Titelbild IAM Experte Identity Provider

Was ist ein Identity Provider (IdP)

Identity Provider (IDP) – ein Schlüssel für viele Schlösser

Die IT-Landschaft eines Unternehmens besteht meist aus fragmentierten Anmeldeseiten und Single Sign-On (SSO) Endpunkten. Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Darüber hinaus soll die Abhängigkeit von herstellerspezifischen Produkten und proprietären Protokollen in einer Web-Authentisierungslandschaft minimiert werden. Hier empfiehlt sich die Nutzung von einem zentralen Service, welcher die Authentifizierung, Token-Generierung und Bereitstellung der Nutzerinformationen für alle angeschlossenen Applikationen in unterschiedlichen Netzwerkzonen ermöglicht. 

Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Kundenspezifisch und anwenderfreundlich

Wie ein Schlüssel für mehrere Schlösser wird der Identity Provider eingesetzt, um den Zugang zu den unterschiedlichen Portalen und Anwendungen für Mitarbeitende so einfach wie möglich zu gestalten.

Unterschiedliche Identity Provider kümmerten sich bisher um die Anmeldungen, dadurch wurde es für das Unternehmen sowie seine Anwender zusehends unübersichtlich. Eine anwenderfreundlichere Lösung war gefragt. 

Bei der Konzeptionierung und anschliessenden Implementierung des zentralen Identity Provider waren für den Kunden die Verbindung (Connectivity) und Funktionalität über verschiedene Netzwerkzonen sowie die Verknüpfung mehrerer Verzeichnisdienste die größten Herausforderungen. Mit einem zentralen IdP erhalten alle Benutzer aus den verschiedenen Bereichen des Unternehmens eine einheitliche Login-Seite.

Authentifizierungs- und Autorisierungsmechanismen als die wichtigsten Komponenten

Die zwei wichtigsten Komponenten des Prozesses zur Nutzung eines zentralen IdP sind die Authentifizierungs- und Autorisierungsmechanismen. Bei der Authentifizierung besteht das Hauptziel darin, die Identität des Benutzers oder des Systems zu bestimmen, um sicherzustellen, dass jede Person diejenige ist, für die sie sich ausgibt. Sobald die Authentifizierung erfolgreich durchgeführt wurde, beginnt der Prozess der Autorisierung. Dieser definiert, welche Zugriffsrechte der Benutzer oder das System haben soll. Dabei sind diese beiden wichtigen Komponenten eng miteinander verknüpft. Um die maximale Sicherheit der Systeme zu gewährleisten, müssen beide korrekt entworfen und konfiguriert werden.

Der Authentifizierungsprozess kann auf der Grundlage verschiedener, vom IdP bereitgestellter Anmeldemethoden, durchgeführt werden.

Die verschiedenen Möglichkeiten der Authentifizierung

Die formularbasierte Anmeldung, der Klassiker

Eine der bekanntesten Authentifizierungsmethoden ist die formularbasierte Anmeldung via Benutzername und Passwort, falls diese noch zum Einsatz kommen und noch nicht komplett durch eine Multifaktor-Authentifizierung abgelöst wurde.

Die Multifaktor-Authentifizierung (MFA) für ein zentrales IdP-System

Die Multifaktor-Authentifizierung (MFA) ist eine weitere Anmeldemethode, welche vom IdP ermöglicht wird. Dieser Mechanismus ergänzt die Anmeldung mit Passwort, indem nach einem weiteren Identitätsnachweis (Faktor) verlangt wird. Dies kann zum Beispiel eine Mobiltelefon-App, SMS oder ein physisches Gerät sein, welches ein One Time Passwort (OTP) generiert.

Zertifikatsbasierte Authentifizierung mit dem Dienstausweis

Eine der sichersten Zwei-Faktor Authentifizierungen ist die zertifikatsbasierte Authentifizierung. Sie wird in Form einer Smart Card realisiert, welche der Kunde idealerweise auch zeitgleich als Ausweis für die Zutrittsberechtigung in Gebäuden verwendet. Diese enthält die von der PKI-Zertifizierungsstelle (Public Key Infrastructure) ausgestellten Zertifikate inkl. privaten und öffentlichen Schlüsseln. Bereits beim ersten Aufruf des IdP wird überprüft, ob das Endgerät ein Zertifikat mit passendem Verwendungszweck vorweisen kann und fordert diesen zur Auswahl des Zertifikats oder direkt zur Eingabe eines PIN auf. So wird sichergestellt, dass initial eine sichere und einfache Anmeldemethode verwendet wird.

