fbpx

Funktionsweise der Identitätsverwaltungsauthentifizierung

Identitätsverwaltungsauthentifizierung

Was ist Identitäts- und Zugriffsverwaltung?

Eine Organisation kann über mehrere Systeme wie Active Directory, SharePoint, Oracle, Outlook, Teams oder einfach Webanwendungen verfügen, und sie können Hunderte oder Tausende von Mitarbeitern oder externen Organisationsbenutzern haben, die auf diese Systeme zugreifen können. Die Verwaltung von Konten jedes Benutzers und die Zulassung eines ordnungsgemäßen Zugriffs auf sein jeweiliges System wird als Identitäts- und Zugriffsverwaltung (IAM) bezeichnet.

Stellen Sie sich nun vor, Dass benutzereigene Daten, Anmeldeinformationen und Zugriffsinformationen für jeden einzelnen Benutzer auf jedem der verschiedenen Systeme, die die Organisation verwendet, beibehalten. Dieser Prozess ist für die Organisation trist und ermüdet, da sie Anmeldeinformationen und Benutzerzugriffsinformationen separat für jedes System verwalten müssen. Dieser Ansatz ist traditionell und wird immer noch von einigen Organisationen verwendet.

Aber wenn die Benutzer von Tag zu Tag wachsen, wird der Umgang mit und die Verwaltung von ihnen zu einer schwierigen Aufgabe und kann nicht übersehen werden. Das Hauptproblem bei diesem traditionellen Ansatz besteht darin, zunächst enorme Investitionen und Zeitaufwand zu tätigen und dann zu beschleunigen.

 

Wie Identitätsverwaltung dieses Problem löst

Stellen Sie sich nun alle Benutzeranmeldeinformationen und die Zugriffsverwaltung an einem zentralen Ort für alle Anwendungen vor, die von den Benutzern der Organisation verwendet werden. Wir können Benutzer jetzt zentral in einer Datenbank verwalten, die unser Identitätsmanagementsystem verwendet, um die Informationen über jeden einzelnen Benutzer zu erhalten.

Nun, da sie sich bereits mit dem Identitätssystem verifiziert haben, muss der Benutzer nur dem Identitätssystem sagen, wer es ist. Und sobald sie authentifiziert sind, können sie auf alle Anwendungen zugreifen. Ein großer Vorteil dieses Ansatzes ist, dass sich die verschiedenen Anwendungen keine Gedanken über die Authentifizierungs- und Autorisierungsfunktionalität des Benutzers machen müssen, da sich das Identitätsverwaltungssystem um all dies kümmert. Zu den am häufigsten verwendeten Identitätsverwaltungssystemen gehören Microsoft Azure Active Directory, Microsoft Identity Managerund Oracle Identity Management.

 

Was sind die wichtigsten Vorteile für Organisationen, identitäts- und zugriffsverwaltungs-Systeme (Identity and Access Management, IAM) zu verwenden?

  • Verbesserte Sicherheit. IAM-Lösungen helfen dabei, Sicherheitsrisiken zu identifizieren und zu minimieren. Es besteht kein Zweifel, dass es eine schwierige Aufgabe sein kann, Mitarbeitern oder Kunden einen sicheren Zugriff innerhalb einer Organisation zu gewähren. Die Verwendung von Identitätsverwaltungssoftware schützt Unternehmen vor allen Arten von Identitätsdiebstahl, wie z. B. Kreditbetrug.
  • Einfache Bedienung. IAM-Kernfeatures können in Form von Single Sign-On, Multi-Factor Authentication und Access Management oder als Verzeichnis für die Identitäts- und Profildatenspeicherung bereitgestellt werden. IAM vereinfacht Anmelde-, Anmelde- und Benutzerverwaltungsprozesse für Anwendungsbesitzer, Endbenutzer und Systemadministratoren.
  • Produktivität. IAM zentralisiert und automatisiert den Identitäts- und Zugriffsverwaltungslebenszyklus und erstellt automatisierte Workflows für Szenarien, wie z. B. neue Mitarbeiter bei einem Rollenwechsel. Dies kann die Verarbeitungszeit für Zugriffs- und Identitätsänderungen verbessern und Fehler reduzieren.
  • Reduzierte IT-Kosten. IAM-Dienste können die Betriebskosten senken. Die Verwendung von Verbundidentitätsdiensten bedeutet, dass Sie keine lokalen Identitäten mehr für externe Zwecke benötigen. Dies erleichtert die Anwendungsverwaltung. Cloud-basierte IAM-Dienste können den Kauf und die Wartung von On-Premise-Infrastrukturen reduzieren.

