Fragen zu IAM-Begriffen?
Finden Sie Antworten in unserem Verzeichnis.Fragen zum Identity und Access Management…
…gibt es viele. Bevor Sie in den interessanten Cyber-Security-Bereich eintauchen, können Sie hier grundlegende Begriffe nachlesen. Wollen Sie mehr dazu wissen, fragen Sie unsere IAM-Experten.
Was ist OpenID Connect?
OpenID Connect ist eine leicht nutzbare Identitätsschicht die auf dem OAuth 2.0-Protokoll aufsetzt und es Clients ermöglicht, die Identität eines Endbenutzers anhand der von einem Autorisierungsserver durchgeführten Authentifizierung zu überprüfen und grundlegende Profilinformationen über den Endbenutzer auf interoperable und REST-ähnliche Weise zu erhalten. Technisch gesehen spezifiziert OpenID Connect eine RESTful HTTP API, die JSON als Datenformat verwendet.
OpenID Connect ermöglicht es einer Vielzahl von Clients, einschließlich webbasierten, mobilen und JavaScript-Clients, Informationen über authentifizierte Sitzungen und Endbenutzer anzufordern und zu empfangen. Die Spezifikationen sind erweiterbar und unterstützen optionale Funktionen wie die Verschlüsselung von Identitätsdaten, die Erkennung von OpenID-Providern und das Session-Management.
SCIM 2.0 - System for Cross-Domain Identity Management
System for Cross-domain Identity Management (SCIM) automatisiert den Austausch von Identitätsinformationen zwischen Identitätsdomänen oder IT-Anwendungen/-Systemen.
Wenn ein Unternehmen beispielsweise Mitarbeiter einstellt und entlässt, werden sie dem internen Mitarbeiterverzeichnis des Unternehmens hinzugefügt und daraus entfernt. SCIM kann verwendet werden, um automatisch Konten für diese Benutzer in externen Systemen wie beispielsweise Office 365 oder Salesforce.com hinzuzufügen oder zu löschen. In den Fremdsystemen würde dann für jeden neuen Mitarbeiter ein neues Benutzerkonto existieren und die Benutzerkonten für ehemalige Mitarbeiter könnten in diesen Systemen nicht mehr existieren.
Neben der einfachen Verwaltung von Benutzerdatensätzen (Anlegen und Löschen) kann SCIM auch zum Austausch von Informationen über Benutzerattribute, Attributschemata und Gruppenzugehörigkeit verwendet werden. Die Attribute können von den Kontaktinformationen der Benutzer bis hin zur Gruppenmitgliedschaft reichen. Gruppenzugehörigkeit oder andere Attributwerte werden in der Regel zur Verwaltung von Benutzerberechtigungen verwendet. Attributwerte und Gruppenzuordnungen können sich ändern, was die Pflege der relevanten Daten über mehrere Identitätsdomänen hinweg erschwert.
Der SCIM-Standard hat an Popularität und Bedeutung gewonnen, da Unternehmen mehr SaaS-Tools einsetzen. Ein großes Unternehmen kann Hunderte oder Tausende von gehosteten Anwendungen (interne und externe) und verwandte Server, Datenbanken und Dateifreigaben haben, die eine Benutzerbereitstellung erfordern. Ohne eine Standardverbindungsmethode müssen Unternehmen kundenspezifische Software-Konnektoren schreiben, um diese Systeme und ihr IAM-System zu verbinden.
Was ist OAuth 2.0?
OAuth ist ein offener Standard für die Delegation des Zugriffs, der häufig als Möglichkeit für Internetnutzer verwendet wird, Websites oder Anwendungen Zugang zu ihren Informationen auf anderen Websites zu gewähren, ohne ihnen jedoch die Passwörter zu geben. Dieser Mechanismus wird von Unternehmen wie Amazon, Google, Facebook, Microsoft und Twitter genutzt, um es den Nutzern zu ermöglichen, Informationen über ihre Konten mit Anwendungen oder Websites Dritter zu teilen.
