Das Glossar für Identitätszugriffsmanagement von Corma

Warum Unternehmen, die sich in der digitalen Transformation befinden, die wichtigsten Begriffe rund um Identitäts- und Zugriffsmanagement verstehen müssen.

Dieses Glossar soll Organisationen helfen, die inmitten des rasanten technologischen Fortschritts erfolgreich sein wollen. Von der grundlegenden Rolle von Active Directory bei der Benutzerauthentifizierung und Zugriffskontrolle bis hin zu hochmodernen Konzepten wie Zero Trust Network Access (ZTNA) — Vertrautheit mit der IAM-Terminologie ist unerlässlich, um Initiativen zur digitalen Transformation voranzutreiben. Durch das Verständnis wichtiger IAM-Konzepte wie Single Sign-On (SSO), Multi-Factor Authentication (MFA) und Identity as a Service (IDaaS) können Unternehmen ihre Sicherheitslage stärken. Rationalisieren Sie den Benutzerzugriffund stellen Sie die Einhaltung strenger regulatorischer Anforderungen sicher. Da Unternehmen zudem innovative Ansätze wie Zero Trust zur Minderung von Cybersicherheitsrisiken verfolgen, wird ein umfassendes Verständnis von IAM unverzichtbar, um digitale Vermögenswerte zu schützen und einen nahtlosen, sicheren Zugriff auf Ressourcen in unterschiedlichen Umgebungen zu ermöglichen. Dieses Glossar soll ein Ausgangspunkt für alle sein, die sich mit diesem umfassenden Thema befassen möchten.

Zugriffsmanagement (AM)

‍Verwaltung des Zugriffs, oder Gestion des Accès, ist der Prozess der Identifizierung, Verfolgung und Kontrolle des Benutzerzugriffs auf Informationssysteme, Anwendungen oder IT-Ressourcen. Es umfasst eine starke Authentifizierung, logische Zugriffskontrolle, Single Sign-On (SSO), Identitätsverbund und Rückverfolgbarkeit des Zugriffs, um Sicherheitsbedenken Rechnung zu tragen und die Einhaltung der Vorschriften innerhalb des Informationssystems einer Organisation sicherzustellen.

Autorisierung und Authentifizierung

Autorisierung ist der Prozess, der sicherstellt, dass ordnungsgemäß authentifizierte Benutzer nur auf die Ressourcen zugreifen können, zu denen sie berechtigt sind, wie vom Ressourcenbesitzer oder Administrator definiert. In der Verbraucherwelt kann sich Autorisierung auch auf den Prozess beziehen, bei dem ein Benutzer sicherstellt, dass eine Cloud-basierte Anwendung (z. B. ein soziales Netzwerk) nur auf bestimmte Informationen von einer nicht verbundenen Website zugreift (z. B. auf das Webmail-Konto des Benutzers).

‍
Bei der Authentifizierung wird die Identität eines Benutzers anhand der Anmeldeinformationen validiert oder verifiziert, die bei der Anmeldung an einer Anwendung, einem Dienst, einem Computer oder einer digitalen Umgebung eingegeben wurden. Die meisten Authentifizierungsdaten enthalten etwas, das der Benutzer hat (z. B. einen Benutzernamen) und etwas, das der Benutzer weiß (z. B. ein Passwort). Wenn die vom Benutzer bereitgestellten Anmeldeinformationen mit denen übereinstimmen, die von der zugrunde liegenden Anwendung oder dem Identitätsanbieter gespeichert wurden, wird der Benutzer erfolgreich authentifiziert und der Zugriff gewährt.

Bringen Sie Ihre eigene Identität mit (BYOI)

Nicht zu verwechseln mit der Partyanfrage „Bring your own beer“. Im Bereich Identitätsmanagement streben Anbieter und Organisationen danach, Mitarbeitern und Partnern zu ermöglichen, ihre eigenen Identitäten für den Zugriff auf Unternehmensressourcen zu verwenden. Bei dieser Identität kann es sich um eine beliebige Identität handeln, die ein ausreichendes Maß an Identitätssicherheit bietet, z. B. von der Regierung ausgestellte Personalausweise, Smartcards aus dem Gesundheitswesen oder Online-Identitäten wie Profile in sozialen Netzwerken, berufliche Netzwerkkonten und kommerziell erhältliche Identitäten wie FIDO. Die Unternehmens- und Verbraucherwelt nähert sich an, und die Sicherheitsteams von Unternehmen stehen zunehmend unter dem Druck, Authentifizierungsmethoden zu implementieren, die in Verbraucherdiensten üblich sind.

