Der aspectra-Blog seit 2012

IAM as a Service

Am Identity & Access Management (IAM) beissen sich nicht nur Enterprise-Organisationen und Softwarehersteller die Zähne aus, auch der Betrieb eines IAMs hat es in sich.

Der Schutz von Webanwendungen steht ausser Frage. Immer mehr Anwendungen sind aber nicht bloss öffentliche Internetauftritte, sondern anwenderbezogene Informations- und Transaktionsplattformen. Solche Applikationen werden von verschiedenen Anwendern und Verwaltern genutzt und beherbergen nicht selten sensitive und personenbezogene Daten. Typische Beispiele hierfür sind E-Health- oder E-Government-Portale. Die Vergabe und Steuerung von Rechten in einer solchen Anwendung stellt Anforderungen an Prozesse und Technik.

Aus technischer Sicht wird unterschieden zwischen Authentisierung und Autorisierung. Dies wiederspiegelt sich ebenfalls in den involvierten Komponenten einer Anwendung. D.h., die Authentisierung wird typischerweise von der Anwendung unabhängig durchgeführt. Nach einem erfolgreichen Login (Benutzername, Passwort, zweiter Faktor) wird der Benutzer mit einer „Rolle“ versehen an die eigentliche Anwendung weitergegeben. Dabei werden Rolle und andere Angaben mittels Token (SAML, OAuth, OpenID Connect) sicher übertragen. In der Anwendung selber findet dann die Autorisierung statt. D.h. die Anwendung entscheidet aufgrund der Rolle und des Benutzers, welche Daten dieser sehen darf. Die Autorisierung ist somit anwendungsbezogen, die Authentisierung jedoch nicht.

Aufgrund obiger Überlegung/Trennung haben sich IAM-Lösungen im Markt etabliert. Diese agieren als Schnittstelle zwischen Anwender/Verwalter und Anwendung und stellen sicher, dass nur korrekt authentisierte Benutzer ein System erreichen. Doch auch solche IAM Lösungen bringen nach wie vor einiges an Komplexität in der Konfiguration und dem Betrieb mit sich. Daraus wiederum entstand die Idee, „«IAM as a Service» (IAMaaS) anzubieten.

Mittels IAMaaS steht somit ein ohne eigenes Zutun aktuell gehaltenes, die Kapazität automatisch anpassendes und mit einer höchstmöglichen Verfügbarkeit ausgestattetes System zur Verfügung. Auch stehen neben Produktionsstrassen Test- und Playgrounds zur Verfügung. Ferner bringt IAMaaS den Vorteil mit sich, dass dieses und die eigentliche Anwendung nicht an ein und demselben Ort betrieben werden müssen. So kann entweder via VPN-Anbindung die Anwendung selber geschützt werden, oder aber der Benutzer wird, mit einem gültigen Token versehen, an die Zielanwendung geleitet. Für Cloud-basierte Lösungen bedeutet dies, dass dank dem IAMaaS der Eintrittspunkt für die Benutzeranmeldung sowie der Speicherort der SSL/TLS-Keys und Benutzerdaten wie Benutzername/Passwort und zweiter Faktor an einem bekannten und entsprechend gesicherten Ort geschehen.

Seit Oktober 2017 bietet aspectra ein umfassendes «Identity and Access Management as a Service» an, basierend auf die vom Ergon entwickelte Airlock IAM Authentifizierungsplattform. Dank einer sicheren, zentralen und skalierbaren Identitäts- und Zugriffsverwaltung benötigen unsere Kunden keine Installation von Software oder Hardware mehr. Die mehrfach redundante, über zwei Rechenzentren verteilte Architektur garantiert höchste Verfügbarkeiten.

Weiterführende Links:

Interessiert? Kontaktieren Sie uns für eine individuelle Beratung

 

Suche