizierten, kundenorientierten Identitäts- und Access Management System (oft als CIAM = Customer Identity and Access Management bezeichnet), die eine logische Trennung zwischen Kunden- und Mitarbeitern schon durch das verwendete System gewährleistet, aber durch offene Protokolle wie OpenID Connect oder OAuth einen robusten und leistungsfähigen Nutzungsweg ermöglichen.  Denkbar ist hier auch die Nutzung von social logins etwa durch die Nutzung der Identity Federation-Funktionalitäten von Facebook, Google oder Twitter.

Ist auf Basis dieser Technologien die Möglichkeit geschaffen, auch Identitäten von Partnern oder Kunden zu verwenden, können diese im Rahmen eines übergreifenden Web Access Management-Konzeptes natürlich auch entsprechend berechtigt werden, ohne dass diese Identität jemals im eigenen Identity und Access Management (IAM) gepflegt werden mussten.

Beide Technologieaspekte, Federation und Web Access Management, können heute grundlegend als ausgereift und erprobt betrachtet werden. Sie stellen damit eine wichtige Grundlage dar, die Unternehmen in die Lage versetzen agile und innovative Prozesse umzusetzen und neue Geschäftsmodelle mit in ihre Produktplanung einzubeziehen. Gerade mit Blick auf die vielbeschworene Digitalisierung können diese modernen Technologien zur Nutzung und Berechtigung von Identitäten als Schlüsseltechnologie und damit als Enabler für eine Vielzahl neuer Anwendungsszenarien betrachtet werden.

Herausforderung Web Access

Strategisch ausgerichtete Unternehmens-IT-Abteilungen sind heute aufgefordert, eine angemessene Infrastruktur und die notwendigen Prozesse aufzubauen und kontinuierlich weiterzuentwickeln, die mit allen aktuellen und praxisrelevanten Herausforderungen in den Bereichen Web Access Management und Identity Federation zielgerichtet, sicher und nachvollziehbar umzugehen. Der Ansatz, einzelnen Kunden- oder Partner-Anforderungen mit individuellen Punktlösungen zu begegnen, konnte maximal in einer frühen Anfangsphase als angemessen betrachtet werden. Heute kann der Zugriff auf interne und externe Ressourcen nur sinnvoll als Teil einer unternehmensweiten und unternehmensübergreifenden Zugriffsmanagement-Strategie begriffen werden. Und damit ist dieser immer wichtiger werdende Bereich aus der Perspektive der Unternehmenssicherheit auch als Bestandteil einer umfassenden Identity und Access Management Strategie zu betrachten. Damit ist eine solche Lösung und die durch sie implementierten Mechanismen nicht zuletzt auch der entsprechenden Governance zu unterwerfen.

Eine umfassende Marktanalyse, die gerade zu Beginn dieses Jahres neu aufgelegt wurde, zeigt, dass der Markt in den Bereichen Web Access Management und Identity Federation durchaus reife, aber konzeptionell unterschiedliche Lösungen bereitstellt. Die Bandbreite beginnt hier bei den klassischen, großen Anbietern von umfassenden IAM-Paketen, beispielhaft etwa IBM, Oracle oder CA.  In diesem Marktsegment haben sich aber auch einige dedizierte Lösungsanbieter für einzelne Aspekte positioniert, die hier innovative und leistungsfähige Lösungen anbieten, wie etwa Forums Systems, WSO2 oder Ping Identity als Repräsentanten dieser Gruppe.  Nicht zuletzt zeigt diese Marktanalyse einmal mehr, dass das Thema externe Identitäten und deren Berechtigung auf interne Systeme ein hochaktuelles ist.

Anforderungsanalyse

Für das jeweilige Anwenderunternehmen gilt, dass wie in praktisch jedem anderen Bereich auch eine detaillierte Anforderungsanalyse zu erstellen ist, um auf dieser Basis dann eine angemessene technologische und produktorientierte Strategie zu wählen. Zu erwarten ist, dass das Thema Web Access Management für viele Unternehmen in Zukunft eine relevante Herausforderung darstellen wird. Eine grundlegende Auseinandersetzung mit den technologischen und Prozess-orientierten Aspekten einer solchen Konzeption kann mit Blick auf eine zügige Umsetzung, nur empfohlen werden. Denn falls eine solche Anforderung in Unternehmen aktuell wird, ist sie dann auch üblicherweise mit hoher Dringlichkeit umzusetzen.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

11 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago