Gemalto is now part of the Thales Group, find out more.
Kontakt

Zugriffsmanagement – Häufig gestellte Fragen

Ihre erste Anlaufstelle für das Zugriffsmanagement

Da Unternehmen aufgrund ihrer Benutzerfreundlichkeit und Effizienz zunehmend Cloud-Anwendungen nutzen, gehen sie auch unbeabsichtigt zusätzliche Risiken ein.Sensible Anwendungen und Daten sind standardmäßig durch schwache, statische Passwörter geschützt.Die Transparenz darüber, wer wann worauf zugreift und wie Identitäten verifiziert werden, ist immer schwieriger zu erreichen. Das wiederum erschwert die Compliance.IT-Administratoren benötigen zahlreiche verschiedene Konsolen, um Cloud-Identitäten zu verwalten.Die wichtigste Person im Prozess – der Benutzer – muss sich unzählige Benutzernamen und Passwörter merken.

Handbuch für das Zugriffsmanagement

Handbuch für das Zugriffsmanagement

Verwalten Sie den Benutzerzugriff mit dem Komfort von Cloud-Single-Sign-On und detaillierter Sicherheit?

Handbuch für das Zugriffsmanagement herunterladen

Das Zugriffsmanagement zielt darauf ab, diese dringlichen Probleme zu lösen, um eine sichere, benutzerfreundliche und vollständig konforme Cloud-Akzeptanz zu ermöglichen.

Die häufig gestellten Fragen zum Gemalto-Zugriffsmanagement liefern Antworten auf gängige Fragen zu diesem Thema.

Identity & Access Management (IAM) ist ein Teilbereich der Datensicherheit, der zwei Funktionen umfasst:Identity Governance & Administration (IGA) und Access Management (AM).

IAM bietet ein methodisches Rahmenwerk für das Erlauben (und Anfordern) von Zugriffen auf Anwendungen (IGA) sowie für das Durchsetzen von Zugriffskontrollen (AM) und sorgt für transparente Einblicke in Zugriffsereignisse (AM).

IGA-Lösungen helfen bei der Beantwortung folgender Fragen: „Wer soll Zugriff auf welche Anwendungen erhalten bzw. wer ist für welche Anwendungen zugriffsberechtigt?“ und „Wer hat von wem und wann Zugriff auf welche Anwendungen erhalten?“AM-Lösungen liefern Antworten auf folgende Fragen: „Wer hat wann und wie worauf zugegriffen?“ und „Wie wurde die Benutzeridentität verifiziert?“

Lösungen für das Identity & Access Management (IAM) bestehen aus den Komponenten Identity Governance & Administration (IGA) und Access Management (AM).IAM-Lösungen bieten ein methodisches Framework für das Erlauben (und Anfordern) von Zugriffen auf Anwendungen (IGA) sowie das Durchsetzen von Zugriffskontrollen (AM) und sorgen für transparente Einblicke in Zugriffsereignisse (AM).Da die meisten Unternehmen die IGA- und AM-Komponenten getrennt voneinander einsetzen, werden diese zunehmend als eigenständige Standalone-Lösungen und nicht mehr als kombinierte Funktionalität einer IAM-Suite eingestuft.

Mit dem Zugriffsmanagement kann festgestellt werden, ob ein Benutzer die Erlaubnis hat, auf eine bestimmte Ressource zuzugreifen. Hier wird die für die jeweilige Ressource festgelegte Zugriffsrichtlinie durchgesetzt.

Das Zugriffsmanagement basiert auf Zugriffsrichtlinien, die von IT-Administratoren definiert werden und Informationen darüber enthalten, welche Benutzergruppen (z. B. Vertrieb, F&E, Personalabteilung) auf welche Cloud-Anwendungen (z. B. Salesforce, Office 365, Jira, Taleo) zugreifen dürfen. Außerdem sind Informationen über die für den Zugriff auf jede Anwendung erforderlichen Benutzerattribute (z. B. vertrauenswürdiges Netzwerk, Passwort, einmalig gültiges Passwort) enthalten.