Kundenidentitäts- und Zugriffsmanagement (CIAM)

‍Customer Identity and Access Management bezieht sich auf die Verwaltung von Identitäten und Zugriffen für die Kunden eines Unternehmens. Es ermöglicht Unternehmen, Kundenidentitäten zu verwalten, ihren Zugriff auf Dienste und Anwendungen kontextabhängig zu kontrollieren und Sicherheits- und Datenschutzrichtlinien zum Schutz sensibler Daten anzuwenden. CIAM verbessert das Benutzererlebnis durch eine optimierte Registrierung und sichere Zugriffswege und bietet Unternehmen gleichzeitig Einblicke in ihre Kunden Zugriff für Marketingmöglichkeiten und die Einhaltung von Vorschriften wie der DSGVO.

Kartenverwaltungssystem (CMS)

‍Ein Kartenverwaltungssystem ist eine Software, mit der Unternehmen ihren Bestand an Authentifizierungstokens zentral verwalten können. Es erleichtert das Lebenszyklusmanagement und die Bereitstellung verschiedener Authentifizierungstoken, darunter Smartcards, FIDO2-Token, digitale Zertifikate und Zugangskontrollausweise. CMS gewährleistet eine effiziente Verwaltung der Authentifizierungstoken während ihres gesamten Lebenszyklus, von der Ausstellung bis zum Widerruf, und bietet benutzerfreundliche Oberflächen zum Anfordern und Abrufen personalisierter physischer Token und digitaler Zertifikate. Es enthält auch umfassende Dashboards zur Nachverfolgung von Token-Vorgängen, die sich mit Rückverfolgbarkeits- und Compliance-Anforderungen befassen.

Datenzugriffssteuerung (DAG)

Data Access Governance, kurz Gouvernance des Accès aux Données Non Structurées, konzentriert sich auf die Kontrolle und Sicherung der Zugriffsrechte auf unstrukturierte Daten wie Dokumente, Tabellen, Präsentationen oder E-Mails, um sensible Informationen zu schützen. DAG arbeitet mit Dokumentenmanagementlösungen wie Dokumentenmanagementsystemen (DMS), Dateiservern und SharePoint-Portalen zusammen und berücksichtigt dabei die Dynamik des Datenaustauschs und die Bedeutung der Minderung von Datenlecks.

FIDO (Schnelle Online-Identität)

Die 2013 gegründete Fast Identity Online (FIDO) Alliance ist ein Konsortium, das sich zum Ziel gesetzt hat, offene Standards für die Online-Authentifizierung zu entwickeln, um die Abhängigkeit von Passwörtern zu reduzieren und gleichzeitig ein hohes Authentifizierungsniveau auf allen Geräten sicherzustellen. FIDO-Protokolle, einschließlich CTAP (Client to Authenticator Protocol), ermöglichen eine passwortlose Authentifizierung mithilfe von Sicherheitsschlüsseln, biometrischen Daten oder einmaligen PINs und verbessern so die Sicherheit und das Benutzererlebnis. FIDO2, das vom World Wide Web Consortium (W3C) unterstützt wird, wird von den wichtigsten Browsern und Betriebssystemen umfassend unterstützt und bietet robuste Authentifizierungsmethoden.

IDaaS (IAM-as-a-Service)

IDaaS steht für IAM-as-a-Service, auch Identity-as-a-Service genannt. Es beschreibt Identity and Access Management (IAM) -Lösungen, die ein cloudbasiertes As-a-Service-Bereitstellungsmodell für Zugriffsmanagement und Authentifizierung bieten. IDaaS wurde in den letzten Jahren als eigenständiger Markt betrachtet. Angesichts der jüngsten Marktentwicklungen und technologischen Veränderungen wird es in Zukunft jedoch eher als zwei separate Disziplinen behandelt werden. Bei den beiden Disziplinen handelt es sich um Access Management und IGA, zu deren Bereitstellungsmethoden lokale Installationen, Software oder Cloud-basierte Plattformen gehören.