Eines der boomenden Identitätsverwaltungssysteme ist heute Microsoft Azure Active Directory. Azure Active Directory bietet sicheren und nahtlosen Zugriff auf Cloud- und lokale Anwendungen. Außerdem müssen Organisationen keine Kennwörter verwalten. Ihre Endbenutzer können sich einmal anmelden, um auf Office 365 und Tausende anderer Anwendungen zuzugreifen. Werfen wir einen Blick darauf, wie Identitätsmanagement funktioniert.

 

Häufig verwendete Protokolle von Identity Management Systemen

Diese Identitätsverwaltungsprotokolle, die allgemein als
Authentifizierung, Autorisierung, Buchhaltung oder AAA
bezeichnet werden, bieten Standards für die Sicherheit, um die Zugriffsverwaltung zu vereinfachen, die Einhaltung der Vorschriften zu vereinfachen und ein einheitliches System für die Interaktionzwischenbehandlung zwischen Benutzern und Systemen zu erstellen.

 

Protokolle

SAML. Das SAML-Protokoll (Security Assertion Markup Language) wird am häufigsten in Systemen verwendet, die die SSO-Methode (Single Sign-On) verwenden. In SSO ermöglicht ein Satz von Anmeldeinformationen Benutzern den Zugriff auf mehrere Anwendungen. Diese Methode ist am vorteilhaftesten, wenn Benutzer während sitzungen zwischen Anwendungen wechseln müssen. Anstatt für jede Anwendung individuelle Anmeldungen zu benötigen, verwendet SSO bereits für die Sitzung authentifizierte Daten, um den Wechsel zwischen Anwendungen zu optimieren. Die daraus resultierende Effizienzsteigerung hilft, Engpässe im Autorisierungsprozess zu vermeiden. Die Dotcom-Monitor-Plattform unterstützt SSO mit SAML 2.0

OpenID. Wie SAML wird OpenID für Webanwendungen verwendet und kann in der Praxis gesehen werden, wenn man mit Produkten von Google und Yahoo! die Implementierung dieses Protokolls ist weniger kompliziert als die Implementierung von SAML, so dass es für eine Vielzahl von Anwendungen zugänglicher ist.

OAuth. Große kundenorientierte Plattformen wie Facebook, Google und Twitter verlassen sich auf OAuth, um Anwendungen von Drittanbietern mit der Erlaubnis der Nutzer zu verbinden. OAuth ermöglicht genehmigten Anwendungen die Verwendung von Anmeldeinformationen von einem Dienst oder einer Plattform, um den Zugriff auf zusätzliche Anwendungen bereitzustellen, ohne dass separate Anmeldungen erforderlich sind. Die Autorisierung kann vom Nutzer jederzeit erteilt oder widerrufen werden.

Sehen wir uns an, wie einige dieser Protokolle heutzutage in Microsoft Azure Active Directory in den am häufigsten verwendeten Identitätsverwaltungssystem funktionieren.

 

Identitätsverwaltung mit Azure Active Directory

Azure Active Directory (Azure AD) vereinfacht die Art und Weise, wie Sie Ihre Anwendungen verwalten, indem ein einziges Identitätssystem für Ihre Cloud- und lokalen Anwendungen bereitgestellt wird. Sie können Ihre Software als Dienst (SaaS)-Anwendungen, lokale Anwendungen und BRANCHEN-Apps (LOB) zu Azure AD hinzufügen. Dann melden sich Benutzer einmal an, um sicher und nahtlos auf diese Anwendungen zu zugreifen, zusammen mit Office 365 und anderen Geschäftsanwendungen. Die
Dotcom-Monitor-Plattform
unterstützt die Integration mit
Azure ADFS
zum Einrichten der Benutzerauthentifizierung und des Benutzerzugriffs.

 

SAML 2.0-Protokoll

Azure Active Directory (Azure AD) stellt das SAML 2.0-Protokoll bereit, mit dem Anwendungen ihren Benutzern eine einmalige Anmeldeerfahrung bieten können. Das SAML-Protokoll erfordert, dass der Identitätsanbieter (Azure AD) und die Anwendung Informationen über sich selbst austauschen.

Die Anwendung verwendet eine HTTP-Umleitungsbindung, um ein Authentifizierungsanforderungselement an Azure AD (den Identitätsanbieter) zu übergeben. Azure AD verwendet dann eine HTTP-Postbindung, um ein Antwortelement für den Clouddienst bereitzustellen.

