Federated Identity Management

Problematik konventioneller IAM-Lösungen bei Organisations-übergreifender Nutzung

Wenn Benutzer einer Organisation A auf Daten einer Organisation B zugreifen sollen, stellt sich die Frage, wie die Benutzer authentisiert und autorisiert werden sollen.

Vielfach wird in diesem Fall eine separate Registrierung und Verwaltung der Benutzer der Organisation A bei der Organisation B vorgenommen. Dies hat natürlich einige Nachteile:

  • Die Benutzer haben einen zusätzlichen, separaten Account mit noch einem weiteren Passwort (oder anderen Authentisierungsmitteln)
  • Die Organisation B bekommt Änderungen bei der Organisation A nicht automatisch mit (z.B. Austritte, Abteilungswechsel, etc.)

Als zweite Möglichkeit könnten auch Benutzerdaten repliziert werden, mit den Nachteilen, dass

  • das User-Passwort der Organisation A der Organisation B unter Umständen bekannt ist (Sicherheitsrisiko)
  • Änderungen des Passworts oder von Benutzer-Attributen auch wieder repliziert werden müssen

Federated Identity Management

Eine wesentlich elegantere Lösung für den Organisations-übergreifenden Zugriff bietet das Federated Identity Management. Hier werden die Benutzer der Organisation A ausschliesslich in der Organisation A verwaltet.

Federated Identity Management

Organisations-übergreifender Zugriff

Wenn ein Benutzer von A auf eine Anwendung der Organisation B zugreifen will, meldet er sich bei A an (am „Identity Provider“ der Organisation A). A stellt dann lediglich ein signiertes Security Token aus, welches an die Organisation B weitergereicht wird. Die Organisation B (bzw. deren „Service Provider“) kann aufgrund der Inhalte im Security-Token dann entscheiden, ob sie dem Benutzer von A Zugriff gewährt oder nicht. Das funktioniert natürlich nicht nur mit zwei Organisationen sondern auch für ein Netzwerk von Organisationen.

Dieser Ansatz hat insbesondere folgende Vorteile:

  • Nur ein Account / Passwort (oder anderes Authentisierungsmittel) pro Benutzer
  • Single-Sign-On
  • Die Service-Provider erhalten immer aktuelle Informationen über einen Benutzer
  • Die Authentisierungsmittel (z.B. Passwort) verlassen die eigene Organisation des Benutzer nie

Internationale Gremien haben entsprechende Standards definiert (z.B. SAML, die „Security Assertion Markup Language“), welche sich mittlerweile breit durchgesetzt haben.

Meine Dienstleistungen

  • Konzeptionelle Arbeiten im Vorfeld eines Projekts (z.B. Analyse, Lösungsarchitektur, Konzept für Identity- and Accessmanagement, Festlegen von Standards und Attributen)
  • Erstellen von Pflichtenheften für Offerteinholung und/oder Ausschreibungen
  • Integration von Identity-Provider- bzw. Service-Provider-Komponenten in bestehende Infrastrukturen
  • Projektleitung oder Teilprojektleitung
  • Test und Troubleshooting
  • Verwaltung der Metadaten-Datei (Datei der beteiligten Identity-Provider und Service-Provider inklusive Zertifikats-Informationen)
  • Kompletter Betrieb eines Identity-Providers oder Service-Providers (siehe auch Linux-Betrieb)