Identitäts- und Zugriffssteuerung (IAG)

Identity and Access Governance (IAG) orchestriert das Benutzeridentitäts- und Zugriffsmanagement innerhalb einer Organisation und ergänzt IAM durch die Überwachung der Legitimität von Identitäten, die Verhinderung von Konten für verwaiste Kinder, die Durchsetzung der Aufgabentrennung (SoD) und die Überwachung von Aktivitäten zu Compliance-Zwecken. Die IAG-Lösungen integrieren Überwachungstools, Rollenanalyse, Anspruchsprüfungen und SoD-Durchsetzung, wodurch die Einhaltung gesetzlicher Vorschriften und die Sicherheitslage verbessert werden.

Identitäts- und Zugriffsmanagement (IAM)

Identitäts- und Zugriffsmanagement, gewährleistet den sicheren Zugriff auf Unternehmensressourcen, indem digitale Identitäten und die damit verbundenen Berechtigungen verwaltet werden. IAM umfasst verschiedene Komponenten und Technologien, darunter starke Authentifizierung, Identitätsverbund, Single Sign-On (SSO), Lebenszyklusmanagement und Bereitstellung, was branchenübergreifend Vorteile bietet. Eine robuste IAM-Strategie erfordert eine umfassende Plattform, die in der Lage ist, verschiedene IAM-Services abzudecken und zukünftige Unternehmensanforderungen zu erfüllen.

Identitätsverbund

Der Identitätsverbund umfasst ein zentralisiertes System, das als vertrauenswürdiger Identitätsanbieter („IdP“) bekannt ist und die Benutzerauthentifizierung verwaltet. Wenn Benutzer versuchen, auf Cloud-Anwendungen zuzugreifen, delegieren diese Apps den Authentifizierungsprozess jedes Mal an den Identitätsanbieter. Federated Identity bewältigt die Komplexität der Verwaltung von Anmeldeinformationen für mehrere Webanwendungen, unabhängig davon, ob sich diese innerhalb oder außerhalb einer Organisation befinden. Identity Federation nutzt Standards wie SAML und OpenID Connect zusammen mit spezifischen Protokollen wie Microsofts WS-Federation.

Identität als Service (IDaaS)

Identity as a Service (IDaaS) bietet IAM-Funktionen als Cloud-basierten Service und bietet Skalierbarkeit, Flexibilität und Wirtschaftlichkeit im Vergleich zu herkömmlichen lokalen Lösungen. Zu den IDaaS-Lösungen gehören Verzeichnisdienste, SSO, Multifaktor-Authentifizierung (MFA), Bereitstellung und Workflows. Sie ermöglichen es Unternehmen, Identitätsmanagementprozesse zu rationalisieren und die Bereitstellung von Lösungen zu beschleunigen und gleichzeitig den Betriebsaufwand zu reduzieren.

IdP (Identitätsanbieter)

Ein Identity Provider (IdP), auch bekannt als Identity Provider, erstellt, verwaltet und verwaltet digitale Benutzeridentitäten und Authentifizierungsfaktoren. IdPs verlassen sich auf Authentifizierungsserver, um Benutzeridentitäten, einschließlich Benutzernamen, Passwörter oder biometrischer Daten, zu überprüfen und zu verwalten. Zu den beliebten IdPs gehören Google, Facebook, Amazon Web Services (AWS), Microsoft Active Directoryund OpenLDAP, das Single Sign-On (SSO) und Identitätsverbund für einen nahtlosen Zugriff über mehrere Anwendungen hinweg ermöglicht.