Die Zugriffsrichtlinie kann je nach Sensibilität einer Cloud-Anwendung mehr oder weniger Benutzerattribute erfordern.Diese Attribute werden mittels risikobasierter oder kontextbasierter Authentifizierung bewertet, die für die Durchsetzung der für jede Cloud-Anwendung definierten unterschiedlichen Zugriffsrichtlinien von zentraler Bedeutung ist.(Weitere Informationen finden Sie unter „Kontextbasierte Authentifizierung“.)

Von großer Bedeutung für das Cloud-Zugriffsmanagement ist auch das Single-Sign-On, das es ermöglicht, sich an allen Cloud-Anwendungen mit einem einzigen Benutzernamen und Passwort bzw. einer zentralen „Identität“ anzumelden.(Weitere Informationen finden Sie unter „Single-Sign-On“.)

IDaaS ist IAM-as-a-Service und wird auch als Identity-as-a-Service bezeichnet.IDaaS beschreibt Lösungen für das Identity & Access Management (IAM), die ein cloud-basiertes Service-Modell für das Identitäts- und Zugriffsmanagement nutzen.Obwohl IDaaS in den letzten Jahren als eigenständiger Markt betrachtet wurde, wird es aufgrund aktueller Trends künftig in zwei getrennte Bereiche unterteilt: Zugriffsmanagement und IGA. Die Bereitstellung erfolgt als Installation vor Ort, als Software oder als cloud-basierte Plattform.

Diagramm – IDaaS

Lösungen für Identity Governance & Administration (IGA) helfen bei der Beantwortung folgender Fragen: „Wer soll Zugriff auf welche Anwendungen erhalten bzw. wer ist für welche Anwendungen zugriffsberechtigt?“ und „Wer hat von wem und wann Zugriff auf welche Anwendungen erhalten?“Eine IGA-Lösung ermittelt beispielsweise, ob F&E-Mitarbeiter dazu berechtigt sind, auf bestimmte Entwicklungsanwendungen wie GitHub, Jira und Confluence zuzugreifen.Sie kann den Zugriff auf diese Anwendungen auf der Basis der aktuellen Gruppenzugehörigkeiten der F&E-Mitarbeiter automatisch einrichten.F&E-Mitarbeiter können auch Zugriffsrechte auf andere Anwendungen anfordern. Diese Anfrage wird dann durch einen Management-Genehmigungsprozess geleitet, den einige IGA-Lösungen unterstützen.

Föderierte Identitäten basierten auf einem einzigen vertrauenswürdigen Identity Provider (IdP), der die Authentifizierung von Benutzern regelt. Anwendungen leiten den Authentifizierungsprozess jedes Mal an den Identity Provider weiter, wenn ein Benutzer versucht, auf sie zuzugreifen.Anwendungen, die den Authentifizierungsprozess an den Trusted Identity Provider weiterleiten, werden als Service-Provider (SP) oder Serviceanbieter bezeichnet.

Föderierte Identitäten lösen die Herausforderungen und Probleme bei der getrennten Verwaltung von Zugangsdaten für zahlreiche interne und externe Web-Anwendungen eines Unternehmens. Sie ermöglichen es Administratoren und Benutzern, einen einzigen Benutzernamen und ein Passwort (bzw. eine Identität) für mehrere Anwendungen und IT-Ressourcen zu nutzen.Durch föderierte Identitäten wird die Passwortmüdigkeit beseitigt. Gleichzeitig steigt die Sicherheit, und Passwörter müssen nicht mehr so häufig zurückgesetzt werden.

Sie setzen auf Protokolle wie SAML und Open ID Connect sowie auf proprietäre Protokolle wie WS-Federation von Microsoft.

Diagramm – Was sind föderierte Identitäten?

