IPG ist Teil der
Titelbild IAM Experte Identity Provider

Identity Provider – ein Schlüssel für viele Schlösser

Identity Provider – ein Schlüssel für viele Schlösser

Die IT-Landschaft eines Unternehmens besteht meist aus fragmentierten Anmeldeseiten und Single Sign-On Endpunkten. Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Darüber hinaus soll die Abhängigkeit von herstellerspezifischen Produkten und proprietären Protokollen in einer Web-Authentisierungslandschaft minimiert werden. Hier empfiehlt sich die Nutzung von einem zentralen Service, welcher die Authentifizierung, Token-Generierung und Bereitstellung der Nutzerinformationen für alle angeschlossenen Applikationen in unterschiedlichen Netzwerkzonen ermöglicht. 

Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Kundenspezifisch und anwenderfreundlich

Wie ein Schlüssel für mehrere Schlösser wird der Identity Provider eingesetzt, um den Zugang zu den unterschiedlichen Portalen und Anwendungen für Mitarbeitende so einfach wie möglich zu gestalten.

Unterschiedliche Identity Provider kümmerten sich bisher um die Anmeldungen, dadurch wurde es für das Unternehmen sowie seine Anwender zusehends unübersichtlich. Eine anwenderfreundlichere Lösung war gefragt. 

Bei der Konzeptionierung und anschliessenden Implementierung des zentralen Identity Provider waren für den Kunden die Verbindung (Connectivity) und Funktionalität über verschiedene Netzwerkzonen sowie die Verknüpfung mehrerer Verzeichnisdienste die größten Herausforderungen. Mit einem zentralen IdP erhalten alle Benutzer aus den verschiedenen Bereichen des Unternehmens eine einheitliche Login-Seite.

Authentifizierungs- und Autorisierungsmechanismen als die wichtigsten Komponenten

Die zwei wichtigsten Komponenten des Prozesses zur Nutzung eines zentralen IdP sind die Authentifizierungs- und Autorisierungsmechanismen. Bei der Authentifizierung besteht das Hauptziel darin, die Identität des Benutzers oder des Systems zu bestimmen, um sicherzustellen, dass jede Person diejenige ist, für die sie sich ausgibt. Sobald die Authentifizierung erfolgreich durchgeführt wurde, beginnt der Prozess der Autorisierung. Dieser definiert, welche Zugriffsrechte der Benutzer oder das System haben soll. Dabei sind diese beiden wichtigen Komponenten eng miteinander verknüpft. Um die maximale Sicherheit der Systeme zu gewährleisten, müssen beide korrekt entworfen und konfiguriert werden.

Der Authentifizierungsprozess kann auf der Grundlage verschiedener, vom IdP bereitgestellter Anmeldemethoden, durchgeführt werden.

Die Authentifizierung

Die formularbasierte Anmeldung, der Klassiker

Eine der bekanntesten Authentifizierungsmethoden ist die formularbasierte Anmeldung via Benutzername und Passwort, falls diese noch zum Einsatz kommen und noch nicht komplett durch eine Multifaktor-Authentifizierung abgelöst wurde.

Die Multifaktor-Authentifizierung (MFA) für ein zentrales IdP-System

Die Multifaktor-Authentifizierung (MFA) ist eine weitere Anmeldemethode, welche vom IdP ermöglicht wird. Dieser Mechanismus ergänzt die Anmeldung mit Passwort, indem nach einem weiteren Identitätsnachweis (Faktor) verlangt wird. Dies kann zum Beispiel eine Mobiltelefon-App, SMS oder ein physisches Gerät sein, welches ein One Time Passwort (OTP) generiert.

Zertifikatsbasierte Authentifizierung mit dem Dienstausweis

Eine der sichersten Zwei-Faktor Authentifizierungen ist die zertifikatsbasierte Authentifizierung. Sie wird in Form einer Smart Card realisiert, welche der Kunde idealerweise auch zeitgleich als Ausweis für die Zutrittsberechtigung in Gebäuden verwendet. Diese enthält die von der PKI-Zertifizierungsstelle (Public Key Infrastructure) ausgestellten Zertifikate inkl. privaten und öffentlichen Schlüsseln. Bereits beim ersten Aufruf des IdP wird überprüft, ob das Endgerät ein Zertifikat mit passendem Verwendungszweck vorweisen kann und fordert diesen zur Auswahl des Zertifikats oder direkt zur Eingabe eines PIN auf. So wird sichergestellt, dass initial eine sichere und einfache Anmeldemethode verwendet wird.

Risikobasierte Authentifizierung (RBA) für den Verdachtsfall

Die risikobasierte Authentifizierung (RBA) oder adaptive Authentifizierung ist eine weitere Sicherheitsebene, die bei dem Kunden am IdP implementiert wird. Der risikobasierte Authentifizierungsmechanismus bewertet das Risikoprofil eines Benutzers auf der Grundlage von Faktoren wie Endgerät, Standort und das Netzwerk, über welches der Benutzer versucht auf die Ressource zuzugreifen. Diese faktoren spielen hier ebenso eine Rolle, wie die Empfindlichkeit der Ressource selbst. Im Falle eines verdächtigen Zugriffs auf eine Ressource wird eine zusätzliche Authentifizierung verlangt.

Die Verwendung eines IdP hat den großen Vorteil, dass eine oder jede Kombination der oben genannten Authentifizierungsmethoden für die jeweiligen Anwendungen implementiert und bearbeitet werden kann. Damit ist die Notwendigkeit für unterschiedliche Authentifizierungen der einzelnen Applikationen nicht mehr gegeben. Darüber hinaus kann der Authentifizierungsmechanismus dieser Anwendung bei etwaigen Änderungen über den IdP bearbeitet werden.

Die Autorisierung

Autorisierung auf Basis der Authentifizierung

Die optionale Autorisierung durch den IdP erfolgt auf Basis der bereits genannten Stärke-Stufen der Authentifizierung, welche pro Applikation definiert werden. Der IdP kann mit diesen Informationen die jeweiligen Zugriffsentscheidungen treffen und gewährt dem Anwender Zugriff auf das Zielsystem, fordert eine stärkere Authentifizierungsstufe oder blockiert den Zugriff.

Identität und Single Sign-On für Applikationen

Sobald die Identität und die Zugriffsrechte des Benutzers festgestellt wurden, kann ein Austausch von dessen Attributen mittels SSO-Protokolls erfolgen. Die Auswahl des Protokolls ist abhängig von den Fähigkeiten der Service Provider (SP). Aktuelle Anwendungen nutzen überwiegend SAML 2.0 oder OIDC für die Authentifizierung und nehmen jeweils den Token dieser Protokolle entgegen.

Die Herausforderung bei diesem Prozess besteht darin, dass jede Anwendung unterschiedliche Attribute für die Authentifizierung verlangt, zum Beispiel E-Mail-Adresse oder UserID usw.

Mit den Informationen aus dem Token kann die Applikation bei Bedarf eine Autorisierung selbst durchführen. Zum Beispiel wird anhand einer Liste von Rollenmitgliedschaften entschieden, welche Zugriffsrechte der Benutzer hat, da der IdP diese Informationen in den Token schreiben kann.

Es muss vorab klar definiert sein, welche Daten in den jeweilige Token geschrieben werden, um dann die einzufügenden Attribute zu konfigurieren. Für SAML 2.0 wird die existierende Assertion im XML-Dateiformat erweitert und für OIDC der JSON Web Token (JWT) angepasst.

IdP für mehr Komfort und besseren Überblick

Die Implementierung eines IdP spiegelt den Grundgedanken wider, die Anwendung separat zu betrachten und über standardisierte Protokolle erreichbar zu machen, um so eine maximale Flexibilität zu erreichen und Software-Produkte austauschbar zu machen.

