IDaaS: Was steckt hinter einem Identity as a Service-Angebot?

Cloud-Services werden immer populärer und brauchen eine Nutzerverwaltung im Internet. Das bietet ein Identity as a Service als Grundkomponente.

Weitere IAM-Komponenten sind heute ebenfalls unverzichtbar. Vielen ist klar, dass sie um einen geregelten Login und bestimmte Self-Service-Prozesse, wie „Ich habe mein Passwort vergessen“ nicht mehr herumkommen. Es gibt jedoch noch wesentlich mehr, was Webanwendungen „unter der Oberfläche nicht sichtbar“ benötigen. Ein Identity as a Service bietet das alles aus einer Hand:

Abbildung 1: IAM-Komponenten eines IdaaS für Webapplikationen

 

Im Weiteren erklären wir alle relevanten Funktionen leicht verständlich. Bei jeder Funktion beantworten wir folgende Fragen: Warum braucht man diese Komponente? Welchen zusätzlichen Nutzen bringt mir diese Funktion?

  1. Authentifizierung / Single-Sign-On (SSO)

Das „Must-Have“ für Internetanwendungen, denn ohne Einlasskontrolle könnten auch Unbefugte Ihr Webangebot nutzen. Mittlerweile weiß jeder, was ein Login ist und kennt auch solche Funktionen wie „Passwort vergessen“. Wenn man mehrere Anwendungen betreibt, raten wir zu SSO. Single-Sign-On ist noch nicht überall etabliert, bringt aber einen großen Vorteil mit sich: die Reduzierung vieler Passwörter auf nur eines. Das erhöht das Nutzererlebnis und sogleich die Nutzung der angebotenen Services. Und mehr Sitzungen erhöhen die Wahrscheinlichkeit, dass sich Nutzer mit dem Angebot stärker auseinandersetzen oder etwa mehr kaufen (falls das Geschäftsmodell der Verkauf von Waren oder Dienstleistungen ist).

 

  1. Registrierung / User-Self-Service

Die Registrierung und der dahinterstehende Self-Service sind ein wichtiger Aspekt im Datenschutz. Die automatisierten Prozesse dienen auch der Entlastung von Administratoren („Passwort-Zurücksetzen“, …). Das lohnt sich schon ab einer kleinen Nutzerzahl.

Um auf die DSGVO (Datenschutzgrundverordnung) zurückzukommen: Es reicht eben nicht, nur über das Frontend mit dem Nutzer zu interagieren. Änderungen an Daten sollte das System laut DSGVO auch an weitere angeschlossene Applikationen weiter reichen, die die Daten ebenfalls bearbeiten oder speichern. Schon da ist es notwendig eine eigenständige IAM-Funktionalität zu implementieren. Denn ohne diese arbeitet ein Betreiber mit ineffizienten Datensilos und gegebenenfalls außerhalb des rechtlichen Bereiches.

 

  1. BYOID: Identitätsanbieter / Ausgelagerte Authentifizierung

Diese Konstellation erlaubt es einem Benutzer seine, bei einem Identitätsanbieter registrierte Identität einzusetzen und sich damit an anderen Services anzumelden. BYOID heißt „Bring Your Own Identity“ und bedeutet, dass der Nutzer eine woanders registrierte Identität besitzt, die er für den Login einsetzen kann.

Der Betreiber, der Identity Provider nutzt, kann sich die Arbeit mit der Registrierung vereinfachen. Er bietet den Nutzern ein niederschwelliges Angebot sich für seine Services einzuloggen. Dies kann eine Möglichkeit sein, den wichtigen Schritt der Authentisierung auszulagern, z.B. im Rahmen von Bezahldiensten, wie PayPal, wo strenge Richtlinien, wie das Geldwäsche-Gesetz (GwG) gelten. Oder wenn eine verifizierte Identifikation notwendig ist, wie z.B. über das Postident-Verfahren der Deutschen Post.

 

  1. Nutzerverwaltung

Nutzerverwaltungen gibt es per se viele, denn bei der Verwaltung interner Nutzer, also den eigenen Mitarbeitern, gibt es meistens Tools aus der Microsoft-Welt, wie Active Directory oder Azure. Im Grunde genommen ist es eine Datenbank, die alle Nutzerdaten speichert und ihre Änderungen erfasst. Wenn es jedoch verschiedene Verwaltungen, also für jede Anwendung eine gibt, dann entsteht Chaos. Warum? Für jedes Datensilo muss die DSGVO eingehalten werden. Datendubletten oder ungleiche Einträge führen zu fehlerhaften Prozessen zwischen Systemen. Um das Ganze effizienter zu gestalten, gibt es zentralisierte Lösungen. Basiert diese auf einer internen Nutzerverwaltung, so kann die Hinzunahme externer Identitäten sehr teuer werden. Mal von dem Sicherheitsaspekt ganz abgesehen. Wenn Sie das Thema interessiert, lesen Sie doch in diesem Blogbeitrag weiter: Wann lohnt sich eine zentrale Nutzerverwaltung?

 

  1. Authentifizierung+

Programmteile, die mehr bieten als die reine „Basis-Authentifizierung“ (siehe 1.), reduzieren die Support-Last. Sie werden vor allem eingesetzt, um die Sicherheit zu erhöhen. Das ist z.B. die adaptive Authentifizierung: mittels KI erkennt das System einen ungewöhnlichen Login (anderes Gerät oder Ort des Anmeldens) und reagiert sofort mit einem erweiterten Login, beispielsweise per Multifaktor-Authentifizierung. Das ist auch Teil der „Identity Theft Prevention“: die Vermeidung von Identitätsbetrug.

Auch das Ranking der Passwortstärke ist meist keine Funktion, die standardmäßig bei einer Authentifizierungssoftware integriert ist, wie z.B. bei der Open Source-Software Keycloak.

 

  1. Autorisierung+

Das ganze Thema Berechtigungen ist häufig nur im internen Identitätsmanagement bekannt. Es ist jedoch ebenso für Webanwendungen essenziell. Ähnlich wie bei der Nutzerverwaltung, brauchen Sie eine zentrale Stelle, die die Zugriffsrechte aller Nutzer managt. Heute auch zu sehen: naive Implementationen in den Anwendungen selbst, die sich mit neuesten Internet- und Cloudtechnologien messen sollen, dies aber nur ineffizient und unsicher können. Wir haben unabhängig von der Art und Weise der Berechtigungsverwaltung, eine agile Methode entwickelt, die ganz besonders das Thema Zugriffsrechte behandelt. Sie bietet konkret einen hohen Schutz, vereinfacht wesentlich Konsolidierungsprozesse, ist so flexibel und bildet damit die reale Zugriffsberechtigungsstruktur einfach ab.

 

  1. User-Life-Cycle

Der User-Life-Cycle beschreibt Veränderungen an Daten und Nutzeridentitäten, die mit der Zeit entstehen. Aus Effizienzgründen braucht es neben einer Nutzerverwaltung auch die Organisation, wie das System Änderungen erfasst, speichert und umsetzt. Viel weitreichendere Instrumente sind solche, die automatisiert und proaktiv Nutzer, meist per E-Mail, ansprechen, um den Accountstatus bekannt zu geben oder etwa nach einer Verlängerung eines Vertrages fragen. Diese Businessfunktionen bieten neue Möglichkeiten zur Nutzerkommunikation, unterstützen den Vertrieb und automatisieren anstehende Supportaufgaben.

 

  1. Audit, Log und Monitoring

Wichtig – vor allem aus Datenschutzgründen und gestiegenen Sicherheitsanforderungen – ist die Retrospektive und Aufnahme der Ereignisse, wie Login, Registrierung, Daten- oder Zugriffsrechteänderungen.

Ein IAM-Monitoring besteht nicht nur aus der Prüfung, ob die Anmeldeseite verfügbar ist (Blackbox-Monitoring), sondern auch aus einem Whitebox-Monitoring. Das ist eine Art Sentinel, der tatsächlich testet, ob man sich einloggen kann. Eine richtige Funktionsprüfung mit Alarmfunktion also.

 

  1. Verteilte oder auch delegierte Administration

Das ist ein Identitätsmanagement-Baustein, den Webservices-Anbieter oft benötigen, um ihren Support zu entlasten und Sicherheitsaspekte im Rahmen der Verwaltung einzuhalten. Das Ganze zielt darauf ab, die Administration so zu organisieren, dass diese näher am Nutzer stattfindet. Hierbei können in der Organisation verteilte “lokale” Administratoren lediglich die Nutzer Ihres Organisationsbereichs verwalten, z.B. in einer Niederlassungsstruktur, Vereinen mit jeweiligen Ortsgruppen oder Vertriebsorganisationen mit regionalen Aufteilungen. Insbesondere im B2B-Bereich ist das eine gefragte, aber kaum erhältliche Funktion. Dies selbst zu programmieren ist schier unmöglich oder wäre ein Mehrjahresprojekt, weil das Berechtigungsmanagement dahintersteht. Hier gibt es die Schwierigkeit, dass der Bedarf daran nicht erkannt wird. Daher repräsentiert dies ein wirkliches Beispiel einer „versteckten“ Funktion.