IM (Identitätsmanagement)

Identity Management (IM) beinhaltet die zentrale Verwaltung von Benutzeridentitätsdaten, Profilen und Rollen innerhalb eines Netzwerks. Es umfasst das Benutzerlebenszyklusmanagement, die Kontobereitstellung und das Berechtigungsmanagement, um Benutzeridentitäten inmitten der Komplexität moderner IT-Umgebungen effizient zu handhaben. IM gewährleistet die Einhaltung gesetzlicher Vorschriften, erhöht die Sicherheit und rationalisiert die Zugriffsverwaltungsprozesse, um unterschiedlichen Benutzergruppen gerecht zu werden und behördliche Anforderungen zu erfüllen.

MFA (Mehrfaktor-Authentifizierung)

Die Multifaktor-Authentifizierung (MFA) verifiziert die Benutzeridentität, indem mindestens zwei verschiedene Faktoren aus den folgenden Kategorien benötigt werden: Besitz (etwas, das der Benutzer hat), Inhärenz (etwas, das der Benutzer ist) und Wissen (etwas, das der Benutzer weiß). Durch die Kombination mehrerer Authentifizierungsfaktoren wie Passwörter, Biometrie oder Sicherheitsschlüssel reduziert MFA das Risiko eines unbefugten Zugriffs erheblich und verbessert die Sicherheitslage innerhalb von IAM-Strategien.

OAuth 2

OAuth2 ist ein offenes Protokoll für die Autorisierungsdelegation, das mit Zustimmung des Benutzers eingeschränkten Zugriff auf Anwendungen oder Ressourcen ermöglicht. Es ermöglicht Websites, Software oder Anwendungen (Verbrauchern), die sichere API (Anbieter) einer anderen Website im Namen eines Benutzers zu nutzen. OAuth2 kümmert sich nicht direkt um die Authentifizierung, sondern konzentriert sich auf die Autorisierungsdelegation. Es erleichtert das Abrufen von Autorisierungstoken und das Aufrufen von APIs, um sicher auf Benutzerinformationen zuzugreifen, was zu einem sicheren API-Zugriff und einer verbesserten Privatsphäre der Benutzer beiträgt.

OIDC (OpenID Connect)

OpenID Connect (OIDC) ist ein Standard, der im Identitätsverbund verwendet wird und die dritte Generation des von der OpenID Foundation etablierten Protokolls darstellt. OIDC baut auf den OAuth2-Funktionen auf und fügt eine Identifikationsebene hinzu, die eine Überprüfung der Benutzeridentität mit einem Autorisierungsserver ermöglicht, um Benutzerinformationen sicher abzurufen. Es behebt die OAuth2-Einschränkungen bei der starken Authentifizierung und ermöglicht es Websites von Drittanbietern, Identitäten sicherer zu erhalten als OAuth2 allein. OIDC wird häufig für die Benutzerauthentifizierung in mobilen Anwendungen oder kommerziellen Websites verwendet.

PAM (Verwaltung privilegierter Zugriffe)

Privileged Access Management (PAM) ermöglicht Unternehmen Zugriff und Authentifizierung verwalten für Benutzer mit Rechten für wichtige Ressourcen oder administrative Anwendungen. Es umfasst sowohl interne Benutzer, wie Systemadministratoren oder Benutzer, die mit vertraulichen Daten umgehen, als auch externe Benutzer wie Anbieter verwalteter Dienste. PAM-Lösungen kontrollieren nicht nur die Benutzeridentität und den Zugriff, sondern überwachen auch die Benutzeraktivitäten in Echtzeit, um unbefugte Zugriffsversuche zu erkennen und zu verhindern. Durch die Durchsetzung starker Authentifizierungsmaßnahmen wie der mehrstufigen Authentifizierung gewährleistet PAM eine sichere Verwaltung privilegierter Zugriffe und die Einhaltung der behördlichen Anforderungen.

SAML (Security Assertion Markup Language)

Security Assertion Markup Language (SAML) ist ein Standard, der im Identitätsverbund verwendet wird und vom gemeinnützigen Konsortium OASIS entwickelt wurde. SAML erleichtert die Identitätsprüfung und Autorisierung zwischen dem Identitätsanbieter (IdP) eines Benutzers und dem Dienstanbieter (SP), indem Authentifizierungsdaten im XML-Format übertragen werden. Unternehmen profitieren von den Sicherheitsverbesserungen, der Standardisierung und der Optimierung der Benutzererfahrung durch SAML. Es wird häufig verwendet, um Unternehmensbenutzern den Zugriff auf mehrere Anwendungen mit einer einzigen Anmeldung zu ermöglichen.

