Softline Group // Blog // Post

Security Insights: Identity Federation – zum Schutz Ihrer digitalen Identität

Als Anwender unterschiedlicher Dienste, die Sie beruflich oder privat nutzen, kennen Sie das Phänomen bestimmt sehr gut: Sie haben unzählige Benutzerkonten bei verschiedenen Dienstanbietern, die alle separat verwaltet werden müssen – ein Aufwand, der immer größer wird und zudem auch anfällig für Sicherheitsvorfälle ist.

Wenn Sie sich als Nutzer föderal innerhalb eines Verbunds von Systemen bewegen, genießen Sie eine Vielzahl von Vorteilen. In erster Linie entfällt der beschriebene Verwaltungsaufwand, wenn Sie über einmalige Authentifizierung Zugriff auf alle Systeme erhalten (Single-Sign-On). Auf der anderen Seite profitieren auch die Dienstanbieter davon.

Als allgemeine Definition kann man eine föderierte Identität als eine zusammengefasste Identität verstehen, die sich über mehrere Anwendungen und Dienste erstreckt. In der Praxis haben sich innerhalb eines solchen Verbunds zwei Rollen etabliert: der Identity Provider (IdP) und der Dienstanbieter (Service Provider, SP).

Der IdP verwaltet die Identitäten, d. h., Anwender können sich dort registrieren (Consumer-Bereich) oder werden durch entsprechende externe Systeme automatisch provisioniert (Business-Bereich). Der IdP stellt auch sogenannte Berechtigungstoken aus – eine Bescheinigung (Attestation), dass ein Nutzer erfolgreich authentifiziert wurde und bestimmte Merkmale in Form von Attributen aufweist (z. B. Authentifizierungsmethode). Genau diese Berechtigungstoken werden von den Service Providern konsumiert – der zweiten Rolle innerhalb des Verbunds. Der SP delegiert die Authentifizierung eines Nutzers an den IdP und wertet den Berechtigungstoken aus. Es obliegt dem Dienstanbieter, die Berechtigungen innerhalb des Dienstes in Abhängigkeit des Berechtigungstoken festzulegen. Beispielsweise könnte er eine starke Authentifizierung voraussetzen oder bestimme Nutzerattribute auswerten.

Auf den ersten Blick erweckt es den Anschein, als würden sich die Identitätsinformationen ausschließlich beim IdP befinden. Doch was wird dann unter der »zusammengefassten Identität« verstanden?

Beim näheren Hinschauen ist zu erkennen, dass sich gerade die Autorisierungsinformationen i. d. R. beim SP befinden. Darüber hinaus kann der SP auch weitere personengebundene Informationen erheben, die ausschließlich für die Erbringung des Dienstes relevant sind. Das Identitätsprofil ergibt sich somit aus der Summe der Informationen der einzelnen Systeme innerhalb des Verbunds. Die Informationen verbleiben jedoch – im Gegensatz zum nicht-föderalen Ansatz – stets dort, wo sie sich gerade befinden. Sie sind somit disjunkt im Verbund. Die Änderung eines Datums ist somit nur an einer Stelle notwendig.

Die Vorteile der Identity Federation sind vielfältig:

Aus Nutzersicht:

  • Hoher Benutzerkomfort
  • Single-Sign-On/ Seamless Access 
  • Ein sicheres Login (starke oder Multi-Faktor-Authentifizierung)
  • Dienste-Portal/ Reverse-Proxy

Gerade der Aspekt sicherer Login ist wesentlich. Immer mehr Unternehmen streben danach, eine sichere Authentifizierung flächendeckend in ihre Systemlandschaft einzuführen. Doch die Umsetzung einer Zwei- oder Multi-Faktor-Authentifizierung variiert von System zu System und ist in der Praxis nur vereinzelten Systemen vorbehalten. Durch die Einführung eines zentralen Authentifizierungspunkts ist die sichere Authentifizierungsmethode nur einmal umzusetzen und alle Systeme profitieren davon.

Ein zentraler Authentifizierungsprovider ist somit der Türöffner für die flächendeckende Umsetzung einer Multi-Faktor-Authentifizierung.

Aus Sicht der IT-Administration eines Unternehmens bedeutet Identity Federation:

  • Geringer Verwaltungs- und Administrationsaufwand
  • Effizientere Geschäftsprozesse
  • Vermeidung von Datenschutz- und Compliance-Problemen
  • Offenheit
  • Sicherheit

Neben den Anwendern profitiert auch der Dienstanbieter erheblich:

Die Umsetzung eines IDM (Identity-Management-Systems), um die Nutzer zu registrieren und zu verwalten, entfällt bzw. wird an den IdP delegiert. Solch ein System ist mit hohen Entwicklungskosten versehen; neben den Infrastrukturkomponenten entfallen die Kosten für die Entwicklung von Webdiensten für die Erfassung der Personen, Self-Service-Funktionen sowie entsprechende Workflows für das Management der Identitäten.

Am Markt existieren verschiedene Anbieter für förderierte Identitäten. Gern evaluieren wir mit Ihnen gemeinsam die unterschiedlichen Technologien und finden die für Sie beste Lösung. Auf Wunsch unterstützen Sie unsere Spezialisten auch bei der Implementierung und fortlaufenden Betreuung. Sprechen Sie uns unverbindlich an.

Kontaktieren Sie uns per E-Mail an it-sicherheit@softline-group.com oder telefonisch unter +49 341 24051-0.

Andrea Száraz | Tags: Identity Federation, Identity-Management-System, IT-Sicherheit, Multi-Faktor-Authentifizierung, Autorisierung