Digitalisierung – warum wir neben Keycloak & Co auch Struktur brauchen

25 Februar 2019

Ein Artikel von Stephanie Ta, Syntlogo GmbH:

Viele setzen heute erfolgreich auf Keycloak. Für ein ganzheitliches IAM-System reicht es dennoch nicht, da die Anforderungen durch die heutige Digitalisierung und des Datenschutzes gestiegen sind. Aus diesem Grund unterstützen wir Unternehmen auf dem Weg der Digitalisierung. Damit sie effizient und sicher ihre digitale Infrastruktur für Kunden und Partner aufbauen.

Digitale Entwicklungen zu Ihrem Vorteil nutzen

Etablierte Betreiber von e-Commerce-Plattformen im Internet kennen die wichtigsten Systemfunktionen zur Verwaltung ihrer Kundendaten. Sie setzen Systeme ein, die Login, Administration und viele notwendigen Zugriffs- und Identitätsverwaltungs-Funktionalitäten per se schon beinhalten. Fast immer ist der Einsatz solcher Programme mit hohen Lizenzkosten und festgelegten Funktionen verbunden. Dadurch binden sich Unternehmen an eine „teure Unflexibilität“. Alternativ greifen sie auf selbstprogrammierte Lösungen zurück, bei diesen alles individuell gestaltet werden kann. Das erfordert jedoch eine Menge Ressourcen und verbraucht viel Zeit.

 

Keycloak – die Wunderwaffe zur Digitalsierung

Die seit einigen Jahren von Red Hat gesponserte, quelloffene SSO-Community-Lösung Keycloak wird häufig und gerne dafür als „IAM-System“ eingesetzt. Die Open-Source-Software bietet modernste Funktionalitäten, ist sehr flexibel und gut integrierbar. Welchen konkreten Nutzen es hat Keycloak als Basis für ein IAM-System einzusetzen, finden Sie hier: Keycloak – ein wertvolles Open-Source-Instrument für Ihr Identity- und Accessmanagement.

Manche Vorteile von Keycloak liegen auf der Hand:

  • Open-Source-Software:
    • Sicherheitslücken werden schnell erkannt und veröffentlicht
    • Offene Standards und Schnittstellen sorgen für Interoperationalität
    • Flexibilität beim Einsatz, Lernen, Erweitern und dem Verteilen der Software

Lesen Sie dazu weitere Informationen beim Bundesamt für Sicherheit in der Informationstechnik.

  • Preiswerte, leistungsfähige und stets aktualisierte Lösung
  • Neueste Sicherheitsstandards schon implementiert (SSO, OpenID Connect, OAuth2, JWT, …)
  • Skalierbar hin zu hohen Benutzerzahlen (im Millionen-Bereich), insbes. hohe Anzahl von MAU’s (Monthly Active User)
  • Umfangreiches Identity Brokering mit verschiedenen Identity Providern

Diese und viele andere Vorteile sprechen für Keycloak. Daher setzen Unternehmen die Open-Source-Lösung immer häufiger für die Absicherung von Webanwendungen und -portalen ein. Nach der Entscheidung für Keycloak gibt es viel zu tun, zunächst die Planung für das Einführungsprojekt.

Keycloak-Einführungsprojekt: erst mal keine Selbstverständlichkeit

Allein schon das Aufsetzen und Integrieren von Keycloak erfordert einiges an Know-How, welches man sich selbst oder über Berater aneignet während des IAM-Projektes. Dass das jedoch nicht ausreicht, um eine ganzheitliche und moderne IAM-Lösung an der Hand zu haben, wissen viele Unternehmen nicht.

Als Beispiel kann man die rudimentäre Benutzerverwaltung von Keycloak anführen. Sie entspricht den Anforderungen für sehr kleine Benutzerzahlen (wenige 1.000). Es macht jedoch den Anschein, dass Keycloak auch große Nutzerzahlen verarbeiten kann. Oft wird hier etwas verwechselt, denn dies gilt für:

  • Die Authentisierung – die Eingabe eines Passwortes oder der Credentials über ein „Keycloak“-Frontend und die Authentifizierung – die Überprüfung des Passwortes / der Credentials durch Keycloak
  • Beide oben genannten Vorgänge, auch wenn viele Nutzer gleichzeitig aktiv sind (parallele Sessions) und sich einloggen möchten
  • Die Registrierung und davon der Teil der „erstmaligen“ Authentisierung

Damit sind Benutzer in der Lage auf geschützte Inhalte eines Portals zuzugreifen – das nennt man Access Management (AMS). Für die danach anschließenden Aufgaben und Prozesse benötigt Keycloak zusätzliche Unterstützung bzw. intelligente IMS-Bestandteile zur Erweiterung. Und zwar für:

  • Die Autorisierung – die Steuerung von Zugriffsrechten, die Vergabe von Berechtigungen für große Benutzerzahlen und / oder für komplexe Benutzerstrukturen
  • Den eingeschränkten, unflexiblen Einsatz von bestimmten Datenmodellen, die sich als Flaschenhals herausstellen, z.B. durch den klassischen Einsatz von Benutzergruppen (RBAC)
  • Die Anbindung an mehrere externe Datenquellen
  • Den Einsatz einer einfachen Datenbank, die für bestimmte Systemanforderungen an ihre Grenzen stößt. Eine angegliederte Datenbank speichert die Benutzerdaten und Credentials sowie deren Änderungen. Dies gilt auch für die Registrierung und davon der Teil der Speicherung weiterer Benutzer und ihrer Daten.

Den hier genannten Bereich bezeichnen wir als Benutzerverwaltung oder Identity Management System (IMS).

Keycloak + Identity-Module bilden ein ganzheitliches IAM-System

Auch diejenigen, die Portale und Webanwendungen erneuern oder zu Keycloak wechseln möchten, denken meist nur an die klassischen Bereiche: Login, Registrierung und das Anbinden von Keycloak an einen Directory Service oder an eine Datenbank. Es bringt nicht nur große Vorteile, außer Keycloak weitere Identity-Komponenten einzusetzen. Viele Firmen stoßen mit „Keycloak pure“ auch an ihre Sicherheitsgrenzen für ihr Online-Angebot.

Beispielsweise verlangen komplexe oder Enterprise-Strukturen andere Lösungen für die Organisation der Zugriffsrechte. Die Zuordnung von Standardrollen wie in Keycloak reicht dafür nicht aus. Dies ist z.B. bei einer Vernetzung bzw. bei Hierarchien mit unterschiedlichen Berechtigungen im B2B-Bereich für ein Partnerportal der Fall.

Bei der fast immer anfallenden Migration von Benutzerdaten und Passwörtern aus Altsystemen, sind individuelle Programmteile gefragt, die ein „Keycloak-Erstanwender“ nur schwer selbst erstellen kann. Auch die Absicherung (das „Hardening“) einer Keycloak-Installation bedarf einer professionellen Anleitung durch Experten.

Rechtliche Fragestellungen aus dem Bereich Audit & Compliance oder der EU-DSGVO (EU-Datenschutzgrundverordnung) erfordern wichtige Module und Funktionen einer CIAM-Lösung (Customer Identity & Access Management-Lösung). Diese Anforderung für Webanwendungen geht weit über Keycloak-Funktionen hinaus.

Keycloak und Erweiterungen: der Teufel steckt im Detail

Daher empfehlen wir eine umfangreiche Analyse der bestehenden Infrastruktur und der miteinzubeziehenden Anwendungen. Dazu eine genaue Aufstellung der Anforderungen für die neue digitale Landschaft. Im Anschluss eine sorgfältige Planung der gewünschten Architektur. Und dann eine zeitlich passende Durchführung für die Implementierung und Integration von Keycloak sowie weiterer Komponenten.

Gerade dies fällt kleineren und mittleren Unternehmen schwer. Dort arbeiten weder eigene IAM- oder Sicherheitsexperten noch Projektmanager für diesen Bereich. Zudem gibt es häufig folgende Stolpersteine:

  • Anwendungen und Software sind nur umständlich zu integrieren, da sie veraltet sind und / oder proprietäre Schnittstellen beinhalten. Sie lassen sich nicht immer reibungslos anbinden oder in die neue Umgebung einbetten.
  • Die bestehende und die erwünschte Infrastruktur sollten auf den Prüfstand. Es kann passieren, dass man hieran unvorhergesehene Änderungen vornehmen muss.

Denn in bestehende IT-Strukturen Keycloak zu integrieren ist immer eine individuelle Aufgabe, die entsprechende Expertise erfordert.

Die digitale Revolution führt zu einem Umdenken in der bestehenden IT-Strategie.

Mit der Erneuerung oder dem Eröffnen von Webportalen eröffnen sich Optionen, um Anwendungen in die Cloud zu verlagern. Oder man arbeitet On-Premises. So können Unternehmen natürlich ihre eigene Hardware betreiben mit allen Konsequenzen eines „On-Premises-Betriebes“.