Im Allgemeinen bietet OAuth Clients einen „sicheren delegierten Zugriff“ auf Serverressourcen im Namen eines Ressourcenbesitzers. Sie spezifiziert einen Prozess, mit dem Ressourcenbesitzer den Zugriff Dritter auf ihre Serverressourcen autorisieren können, ohne ihre Anmeldeinformationen zu teilen. Speziell für die Arbeit mit dem Hypertext Transfer Protocol (HTTP) entwickelt, ermöglicht OAuth im Wesentlichen die Ausgabe von Zugriffstoken an Drittanbieter-Clients durch einen Autorisierungsserver mit Zustimmung des Ressourcenbesitzers. Der Dritte verwendet dann das Zugriffstoken, um auf die geschützten Ressourcen zuzugreifen, die vom Ressourcenserver gehostet werden.
OAuth ist ein Service, der komplementär zu OpenID ist und sich von ihr unterscheidet. OAuth unterscheidet sich auch von OATH, das eine Referenzarchitektur für die Authentifizierung und kein Standard für die Autorisierung ist. OAuth steht jedoch in direktem Zusammenhang mit OpenID Connect (OIDC), da OIDC eine auf OAuth 2.0 aufbauende Authentifizierungsschicht ist. OAuth unterscheidet sich auch von XACML, einem Standard für Autorisierungsrichtlinien. OAuth kann in Verbindung mit XACML verwendet werden, wobei OAuth für die Zustimmung des Eigentümers und die Delegation des Zugriffs verwendet wird, während XACML zur Definition der Autorisierungsrichtlinien verwendet wird.
Was ist Security Assertion Markup Language (SAML 2.0)?
Security Assertion Markup Language 2.0 (SAML 2.0) ist eine Version des SAML-Standards zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Sicherheitsdomänen. SAML 2.0 ist ein XML-basiertes Protokoll, das Sicherheitstoken verwendet, um Informationen über einen Auftraggeber (in der Regel einen Endbenutzer) zwischen einer SAML-Authority, genannt Identity Provider, und einem SAML-Konsumenten, genannt Service Provider, weiterzugeben. SAML 2.0 ermöglicht webbasiertes, domänenübergreifendes Single Sign-On (SSO), wodurch der administrative Aufwand für die Verteilung mehrerer Authentifizierungstoken an den Benutzer reduziert wird.
SAML 2.0 wurde im März 2005 als OASIS-Standard ratifiziert und ersetzt SAML 1.1. Die wesentlichen Aspekte von SAML 2.0 werden in den offiziellen Dokumenten SAMLCore, SAMLBind, SAMLProf und SAMLMeta ausführlich behandelt.
Rund 30 Personen aus mehr als 24 Unternehmen und Organisationen waren an der Erstellung von SAML 2.0 beteiligt. Insbesondere hat die Liberty Alliance ihre Identity Federation Framework (ID-FF) Spezifikation an OASIS gespendet, welche die Grundlage der SAML 2.0 Spezifikation wurde. Damit stellt SAML 2.0 die Konvergenz von SAML 1.1 und Liberty ID-FF 1.2 dar.
Was ist MFA?
MFA steht für Multi-Faktor-Authentifizierung. Das sind Authentisierungsverfahren, bei denen das Passwort durch mindestens einen weiteren Faktor ergänzt wird. Dieser Faktor kann ein Code sein, der auf einem anderen Kanal gesendet wird (SMS, e-Mail). Möglich ist auch eine Freigabe durch einen Security Token (Software-Token oder Hardware-Komponente, z.B. ein spezieller USB-Stick) oder über eine Fingerprint / Face Recognition-Funktion.
Reichen Ihnen die Antworten nicht?
Dann kontaktieren Sie uns, um Ihr IAM-Wissen zu erweitern.