Risikobasierte Authentifizierung (RBA) für den Verdachtsfall

Die risikobasierte Authentifizierung (RBA) oder adaptive Authentifizierung ist eine weitere Sicherheitsebene, die bei dem Kunden am IdP implementiert wird. Der risikobasierte Authentifizierungsmechanismus bewertet das Risikoprofil eines Benutzers auf der Grundlage von Faktoren wie Endgerät, Standort und das Netzwerk, über welches der Benutzer versucht auf die Ressource zuzugreifen. Diese faktoren spielen hier ebenso eine Rolle, wie die Empfindlichkeit der Ressource selbst. Im Falle eines verdächtigen Zugriffs auf eine Ressource wird eine zusätzliche Authentifizierung verlangt.

Die Verwendung eines IdP hat den großen Vorteil, dass eine oder jede Kombination der oben genannten Authentifizierungsmethoden für die jeweiligen Anwendungen implementiert und bearbeitet werden kann. Damit ist die Notwendigkeit für unterschiedliche Authentifizierungen der einzelnen Applikationen nicht mehr gegeben. Darüber hinaus kann der Authentifizierungsmechanismus dieser Anwendung bei etwaigen Änderungen über den IdP bearbeitet werden.

Die Autorisierung ist für den IdP optional

Autorisierung auf Basis der Authentifizierung

Die optionale Autorisierung durch den IdP erfolgt auf Basis der bereits genannten Stärke-Stufen der Authentifizierung, welche pro Applikation definiert werden. Der IdP kann mit diesen Informationen die jeweiligen Zugriffsentscheidungen treffen und gewährt dem Anwender Zugriff auf das Zielsystem, fordert eine stärkere Authentifizierungsstufe oder blockiert den Zugriff.

Identität und Single Sign-On für Applikationen

Sobald die Identität und die Zugriffsrechte des Benutzers festgestellt wurden, kann ein Austausch von dessen Attributen mittels SSO-Protokolls erfolgen. Die Auswahl des Protokolls ist abhängig von den Fähigkeiten der Service Provider (SP). Aktuelle Anwendungen nutzen überwiegend SAML 2.0 oder OIDC für die Authentifizierung und nehmen jeweils den Token dieser Protokolle entgegen.

Die Herausforderung bei diesem Prozess besteht darin, dass jede Anwendung unterschiedliche Attribute für die Authentifizierung verlangt, zum Beispiel E-Mail-Adresse oder UserID usw.

Mit den Informationen aus dem Token kann die Applikation bei Bedarf eine Autorisierung selbst durchführen. Zum Beispiel wird anhand einer Liste von Rollenmitgliedschaften entschieden, welche Zugriffsrechte der Benutzer hat, da der IdP diese Informationen in den Token schreiben kann.

Es muss vorab klar definiert sein, welche Daten in den jeweilige Token geschrieben werden, um dann die einzufügenden Attribute zu konfigurieren. Für SAML 2.0 wird die existierende Assertion im XML-Dateiformat erweitert und für OIDC der JSON Web Token (JWT) angepasst.

IdP für mehr Komfort und besseren Überblick

Die Implementierung eines IdP spiegelt den Grundgedanken wider, die Anwendung separat zu betrachten und über standardisierte Protokolle erreichbar zu machen, um so eine maximale Flexibilität zu erreichen und Software-Produkte austauschbar zu machen.

Vorteile:

  • Kein Vendor Lock-in-Effekt
  • Access Enforcement kann mit anderen Produkten erfolgen
  • Nutzung einer existierenden Identity Plattform
  • Einheitlicher Login Prozess aus Benutzersicht

Nachteile:

  • Initiale Konfiguration aufwendig
  • Der IdP muss gegen Ausfall abgesichert sein
Headerbild zu Intelligente Dokumentenverarbeitung / Intelligent Document Processing
Service 11.08.21

Intelligent Document Processing (IDP)

Intelligent Document Processing (IDP) umfasst die Erfassung, Erkennung und Klassifikation von Geschäftsdokumenten und Daten aus unstrukturierten und halbstrukturierten Texten.

