Sicher. Skalierbar. Just-in-Time.

Token-basierte Autorisierung: Wie man fein-granulare Berechtigungen implementiert.

 

Der Druck auf Unternehmen wächst in den letzten Jahren, eine schnelle und skalierbare IT-Infrastruktur für ihre Services bereitzustellen. Eine besondere Herausforderung für Anwendungen mit komplexen Zugriffsrechten. Ein gut verwalteter Zugriff auf geschützte Bereiche liefert einen Schlüssel zu mehr Benutzerzufriedenheit. Innerhalb eines Systems zu navigieren mit allen benötigten Zugriffsrechten liefernt den Erfolg. Denn das verspricht Sicherheit und eine schnelle, digitale Abwicklung für alle Parteien. Zusätzlich führen geringere Wartungskosten zu besseren Geschäftsergebnissen.

Kosteneinsparungen und Zufriedenheit sind nicht das einzige Argument, um zu einer geeigneten Zugriffsmanagement-Lösung wie Single-Sign-On zu wechseln. Laut Security Insider sind Fehler bei der Verwaltung von Zugriffsrechten ein häufiger Grund für Datenverluste. In der Tat ist das eine der größten Cyber-Risiken für Cloud-Anwendungen.

Um die Schwierigkeit für den Betreiber einer Webapplikation zu verstehen, schauen wir uns zunächst die Abgrenzung zwischen einer Zugriffsberechtigung und der Anmeldung an eine Webanwendung  an.

 

Klein, aber wichtig: der Unterschied zwischen Authentifizierung und Autorisierung.

Der Unterschied zwischen Anmeldung und Berechtigung (SecuRole®)

Zugriff oder Zugang ist das Recht sich für einen geschützten Bereich einer Internetapplikation anzumelden. Das System authentifiziert einen Benutzer und gewährt ihm Zugriff auf den geschützten Bereich.

Sie brauchen jedoch eine Zugriffssteuerung. Nur so administrieren Sie Zugriffsrechte für Internetanwendungen. Ein Zugriffsrecht ist das Recht eine gewisse Funktion in einer Applikation ausführen zu können. Der Nutzer einer Anwendung ist autorisiert dazu. Die reine Authentifizierung hilft dabei nicht weiter.

 

Zugriffsrechte sicher steuern: das geht nur über die richtige Autorisierungsmethode

Schauen wir uns den Fall eines neuen Nutzers an, der sich registrieren möchte. Er meldet sich für eine gesicherte Anwendung an. Zur Nutzung der Anwendung braucht er eine Autorisierung. Dafür schaltet ein Administrator oder das System das Benutzerobjekt mit den Zugriffsrechten für eine Anwendung frei. Für den Nutzer einer Anwendung selbst ist das alles, was er mitbekommt.

Nur in der Regel ist die „Arbeit“ für das System noch nicht zu Ende. Denn im Verborgenen findet die Provisionierung statt. D.h. das System sendet die Benutzer- und Rolleninformationen zur lokalen User-Registry der Anwendung. Für den Prozess der Provisionierung ist eine direkte Internetverbindung zum System unabdingbar. „System“ beschreibt den Ort, an dem der Anwendungsserver und vor allem das Benutzerverzeichnis liegen. Und da ist der Knackpunkt: Befindet sich die besagte Anwendung in der Cloud (kein LDAP, nur http-Zugang), dann ist die Provisionierung eine große Hürde oder so einfach nicht möglich. Was wäre, wenn man dieses Hindernis vollkommen vermeiden könnte? Das wäre fantastisch!

In fast allen Fällen speichert die Anwendung selbst die relevanten Identitätsdaten und die Berechtigungen. Mit diesen Informationen sind die Nutzer in der Lage frei im berechtigen Bereich zu navigieren, zu agieren oder zu arbeiten.

Hat man mehrere Anwendungen, auf die ein Nutzer zugreifen kann, so werden nach diesem Prinzip unterschiedliche Datenbanken mit Identitätsdaten gefüttert. Werden sie getrennt durch die jeweilige Anwendung gemanagt, „driften“ die Daten mit der Zeit auseinander. Dazu ist neben der Provisionierung, die die initialen und geänderten Informationen setzt, regelmäßig eine Reconcilation notwendig. Sie vergleicht den Ist- mit dem Soll-Zustand der Daten über verschiedene Orte hinweg. Auslöser für eine Reconciliation kann die Revision sein, die ein Audit oder eine Rezertifizierung bestellt hat.

 

Der Aufwand für Provisionierung und Reconcilation ist vermeidbar.

Es ist besser ein zentrales Benutzerverzeichnis einzusetzen. Und eine Lösung, die allen Anwendungen die benötigten Benutzerinformationen just-in-time sendet. Der gesamte Prozess wird schneller. Und Provisionierung wird überflüssig. Audit und Compliance werden wesentlich einfacher. Konkret heißt das: Es gibt keine Provisionierung mehr. Und auch keine Reconciliation (Abgleich aufgrund von Dateninkonsistenzen).

 

Wollen Sie mehr über die „provisionierungslose“ Berechtigungsvergabe erfahren? Dann lesen Sie hier weiter.