Vorteile:

  • Kein Vendor Lock-in-Effekt
  • Access Enforcement kann mit anderen Produkten erfolgen
  • Nutzung einer existierenden Identity Plattform
  • Einheitlicher Login Prozess aus Benutzersicht

Nachteile:

  • Initiale Konfiguration aufwendig
  • Der IdP muss gegen Ausfall abgesichert sein

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Unsere Experten stehen mit Ihrem langjährigen Know-how für kundenspezifische Applikationen gerne bereit. 

Bild zum Expertenbericht Customer IAM
Blog 30.06.21

Customer IAM - die praktische Einordnung ins IAM

Wie sieht das CIAM von der konkret, praktischen Seiten aus? Was ist dabei zu berücksichtigen und vor welche Herausforderungen steht man dabei? Wir beleuchten das Thema basierend auf konkreten Erfahrungen.
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Entdecken Sie die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.
Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

Cyberversicherung
Blog 24.11.23

Verringerung von Cyberrisiken: Was ist versicherbar?

Warum sind Cyberversicherungen zu einem integralen Bestandteil moderner IT-Sicherheitsstrategien geworden? Welche entscheidenden Faktoren beeinflussen die Prämien – wir beleuchten die Dynamik dieses aufstrebenden Versicherungsbereichs.✅
Teaserbild Expertenbericht SSI
Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.
Teaser KI IAM
Blog 21.03.22

Die schlaue Seite der Identity und Access Governance

Im Identity und Access Management beginnt die «Artificial Intelligence» Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein.

Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?
Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung in einem Unternehmen zieht Änderungen in Arbeitsabläufen nach sich. Die Erhebung und Modellierung der IAM-Prozesse sind essenzielle Schritte zum Verständnis und der Akzeptanz der Lösung in der Organisation. Lesen mehr dazu in unserem Blog.
Teaserbild Expertenbericht 360 Grad Assessment IAM
Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.
Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.
Teaserbild_Expertenbericht_DORA_IAM
Blog 02.10.23

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten. ✅ Mehr dazu in unserem Blog.
Teaserbild_Expertenbericht NIS2
Blog 09.04.24

Cybersecurity Evolution: NIS-2

Unser Expertenbericht beleuchtet die Schlüsselrolle IAM bei der Umsetzung der NIS-2 Verordnung. Welche Punkte sind zu beachten. Lesen Sie hier mehr.
Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.
Teaserbild Expertenbericht Berechtigungsmanagement IAM
Blog 27.11.24

Sicheres Berechtigungsmanagement leicht gemacht!

Ein modernes IAM-System vereinfacht das Berechtigungsmanagement und schützt vor ungewolltem Zugriff. Erfahren Sie, wie Sie mit automatisierten Prozessen IT-Sicherheit und Compliance steigern.

Blog 03.02.25

MIM End-of-Life: Strategien zur erfolgreichen Planung

Was kommt nach dem Microsoft Identity Manager? Wir zeigen Ihnen, wie Sie den Übergang erfolgreich planen – mit Optionen von schrittweiser Migration bis hin zu neuen Lösungen. Lesen Sie hier mehr.
Teaser Expertenbericht KI und IAM
Blog 13.12.24

Braucht KI eine digitale Identität?

KI wird zunehmend autonom und übernimmt wichtige Aufgaben in Unternehmen. Wie bleibt die Kontrolle über sensible Daten gewährleistet? Wir beleuchten die Notwendigkeit einer digitalen Identität für KI.
DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.
Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Titelbild zum Expertenbericht Fabric Identity - IAM
Blog 29.08.22

Identity Fabric

So können Unternehmen die effiziente Verwendung von Identitäten für die Digitalisierung nutzen und einen Wettbewerbsvorteil erzielen.
Teaserbild digitale ID Kopie
Blog 29.03.23

Digitale Identitäten als Ausweis

Eine digitale Identität ist eine elektronische Repräsentation einer natürlichen Person. Im Experten-Interview gibt Claudio Fuchs, CEO von IPG, einen Überblick über den Fortschritt in den drei Ländern Deutschland, Österreich und Schweiz.