Titelbild OneIdentity by Quest
Partner

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.
Technologie Übersicht 07.08.20

One Identity

Bei One Identity dreht sich alles um das Thema IT-Sicherheit. Das Tochterunternehmen des Softwareherstellers Quest unterstützt seine Kunden bei der Entwicklung einer identitätsorientierten Sicherheitsstrategie. Dafür stellt es ein umfassendes Portfolio mit Lösungen zur Identitäts- und Zugriffsverwaltung zur Verfügung.
Titelbild OneIdentity by Quest
Partner 17.08.21

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.
Titelbild zum Expertenbericht Fabric Identity - IAM
Blog 29.08.22

Identity Fabric

So können Unternehmen die effiziente Verwendung von Identitäten für die Digitalisierung nutzen und einen Wettbewerbsvorteil erzielen.
Presse 09.09.20

Fachbeitrag: Plattform für E-Mobility Service Provider

Besitzer von Elektroautos haben die Ladeanzeige der Akkus stets im Blick. Geht sie gegen Null, beginnt die Suche nach der nächstgelegenen Ladesäule, um die Fahrt fortzusetzen. Hier kommen Apps zum Einsatz, die den kürzesten Weg zur kostbaren Elektrotankstelle und deren Kapazität zeigen.

Teaserbild zu OCR vs IDP (Intelligent Document Processing)
Wissen 07.03.23

OCR vs IDP: Vorteile von Intelligent Document Processing

Intelligent Document Processing“ heißt ein neuer Ansatz in der IT. Er erlaubt die automatisierte Datenerfassung aus Geschäftsdokumenten.

Event 19.10.21

Enterprise Identity Roadshow

"The Future of Identity is Here" lautet der Leitsatz der ersten Enterprise Identity Roadshow am 18. November in München. Treffen Sie die IAM-Experten der TIMETOACT GROUP und tauschen Sie sich zu Innovationen und Fallstudien rund um Cybersicherheit aus.

Nov 18
Asset

Identity governance administration

Identity governance administration
Blogbeitrag Microsoft Identitäts Manager
Blog 30.06.22

Wie weiter mit dem Microsoft Identity Manager?

Microsoft wird das Portal in naher Zukunft nicht mehr unterstützen. Die Sync Engine bleibt noch bestehen und wird gerade im Azure Umfeld sehr häufig eingesetzt. Wir empfehlen unseren MIM Kunden nun das Thema anzugehen.
Bild zum Newsbericht Governance
News 24.06.21

Wie steht es um Ihre Identity Governance?

Unser kostenloses Self Assessment gibt Ihnen einen Überblick über den Reifegrad der Identity Governance in Ihrem Unternehmen.

Teaser ipg cloud v3
Lösung

Enterprise Identity Cloud

Die Saviynt Enterprise Identity Cloud (EIC) ist die einzige konvergente Cloud-Identitätsplattform, die intelligenten Zugriff und umfassende Governance bietet. Ein modernes Identitätsmanagement mit einer Zero-Trust-Grundlage.
Expedition IAM
Blog 21.01.22

Die Expedition zum Identity Management

Die Expedition zum Identity Management - die etwas andere Phasenplanung im IAG.
Blog 09.02.24

Ein Public Cloud Cheat Sheet der führenden Cloud Provider

Der Blogbeitrag bietet dir einen Überblick über die aktuelle Landschaft der Public Cloud. Das "Public Cloud Cheat Sheet" ist ein nützlicher Wegweiser durch die komplexe Welt der Public Cloud.
Security, Identity & Access Management
Service

Security, Identity & Access Management

Immer wieder hört man von Hackerangriffen auf Unternehmen – und Ziel sind sensible Unternehmensdaten.

Service

Security, Identity & Access Governance

Wir bieten unseren Kunden umfassende Unterstützung im Bereich Security, Identity & Access Governance an.

Bild zur Newsmeldung IPG bekommt OneIdentity Award
News 17.07.20

One Identity Awards 2020

Die IPG-Gruppe ist von One Identity als «EMEA PLUS Partner» und «Regional Partner of the year – Central Region» ausgezeichnet worden.

Logo zum Zusammenschluss OneIdentity und OneLogin
News 11.11.21

OneLogin by One Identity

Als Platinum+ Partner von One Identity freut sich die IPG Group über den Zusammenschluss von OneLogin mit One Identity.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!