Die föderierte Anmeldung ist eine Funktion von Protokollen wie SAML, Open ID Connect usw., die es Benutzern ermöglicht, sich mit ihrer aktuellen Unternehmensidentität bei mehreren Anwendungen anzumelden.Anstatt sich mit verschiedenen Benutzernamen und Passwörtern bzw. „Identitäten“ an diversen Cloud-Anwendungen anzumelden, können Benutzer die gleiche Identität für das Login bei Office 365, Salesforce, AWS usw. verwenden, mit der sie sich morgens am Unternehmensnetzwerk oder abends am VPN anmelden.

Ein Identity Provider ist ein System, das Benutzer authentifiziert, die versuchen, auf andere, unabhängige Websites zuzugreifen („Serviceanbieter“).Identity Provider bilden zusammen mit Serviceanbietern eine Architektur für föderierte Identitäten, in der Benutzer, die versuchen, auf eine Website (oder einen Serviceanbieter) zuzugreifen, zur Authentifizierung an den Identity Provider weitergeleitet werden.Der Identity Provider überprüft die Authentifizierungsdaten des Benutzers (z. B. Cookie, Gerät, Netzwerk, einmalig gültiges Passwort) und gibt die Antwort „Akzeptieren“ oder „Ablehnen“ zurück, die dann an den Serviceanbieter weitergeleitet wird.Identity Provider können auch die Berechtigung zum Zugriff auf bestimmte Daten im Auftrag von unabhängigen Websites anfordern.Zu den Autorisierungsdaten kann die Erlaubnis gehören, auf Informationen wie E-Mail-Adressen von einem Webmail-Konto oder Namen von Freunden eines Social-Network-Kontos zuzugreifen.

Beispielsweise fungiert der SafeNet Authentication Service als Identity Provider, wenn Benutzer wie oben beschrieben auf Cloud-Anwendungen zugreifen.

Diagramm – Identity-Provider-Modell

Ein Security Token Service (STS) ist ein System, das Benutzer authentifiziert, die versuchen, auf unabhängige Websites bzw. auf „einen vertrauenden Beteiligten“ (Relying Party) zuzugreifen.Security Token Services bilden zusammen mit den Relying Parties eine Architektur, in der Benutzer, die versuchen, auf eine Website (Relying Party) zuzugreifen, zur Authentifizierung an den Security Token Service weitergeleitet werden.

Security Token Services werden auch als Identity-Provider-Modelle oder token-basierte Authentifizierung bezeichnet.Ein STS entspricht einem Identity Provider, die Relying Party (RP) entspricht dem Serviceanbieter.Statt SAML-Assertions werden hier Sicherheits-Token ausgetauscht.Unterschiedliche Namen, gleiches Prinzip.

SAML, gesprochen „Sammel“, steht für „Security Assertion Markup Language“. Es handelt sich um einen XML-basierten offenen Standard für den Austausch von Authentifizierungsdaten zwischen unabhängigen Websites. Diese Funktionalität wird auch als föderierte Identität oder föderierte Authentifizierung bezeichnet.

Bei föderierten Identitäten lassen sich die aktuellen Benutzeridentitäten im Unternehmen auf die Cloud ausweiten. So ist eine Anmeldung an Cloud-Anwendungen mit der Unternehmensidentität möglich.Die föderierte Authentifizierung an Cloud-Anwendungen mit SAML ermöglicht es Benutzern, sich mit der aktuellen Unternehmensidentität an allen Cloud-Anwendungen anzumelden. So müssen sie sich nur einen Benutzernamen und ein Passwort merken.

So funktioniert SAML
Wenn ein Benutzer versucht, sich an einer cloud-basierten Anwendung anzumelden, wird er zur Authentifizierung an einen vertrauenswürdigen Identity Provider weitergeleitet.Der Identity Provider erfasst die Zugangsdaten des Benutzers, z. B. seinen Benutzernamen und sein einmalig gültiges Passwort, und gibt eine Antwort für den Zugriff auf die Cloud-Anwendung zurück.Diese auch SAML-Assertion genannte Antwort kann „Akzeptieren“ oder „Ablehnen“ lauten.