Wenn ein Benutzer versucht, sich bei einer Cloud-basierten Anwendung anzumelden, wird er zur Authentifizierung an einen vertrauenswürdigen Identitätsanbieter weitergeleitet. Der Identitätsanbieter erfasst die Anmeldeinformationen des Benutzers, wie z. B. seinen Benutzernamen und das Einmalpasswort, und sendet eine Antwort an die Cloud-Anwendung, auf die zugegriffen wird. Diese Antwort wird als SAML-Assertion bezeichnet und enthält entweder eine Annahme- oder eine Ablehnungsentscheidung. Basierend auf dieser Antwort gewährt oder verweigert der Dienstanbieter — wie Salesforce, Office 365 oder Dropbox — entweder den Zugriff auf die Anwendung.

Sicherheitstoken-Dienste

Identity Provider-Modelle werden auch als Token-basierte Authentifizierung oder Security Token Services (STS) bezeichnet. Ein STS funktioniert ähnlich wie ein Identitätsanbieter, während eine Relying Party (RP) einem Service Provider ähnelt. Anstatt SAML-Assertions auszutauschen, verwenden diese Systeme Security Tokens. Trotz der unterschiedlichen Terminologie bleibt das zugrunde liegende Konzept dasselbe.

SLO (Einzelabmeldung)

Single Logout (SLO) ist ein Prozess, der die gleichzeitige Beendigung von Benutzersitzungen in allen verbundenen Anwendungen und Webdiensten innerhalb einer Single Sign-On (SSO) -Umgebung ermöglicht. Indem sichergestellt wird, dass alle Sitzungen beendet werden, erhöht SLO die Sicherheit und mindert die Risiken, die mit der aktiven Ausnutzung von Sitzungen verbunden sind. SLO-Implementierungen können Kommunikationsprotokolle wie SAML verwenden, um Sicherheitsinformationen zwischen der Ressource und dem Identitätsanbieter auszutauschen, oder Authentifizierungstoken verwenden, um Benutzersitzungen zentral zu verwalten.

SP (Dienstleister)

Ein Service Provider (SP) stellt Clients Anwendungsdienste über ein Netzwerk, in der Regel das Internet, zur Verfügung. Beispiele hierfür sind Regierungsdienste, Gesundheitsdienstleister, Banken und E-Commerce-Plattformen. SPs verlassen sich auf Identitätsanbieter (IdPs), um die Benutzeridentität und bestimmte Benutzerattribute zu überprüfen. Durch den Identitätsverbund bauen SPs Vertrauensbeziehungen zu IdPs auf, sodass Benutzer mithilfe verifizierter Identitätsinformationen, die vom IdP bereitgestellt werden, auf Dienste zugreifen können. SPs vereinfachen den Benutzerzugriff auf Dienste und Ressourcen und entlasten gleichzeitig die Verantwortung für die Zugriffsverwaltung.

SSO (Einmaliges Anmelden)

Einmaliges Anmelden (SSO) ermöglicht Benutzern den Zugriff auf mehrere Anwendungen mit einem einzigen Authentifizierungsprozess. Es optimiert die Authentifizierung in verschiedenen Umgebungen, einschließlich Web-, Unternehmens- und Mobilumgebungen. SSO verbessert die Passwortrichtlinien, erhöht die Sicherheit durch die mehrstufige Authentifizierung und reduziert die mit der Passwortverwaltung verbundenen Helpdesk-Supportkosten. Benutzer profitieren von einem nahtlosen Surferlebnis und Komfort, da sie sich nicht mehrere Passwörter merken müssen.

