Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

Was ist Identity and Access Management (IAM)?

Konzepte für das Identity and Access Management

Was bedeutet Identity and Access Management?

Identity and Access Management (Identitäts- und Zugriffsmanagement, IAM) stellt sicher, dass die richtigen Personen und Jobrollen in Ihrem Unternehmen (Identitäten) auf die Tools zugreifen können, die sie für ihre Arbeit benötigen. Mit Identity and Access Management-Systemen kann Ihr Unternehmen Mitarbeiteranwendungen verwalten, ohne dass sich der oder die Verantwortliche bei jeder einzelnen Anwendung als Administrator anmelden muss. Außerdem ermöglichen sie in Ihrem Unternehmen die Verwaltung unterschiedlicher Identitäten, darunter Menschen, Software und Hardware wie Roboter und IoT-Geräte.

Warum brauchen Sie IAM?

Unternehmen brauchen IAM, um Cybersicherheit zu gewährleisten und die Produktivität ihrer Mitarbeiter zu steigern.

  • Sicherheit – Herkömmliche Sicherheitssysteme haben oft einen Schwachpunkt: das Kennwort. Wenn das Kennwort eines Benutzers geknackt wird – oder noch schlimmer, die E-Mail-Adresse für die Wiederherstellung des Kennworts –, ist Ihr Unternehmen anfällig für Angriffe. IAM-Services schränken die Fehlerquellen ein und schützen Sie mit Tools, die Fehler rechtzeitig erkennen.
  • Produktivität – Sobald Sie sich bei Ihrem Haupt-IAM-Portal angemeldet haben, muss sich Ihr Mitarbeiter nicht mehr darum kümmern, ob er das richtige Kennwort oder die richtige Zugriffsebene hat, um seine Aufgaben zu erfüllen. Dabei erhält nicht nur jeder einzelne Mitarbeiter Zugriff auf die richtigen Tools für seine Arbeit, sondern alle Zugriffe lassen sich auch als Gruppe oder Rolle verwalten, was den Arbeitsaufwand Ihrer IT-Experten verringert.

Verbessert IAM die Sicherstellung der Compliance?

Sicherheit ist auch eine Frage von Gesetzen, Vorschriften und Verträgen. Datenschutzstandards wie die europäische Datenschutz-Grundverordnung (DSGVO), HIPPA und der Sarbanes-Oxley Act in den USA setzen strenge Normen für die Datensicherheit durch. Mit einer IAM-Lösung können Ihre Benutzer und Ihr Unternehmen sicherstellen, dass die höchsten Standards für Sicherheit, Nachverfolgung und Verwaltungstransparenz in Ihrem Tagesgeschäft ganz selbstverständlich eingehalten werden.

Wie funktioniert IAM?

Identity Management-Lösungen erfüllen im Allgemeinen zwei Aufgaben:

  1. IAM bestätigt die Identitäten von Benutzern, Software oder Hardware, indem es die Anmeldeinformationen in mit einer Datenbank abgleicht. IAM-Cloud-Identitäts-Tools sind sicherer und flexibler als herkömmliche Lösungen mit Benutzernamen und Kennwort.
  2. Identity and Access Management-Systeme gewähren den Benutzern über die entsprechende Zugriffsebene nur den Zugriff, den sie auch wirklich für Ihre Zwecke benötigen. Anstelle eines Benutzernamens und eines Kennworts, die den Zugriff auf eine gesamte Software-Suite ermöglichen, erlaubt IAM die Aufteilung des Zugriffs auf bestimmte Rollen, z. B. auf Redakteure, Betrachter und Kommentatoren in einem Content-Management-System.
So funktionieren Authentifizierung und Autorisierung

Was macht IAM?

IAM-Systeme bieten folgende Kernfunktionen:

 

AUFGABE

TOOLS

Verwaltung von Benutzeridentitäten

IAM-Systeme können das einzige Verzeichnis sein, das zum Erstellen, Ändern und Löschen von Benutzern verwendet wird, oder es kann mit einem oder mehreren anderen Verzeichnissen integriert und synchronisiert werden. Das Identity and Access Management kann auch neue Identitäten für Benutzer erstellen, die eine spezielle Art von Zugriff auf die Tools eines Unternehmens benötigen.

Provisionierung und Deprovisionierung von Benutzern

Die Festlegung, welche Tools und Zugriffsebenen (Redakteur, Betrachter, Administrator) einem Benutzer zugeordnet werden, wird als Provisionierung oder Bereitstellung bezeichnet. Mit IAM-Tools können IT-Abteilungen in Absprache mit den jeweiligen Abteilungsleitern Benutzer je nach Rolle, Abteilung oder anderen Gruppierungen bereitstellen. Da es zeitaufwändig ist, den Zugriff jeder einzelnen Person zu jeder Ressource festzulegen, ermöglichen Identity Management-Systeme die Provisionierung über Richtlinien, die auf Grundlage der rollenbasierten Zugriffskontrolle (RBAC) definiert werden. Den Benutzern werden eine oder mehrere Rollen zugewiesen, in der Regel auf Grundlage ihrer Funktion im Unternehmen, und das RBAC-IAM-System gewährt ihnen automatisch Zugriff. Die Provisionierung funktioniert auch in umgekehrter Richtung: Um Sicherheitsrisiken zu vermeiden, die durch ehemalige Mitarbeiter entstehen, die weiterhin Zugriff zu Systemen haben, kann Ihr Unternehmen mit IAM deren Zugriff schnell entfernen.