Auf der Basis dieser Antwort blockiert oder erlaubt der Serviceanbieter, z. B. Salesforce, Office 365 oder Dropbox, den Zugriff auf die Anwendung.

Diagramm – Identity-Provider-Modell

 

WS-Federation Services, kurz WS-Fed, ist das Microsoft-Protokoll für föderierte Identitäten.WS-Fed funktioniert mit den Active Directory Federation Services (ADFS) von Microsoft. Hier werden in Active Directory hinterlegte Identitäten auf cloud-basierte Microsoft-Anwendungen wie Office 365 oder Azure ausgeweitet.Wie SAML verwendet auch WS-Fed ein Identity-Provider-Modell.Beim Zugriff auf eine Microsoft-Cloud-Anwendung wird der Benutzer zur Authentifizierung an ADFS weitergeleitet. Auf der Basis der ADFS-Antwort gewährt oder verweigert die Cloud-Anwendung dem Benutzer den Zugriff.

OAuth, gesprochen „Oh-Auth“, steht für Open Authorization bzw. offene Autorisierung. Es handelt sich um einen offenen Standard für die föderierte bzw. token-basierte Authentifizierung und die Autorisierung zwischen unabhängigen Websites.Wie bei anderen Protokollen für föderierte Identitäten, z. B. SAML, Open ID Connect und WS-Fed, ermöglicht OAuth das Login an einer Anwendung mit einer Identität, die von einem vertrauenswürdigen Identity Provider überprüft wird.OAuth geht über die föderierte Authentifizierung hinaus und erlaubt es Benutzern, vertrauenswürdige Websites für den Zugriff auf bestimmte Kontoinformationen wie Kontaktnamen und E-Mail-Adressen zu autorisieren.Das OAuth-Protokoll wird beispielsweise von sozialen Netzwerken verwendet, um auf Webmail-Kontakte zuzugreifen und zu fragen, ob diese Kontakte zu sozialen Netzwerken eingeladen werden sollen.

Wie auch SAML ist OpenID Connect ein offenes Protokoll für föderierte Identitäten, das ein Identity-Provider-Modell verwendet.Im Gegensatz zu SAML, das mit einem Cookie arbeitet und daher nur mit Anwendungen funktioniert, die sich in einem Browser öffnen lassen („browser-basierte Anwendungen“), bietet OpenID Connect ein Single-Sign-On-Framework, das die Implementierung von SSO für browser-basierte Anwendungen, native mobile Anwendungen und Desktop-Clients (wie Rich-Clients und einige VPNs) ermöglicht.Die meisten Single-Sign-On-Implementierungen unterstützen heute nur cloud- und browser-basierte Anwendungen. Da immer mehr Identity Provider auf OpenID Connect setzen, ist nur eine einmalige Authentifizierung erforderlich, um gleichzeitig Zugriff auf alle Ressourcen zu erhalten, darunter Desktop-Clients, browser-basierte Anwendungen und native mobile Anwendungen.

Bring Your Own Identity (BYOI) beschreibt die Fähigkeit eines Unternehmens oder einer anderen Organisation, eine Identität zu unterstützen, die an anderer Stelle ausgestellt wurde und die den sicheren Zugriff auf Ressourcen ermöglicht.

Im Bereich Identitätsmanagement suchen Anbieter und Unternehmen nach Möglichkeiten, Mitarbeitern und Partnern den Zugriff auf Unternehmensressourcen über ihre eigene Identität zu ermöglichen.Diese Identität könnte theoretisch jede Identität sein, die ein ausreichendes Maß an Identitätssicherheit bietet, z. B. Personalausweise, Krankenkassenkarten oder Online-Identitäten wie Identitäten für soziale Netzwerke, Berufsnetzwerke und kommerziell verfügbare Identitäten wie FIDO.Die Unternehmens- und Konsumentenwelt nähern sich einander immer mehr an. Sicherheitsteams in Unternehmen stehen zunehmend unter dem Druck, die gleichen Authentifizierungsmethoden zu implementieren, wie sie typischerweise in Verbraucherangeboten zu finden sind.