In die Planung eines Keycloak-Einführungsprojektes gehören z.B. Überlegungen, wie und wo man die Credentials und Benutzerdaten speichern möchte. Will man Keycloak an eine eigene Datenbank, an einen LDAP-Server oder an ein Active Directory anbinden. Diese und viele andere Fragen stellen sich unsere Kunden häufig erst, wenn sie schon mitten in der Umsetzungsphase eines – meist dringenden – Webprojektes stecken.

Was wir für Sie tun können, damit Sie sicherheitstechnisch ganz vorne mitspielen.

Um Keycloak und ein CIAM-System erfolgreich von Beginn an einzuführen, bieten wir unseren Kunden den 3-Punkte-Check an. Der Check ist kostenfrei und dient dazu sie und uns auf das Projekt strukturiert vorzubereiten. Zunächst führen wir innerhalb von einem bis zu zwei Tagen eine detaillierte Bestandsaufnahme und eine Anforderungsanalyse durch. Relevante Daten und Fakten tragen wir zur besseren Übersichtlichkeit in das 3-Punkte-Check-Formular ein. Solche Informationen umfassen vor allem grundlegende Systeminformationen zur Anwendungslandschaft, zu den User Registries / Repositories und zu den (Legacy-)Anwendungen selbst, die der Kunde anbinden möchte. Wichtig hierbei sind nicht nur generelle Systeminformationen, z.B. mit welcher Plattform der Kunde arbeitet oder wie hoch die Anzahl der Benutzer ist. Sondern auch Prozessinformationen aus dem Bereich Identity Management Services, z.B. wie Benutzerobjekte gepflegt werden oder ob es einen Benutzer-Self-Service gibt. Bei einer User Registry oder einer Anwendung sind auch die dazugehörigen Benutzerrollen relevant, wenn es sie schon definiert sind. Meist implementiert man sie durch das klassische RBAC-Modell („Gruppen“-basiert).

Diese und ähnliche Fragestellungen sind gerade für das Einrichten von Online-Angeboten enorm wichtig. Sie liegen jedoch meist nicht auf der Hand. Bei einem Digitalprojekt werden solche Themen häufig vernachlässigt. Im Grunde genommen sind es „Kern-IAM-Themen“. Sie sind meist weit entfernt von den Vorstellungen und der Expertise der Einführenden des Digitalprojektes.

Warum gibt es den 3-Punkte-Check?

Dadurch lernen wir die Organisation unserer Kunden sowie ihre bestehende Berechtigungs- und (Infra-)struktur kennen. Mit diesen Informationen erstellen wir ein maßgeschneidertes Angebot, in welchem wir auf individuelle Kundenbedürfnisse sehr gut eingehen können. Zudem erstellen wir kostenfrei eine Start & Go-Checkliste. Darin skizzieren wir grob die Topologie, d.h. wie sieht die gewünschte Infrastruktur für Keycloak, für erweiterte IMS-Bestandteile und deren Anbindungen aus. Dann beschreiben wir für das IAM-Projekt eine passende Lösung. Wir teilen die Projektmeilensteine in einzelne Arbeitspakete. Jedes Unternehmen profitiert von dieser Strukturierung. Unsere Kunden kennen nun den Zeitaufwand, die entstehenden Kosten und ihre eigenen Mitwirkungsleistungen. Sie verstehen das gesamte Projekt sehr viel besser. Sie können so entsprechend planen mit einer passenden Ziel- und Sicherheitsarchitektur. Zudem erhalten sie eine detaillierte Dokumentation. Sie gewährleistet den sicheren Übergang zum Betrieb sowie die Wartung und Pflege der neuen Anwendungslandschaft.

Der nächste Schritt auf dem Weg zu einer vertrauensvollen Zusammenarbeit ist unser 3-Punkte-Check:

1. Detaillierte Bestandsaufnahme & Anforderungsanalyse

2. Identifikation der für Sie passenden Login-Master Module

3. Start & Go Checkliste – damit Ihr Login-Master bald live geht!

Lesen Sie mehr zum Thema Digitalisierung und Sicherheit in unserem Blog.

Wollen Sie mit Ihrem Webprojekt auf der sicheren Seite navigieren?

Einfach, nutzerfreundlich und dennoch professionell? Dann fragen Sie uns.

    Betreff *

    Name *

    E-Mail *

    Telefon

    Unternehmen

    Nachricht *

    Bitte Text einfügen captcha

    Bitte beweise, dass du kein Spambot bist und wähle das Symbol Stern.

    Hiermit willige ich ein, dass mich die Syntlogo GmbH und/oder intension GmbH mittels Telefon, E-Mail oder Post kontaktieren darf. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@syntlogo.de oder über dieses Kontaktformular widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird. Unsere Datenschutzerklärung.