 

Azure AD SAML

Authentifizierungsfluss in der SAML-Authentifizierung:

  • Der Benutzer versucht, auf die Anwendung zuzugreifen, indem er die Anwendungs-URL in den Browser eingibt.
  • Die Anwendung sucht dann nach dem identitätsstiftenden Identitätsanbieter, der mit ihr konfiguriert ist, in diesem Fall SAML.
  • Die Anwendung generiert eine SAML-Authentifizierungsanforderung, und der Browser des Benutzers wird an die Azure AD SAML Single Sign-On-URL umgeleitet, bei der sich der Benutzer mit Anmeldeinformationen anmeldet.
  • Azure AD überprüft die gültigen Anmeldeinformationen, authentifiziert den Benutzer und generiert ein SAML-Token.
  • Azure AD postet die SAML-Antwort, die das Token enthält, und signiert die Antwort digital, die über den Browser an die Anwendung zurückgesendet wird.
  • Die Anwendung überprüft die Antwort mithilfe des ihm bereitgestellten Zertifikats und bestätigt die Quelle.
  • Die Anwendung versteht, dass der Benutzer gültig ist, und schließt die Authentifizierung ab, die dem Benutzer innerhalb der Anwendung ermöglicht.

 

OAuth 2.0- und OpenID Connect-Protokolle auf der Microsoft Identity Platform

In fast allen OAuth 2.0- und OpenID Connect-Flows sind vier Parteien an dem Austausch beteiligt:

 

OAuth OpenID

 

  • Autorisierungsserver. Es ist das Identitätssystem von Microsoft und verwaltet die Identität jedes Benutzers, gewährt und widerruft den Zugriff auf Ressourcen und gibt Token aus. Der Autorisierungsserver, der auch als Identitätsanbieter bezeichnet wird. Es behandelt sicher alles, was mit den Informationen des Benutzers, seinem Zugriff und den Vertrauensstellungen zwischen Parteien in einem Flow zu tun hat.
  • Ressourcenbesitzer. Es ist der Endbenutzer. Es ist die Partei, die Eigentümer der Daten ist und die Befugnis hat, Dritten den Zugriff auf diese Daten oder Ressourcen zu ermöglichen.
  • OAuth Client. Es ist Ihre Anwendung, die durch ihre eindeutige Anwendungs-ID identifiziert wird. Der OAuth-Client ist in der Regel die Partei, mit der der Endbenutzer interagiert, und fordert Token vom Autorisierungsserver an. Dem Client muss vom Ressourcenbesitzer die Berechtigung zum Zugriff auf die Ressource erteilt werden.
  • Ressourcenserver. Wo sich die Ressource oder die Daten befinden. Es vertraut dem Autorisierungsserver, um den OAuth-Client sicher zu authentifizieren und zu autorisieren, und verwendet Bearer-Zugriffstoken, um sicherzustellen, dass der Zugriff auf eine Ressource gewährt werden kann.

 

Authentifizierungsfluss in OpenID:

 

Microsoft Identity Platform

 

  • Der Benutzer gibt die Anwendungs-URL im Browser ein.
  • Die Anwendung ist bei Azure AD registriert und verfügt über eine eindeutige Anwendungs-ID. Die Anwendung leitet den Benutzer mit der Anwendungs-ID an Azure AD um, damit der AD die Anwendung identifizieren und dem Benutzer einen Anmeldebildschirm zur Verfügung stellt.
  • Der Benutzer gibt Anmeldeinformationen zur Authentifizierung ein und stimmt Berechtigungen zu. OAuth überprüft den Benutzer und gibt ein Token an den Browser des Benutzers zurück.
  • Der Browser des Benutzers leitet das Bereitstellungstoken in Redirect URI um, der in Azure AD für seine jeweilige Anwendung registriert ist.
  • Die Anwendung überprüft das Token und legt die Sitzung fest, wodurch die Authentifizierung für den Benutzer abgeschlossen wird.
  • Der Benutzer ist sicher angemeldet und darf auf die Anwendung zugreifen.

 

In Zusammenfassung: Identitäts- und Zugriffsverwaltung

Ziel von IAM ist es, sicherzustellen, dass autorisierte Benutzer sicheren Zugriff auf die erforderlichen Ressourcen wie Datenbanken, Anwendungen und Systeme haben. IAM vereinfacht Prozesse für Anwendungsbesitzer, Endbenutzer und Systemadministratoren und stellt sicher, dass sie ihre wesentlichen Aufgaben schnell und effektiv erfüllen können. Erfahren Sie mehr darüber, wie Dotcom-Monitor IAM mit
Services-Integrationen
von Drittanbietern und
SSO
unterstützt, die innerhalb der Dotcom-Monitor-Plattform eingerichtet sind.

 

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email
Share on print
Drucken