 

  1. Automatisierung / Workflows

Dieses Argument steht für sich und das versteht auch jeder. Oft ist jedoch nicht bekannt, dass es schon großartige Lösungen dafür gibt, auch im Identitätsmanagement. Eine Ausgestaltung der Automatisierung spiegelt sich in Workflows nieder. Ein bekanntes Beispiel aus dem internen IAM sind Genehmigungsworkflows, die für B2B-Webanwendungen häufig unverzichtbar sind. Diese sorgen für die Durchführung automatischer Prozesse bis hin zur vollautomatischen Abwicklung von Vorgängen.

 

  1. Datensynchronisation

Eine der letzten Komfortfunktionen, die nachgefragt wird, aber umso mehr Effizienz in die Prozesse bringt. Wenn man Geld sparen möchte, dann sollte man daraufsetzen. Ein kleines bisschen wird die Fähigkeit Daten zu synchronisieren auch verkannt, denn diese bringt neben der genannten Effizienz auch die vollständige Durchsetzung der Datenschutzgrundverordnung. Durch Synchronisation hält man die Daten in allen Systemen aktuell und setzt somit einen wichtigen Aspekt des Datenschutzes um.

 

Nun fragen Sie sich vielleicht – brauche ich alle diese Funktionen für mein Webportal?

 

Im Prinzip bringen die meisten Betreiber von Webservices schon ein kleines Paket an Funktionen mit und das ist auch gut so:

Abbildung 2: „Was der Webanwendungsbetreiber meist schon mitbringt.“

Meist schon bestehende Komponenten sind:

      • Webportale mit ihren Nutzern
        • (Legacy-)Anwendung
        • Nutzerverwaltung („User data base“)
      • Authentifizierungsdienst, wie Keycloak
      • Nutzer-Self-Service
      • Registrierung
      • eingebundene Identitätsprovider („BYOID“)

Mit „Authentifizierung+“ und Identity-Management+“ runden Sie das Ganze ab. Denn diese Funktionen sind meist unentbehrlich, um einen reibungslosen und sicheren Betrieb Ihrer Webanwendungen zu gewährleisten. So werden Systeme und Administratoren entlastet. Nutzer können sich über viele Komfort- und Sicherheitsfunktionen freuen. Das schafft Vertrauen und erhöht die Conversion Rate Ihrer Webanwendungen.

 

IdaaS: mehr Vertrauen und Sicherheit für Webanwendungen

 

Das Gute ist: Diese Funktionen sind darauf abgestimmt, dass man sie einfach in jede bestehende Umgebung integrieren kann. Und diese nicht mühsam zusammenstellen oder sogar selbst programmieren muss.

Rein theoretisch reicht es, wenn ein Betreiber seine Anwendung(en) mit einem IdaaS-Dienst verbinden und seine Nutzerdaten in den neuen Service migrieren lässt. Alle IAM-Funktionen kommen dann von einem dedizierten Identity as a Service-Betrieb. Auf Wunsch des Kunden, kann ein europäischer Anbieter das Hosting der IAM-Software auf deutschen oder in der Europäischen Union befindlichen Servern betreiben, um eine vollumfängliche DSGVO-Konformität zu gewährleisten.

Bei IdaaS-Angeboten bekommen Webportalbetreiber alles aus einer Hand. Sie müssen nicht zum IAM-Sicherheitsexperten mutieren. Und können sich auf ihr Kerngeschäft und ihre -kompetenzen konzentrieren. Sie profitieren von einer hohen Servicequalität und eigenständigen Funktionen. Das Einrichten, die Wartung und Sicherheitspatches übernehmen DevSecOps-Spezialisten. Dazu gibt es Customizing / die Anpassung an nutzer- und anwendungsspezifische Anforderungen sowie den 2nd und 3rd Level-Support für die betriebenen IdaaS-Systeme.