SSRPM (Self-Service-Reset-Passwortverwaltung)

Mit Self-Service Reset Password Management (SSRPM) können Benutzer ihre Passwörter selbstständig zurücksetzen, falls sie Konten vergessen oder gesperrt haben. SSRPM-Lösungen reduzieren die Belastung des Helpdesks und verbessern die Benutzerautonomie, indem sie das Zurücksetzen von Passwörtern sowohl von Benutzergeräten als auch von Webportalen aus ermöglichen. Sie beinhalten verschiedene Authentifizierungsmethoden, einschließlich der Multifaktor-Authentifizierung, um eine sichere Passwortverwaltung und einen sicheren Benutzerzugriff zu gewährleisten.

WebAuthn (Webauthentifizierung)

WebAuthn, das vom W3C entwickelt wurde und auf den FIDO 2-Spezifikationen basiert, bietet einen Webauthentifizierungsstandard mit asymmetrischen Schlüsseln. Es ermöglicht Benutzern, sich von registrierten Geräten wie Smartphones, Laptops oder Hardware-Sicherheitsschlüsseln aus bei Webanwendungen zu authentifizieren. WebAuthn ersetzt herkömmliche Authentifizierungsmethoden wie Passwörter und SMS-Codes und erhöht so die Sicherheit vor Phishing-Angriffen und bietet eine passwortlose Authentifizierung. WebAuthn wird von den wichtigsten Browsern und Plattformen umfassend unterstützt und setzt einen neuen Standard für die sichere und bequeme Benutzerauthentifizierung.

WS-Federation (Web Services Federation)

WS-Federation (manchmal auch als „Web Services Federation Language“ oder „WS-Fed“ bezeichnet) ist ein Standard, der im Identitätsverbund verwendet wird. Er erleichtert den Austausch von Identitätsinformationen zwischen Anwendungen mit unterschiedlichen Sicherheitsspezifikationen. WS-Federation verwendet eine Sprache zur Beschreibung von Vertrauensregeln, die auf WS-Trust (Web Services Trust Language) basiert, das ebenfalls ein Sicherheitsprotokoll für die Kommunikation mit heterogenen Umgebungen ist. Benutzer können mit ihren Anmeldeinformationen auf Ressourcen in verschiedenen Systemen zugreifen und so sicherstellen, dass die Identifikationsinformationen sicher verwaltet werden. WS-Federation kann verwendet werden, um Single Sign-On (SSO) zu implementieren und den Zugriff auf verschiedene Ressourcen für Benutzer zu optimieren. Wie SAML und OAuth ist WS-Federation eine ausgereifte Technologie.

ZTNA (Zero-Trust-Netzwerkzugang)/Zero Trust

Zero Trust ist ein strategisches Cybersicherheitsmodell, das auf dem Prinzip basiert, dass innerhalb des Netzwerks kein inhärentes Vertrauen besteht und dass kein Benutzer standardmäßig Zugriff erhalten sollte. Zero Trust Network Access erweitert dieses Konzept und konzentriert sich auf die systematische Überprüfung und kontinuierliche Überwachung des Zugriffs auf Anwendungen auf der Grundlage verschiedener Faktoren wie Benutzerauthentifizierung, Kontext und Zugriffskontrollrichtlinien. Durch den Einsatz von Technologien wie mehrstufiger und kontextueller Authentifizierung, Zugriffskontrolle und Rechteverwaltung können Unternehmen eine Zero-Trust-Sicherheitsstrategie implementieren, die auf die aktuelle digitale Landschaft zugeschnitten ist. ZTNA verbessert das Benutzererlebnis und die Agilität und passt gleichzeitig die Cybersicherheitsstrategien an den Geschäftsanforderungen an.

Fazit

Während Unternehmen sich in der Komplexität des digitalen Zeitalters zurechtfinden, meistern IAM Konzepte erweisen sich als strategische Notwendigkeit, um Widerstandsfähigkeit, Agilität und Wettbewerbsvorteile zu erreichen. Indem Unternehmen bewährte IAM-Praktiken nutzen und sich über neue Trends auf dem Laufenden halten, können sie sich in einer sich ständig weiterentwickelnden Technologielandschaft erfolgreich positionieren und nachhaltiges Wachstum und Innovation vorantreiben.