 

Ein Identity Broker ist ein System, das BYOI-Schemata unterstützt. Es übernimmt die bestehende Identität eines Benutzers oder eine beliebige Anzahl von bestehenden Identitäten und ermöglicht es den Benutzern, sich mit dieser Identität bei unabhängigen Websites zu authentifizieren.Ein Identity Broker unterstützt z. B. die Identität eines Benutzers aus sozialen Medien oder seines Webmail-Kontos und gewährt diesem Benutzer so Zugriff auf zahlreiche unabhängige Websites.Mithilfe von Identity Brokern können Unternehmen mehrere Identity Provider unterstützen.

Diagramm – Was ist ein Identity Broker?

 

Mit Single-Sign-On (SSO) ist nur eine einmalige Authentifizierung erforderlich. Beim Zugriff auf weitere Ressourcen erfolgt die Authentifizierung dann automatisch.Damit entfällt die separate Anmeldung und Authentifizierung für einzelne Anwendungen und Systeme. SSO fungiert quasi als Mittler zwischen Benutzer und den gewünschten Anwendungen.Hinter den Kulissen behalten Zielanwendungen und -systeme immer noch ihre eigenen Speicher für Zugangsdaten und präsentieren im Benutzersystem entsprechende Anmeldeaufforderungen.Das SSO reagiert auf diese Aufforderungen und ordnet die Zugangsdaten zu einem Zugangsdatensatz (Benutzername und Passwort) zu.(Quelle:Gartner)

Das SSO kann in einer Standalone-Lösung oder einer breit aufgestellten Zugriffsmanagementlösung durch eine Reihe von Protokollen für föderierte Identitäten umgesetzt werden.Dazu zählen Open-Source-Protokolle wie SAML 2.0 und Open ID Connect, proprietäre Protokolle wie WS-Federation von Microsoft und andere Technologien wie Passwort-Speicher und Reverse-Proxies.

Ein Passwortspeicher, auch Passwort-Manager genannt, ist eine einfache Möglichkeit für das Single-Sign-On (SSO), wenn eine Zielanwendung keine Protokolle für föderierte Identitäten unterstützt, z. B. eine alte oder benutzerdefinierte Anwendung.Passwort-Speicher sind Systeme, die die Passwörter verschiedener Websites speichern und verschlüsseln.Anstatt sich bei jeder Anwendung mit einem dedizierten Passwort anzumelden, kann sich der Benutzer einfach mit einem Master-Passwort authentifizieren (das wiederum den Passwort-Speicher entschlüsselt). Dadurch entfällt die Notwendigkeit, mehrere Passwörter zu pflegen.

Die Autorisierung ist ein Prozess, der sicherstellt, dass ordnungsgemäß authentifizierte Benutzer nur auf die Ressourcen zugreifen können, für die der Eigentümer oder Administrator dieser Ressource den Zugriff festgelegt und gestattet hat.In der Konsumwelt kann sich die Autorisierung auch auf den Prozess beziehen, bei dem ein Benutzer sicherstellt, dass eine cloud-basierte Anwendung (z. B. ein soziales Netzwerk) nur auf bestimmte Informationen von einer unabhängigen Website (z. B. auf das Webmail-Konto des Benutzers) zugreift.

Die Authentifizierung ist ein Prozess, bei dem die Identität eines Benutzers anhand der Zugangsdaten validiert oder verifiziert wird, die der Benutzer beim Login an einer Anwendung, einem Dienst, einem Computer oder einer digitalen Umgebung angibt.Die meisten Authentifizierungsdaten bestehen aus etwas, das der Anwender besitzt, z. B. der Benutzername, und etwas, das der Anwender kennt, z. B. ein Passwort.Wenn die vom Benutzer eingegebenen Zugangsdaten mit denen der zugrunde liegenden Anwendung oder dem Identity Provider übereinstimmen, wird er erfolgreich authentifiziert und der Zugriff gewährt.

Die kontextbasierte Authentifizierung basiert auf einer Reihe von zusätzlichen Informationen, die bei der Benutzeranmeldung an einer Anwendung bewertet werden.Zu den häufigsten Kontextinformationen gehören der Standort des Benutzers, die Uhrzeit, die IP-Adresse, der Gerätetyp, die URL und die Vertrauenswürdigkeit der Anwendung.Die kontextbasierte Authentifizierung, auch risikobasierte oder adaptive Authentifizierung genannt, ist in der Welt des SSO und Zugriffsmanagements von zentraler Bedeutung, um die Authentifizierung so transparent und problemlos wie möglich zu gestalten.

Durch die Bewertung der Login-Attribute eines Benutzers – sei es kontextbezogen (Gerät, Rolle, Standort) oder verhaltensbasiert (z. B. Tippgeschwindigkeit, Seitenansichtsreihenfolge) – können Lösungen für das Single-Sign-On und Zugriffsmanagement kontinuierlich die vom Benutzer geforderte Authentifizierungsstufe mit der für jede Anwendung definierten Zugriffsrichtlinie abgleichen.Auf diese Weise wird die Authentifizierung detailliert und möglichst reibungslos für jede Zugriffsrichtlinie einer Anwendung und nicht als pauschale, einheitliche Regel für alle Unternehmensressourcen angewendet.

Die kontinuierliche Authentifizierung ist eine Form der Authentifizierung, die laufend erfolgt – also jedes Mal, wenn ein Benutzer auf eine neue Anwendung oder Ressource zugreift. Sie steht im Gegensatz zur einmaligen oder binären Authentifizierung, die eine einmalige Ja/Nein-Antwort liefert, die nur für eine einzige Anmeldung an einer einzelnen Anwendung gilt.

Ganz gleich ob mit einem Token, einem Passwort oder einem Fingerabdruck – die Authentifizierung ist grundsätzlich eine Ja/Nein-Entscheidung:Das System überprüft die Identität eines Benutzers und erlaubt oder verweigert den Zugriff auf eine Anwendung.

Dank moderner Technologien wie der kontextbasierten Authentifizierung oder der Verhaltensbiometrie (z. B. Tippmuster, Browser-Navigationsmuster und andere physikalische Merkmale) kann die Authentifizierung zu einem kontinuierlicheren Prozess werden.Durch die Bewertung zahlreicher Attribute wie IP-Adresse, mobile Parameter, bekanntes Gerät, Betriebssystem usw. kann die kontextuelle oder risikobasierte Authentifizierung die Identität einer Person bei jeder Anmeldung an einer Anwendung kontinuierlich überprüfen.Der Benutzer bekommt davon nichts mit.

Die kontextuelle Authentifizierung bietet viele Möglichkeiten zur Überprüfung der Identität einer Person.Und genau so lässt sich ein Gleichgewicht zwischen Benutzerfreundlichkeit und detaillierter Zugriffskontrolle für zahlreiche Cloud-Anwendungen schaffen.Aus diesem Grund ist die kontinuierliche Authentifizierung, die auf kontextbasierter Authentifizierung basiert, eine wichtige Grundlage des Cloud-Zugriffsmanagements.

Informationen anfordern

 

Vielen Dank für Ihr Interesse an unseren Lösungen. Bitte füllen Sie das Formular aus, um weitere Informationen zu erhalten oder um von einem SafeNet Mitarbeiter kontaktiert zu werden.

 

Ihre Angaben

* E-Mail-Adresse:  
* Vorname:  
* Nachname:  
* Unternehmen:  
* Telefon:  
* Land:  
* State (US Only):  
* Province (Canada/Australia Only):  
* Stadt:  
Bemerkungen:  
 

 Mit dem Ausfüllen dieses Formulars willige ich ein, im Rahmen der beschriebenen Datenschutzbestimmungen Informationen von Gemalto und seinen Tochtergesellschaften zu erhalten.