Benutzerauthentifizierung

IAM-Systeme authentifizieren einen Benutzer, indem sie bestätigen, dass er derjenige ist, der er vorgibt zu sein. Sichere Authentifizierung bedeutet heute Multi-Faktor-Authentifizierung (MFA) und vorzugsweise adaptive Authentifizierung.

Benutzerautorisierung

Das Access Management stellt sicher, dass ein Benutzer genau den Grad und die Art des Zugriffs auf ein Tool erhält, zu dem er berechtigt ist. Benutzer können auch in Gruppen oder Rollen eingeteilt werden, sodass großen Gruppen von Benutzern dieselben Rechte gewährt werden können.

Berichterstellung

IAM-Tools erstellen Berichte nach den meisten Vorgängen, die auf der Plattform durchgeführt werden (z. B. Anmeldezeit, Systeme, auf die zugegriffen wird, und Art der Authentifizierung), um die Compliance sicherzustellen und Sicherheitsrisiken zu bewerten.

Single Sign-On

Dank Lösungen für das Identity and Access Management mit Single Sign-On (SSO) können Benutzer ihre Identität bei einem einzigen Portal statt bei vielen verschiedenen Ressourcen authentifizieren. Nach der Authentifizierung fungiert das IAM-System als zuverlässige Identitätsquelle für die anderen Ressourcen, die dem Benutzer zur Verfügung stehen, sodass sich der Benutzer nicht mehr mehrere Kennwörter merken muss.

Was ist der Unterschied zwischen Identity und Access Management?

Das Identity Management bestätigt, dass Sie Sie sind, und speichert Informationen über Sie. Eine Identity Management-Datenbank enthält Informationen über Ihre Identität – zum Beispiel Ihre Berufsbezeichnung und Ihre direkten Vorgesetzten – und bestätigt, dass Sie tatsächlich die in der Datenbank beschriebene Person sind.

Das Access Management verwendet die Informationen über Ihre Identität, um zu bestimmen, auf welche Software-Suites Sie zugreifen dürfen und was Sie tun dürfen, wenn Sie dies tun. Durch Access Management wird beispielsweise sichergestellt, dass jede Führungskraft mit direkten Untergebenen Zugriff auf eine Anwendung zur Genehmigung von Arbeitszeitnachweisen hat, aber nicht so viel Zugriff, dass er seine eigenen Arbeitszeitnachweise genehmigen kann.

IAM in der Cloud vs. lokal

In der Vergangenheit wurde das Identity and Access Management meist von einem Server in den physischen Räumlichkeiten eines Unternehmens verwaltet, was als lokale Verwaltung bezeichnet wurde. Die meisten IAM-Services werden heute von einem Anbieter in der Cloud verwaltet, um dem Unternehmen Kosten für die physische Wartung zu ersparen und Betriebszuverlässigkeit, die Nutzung verteilter und redundanter Systeme sowie kurze SLAs zu gewährleisten.

Was ist AWS Identity and Access Management?

Das Identity and Access Management von Amazon Web Services (AWS) ist das IAM-System, das in AWS integriert ist. Mit AWS IAM können Sie AWS-Benutzer und -Gruppen erstellen und ihnen Zugriff auf AWS-Services und -Ressourcen gewähren oder verweigern. AWS IAM ist kostenlos verfügbar.

Der AWS IAM-Service bietet:

  • Fein abgestufte Kontrollen des Zugriffs auf AWS-Ressourcen
  • AWS-Multi-Faktor-Authentifizierung
  • Analysefunktionen zur Validierung und Feinabstimmung von Richtlinien
  • Integration mit externen Identity Management-Lösungen

Welche Tools benötige ich für die Implementierung von Identity and Access Management?

Zu den Tools, die für die Implementierung von IAM benötigt werden, gehören Kennwortverwaltungsprogramme, Bereitstellungssoftware, Anwendungen zur Durchsetzung von Sicherheitsrichtlinien, Anwendungen für Berichterstellung und Überwachung sowie Identitäts-Repositories. IAM-Tools können unter anderem sein:

  • MFA
    Multi-Faktor-Authentifizierung bedeutet, dass Ihr IAM-Anbieter mehr als eine Art von Nachweis verlangt, dass Sie derjenige sind, für den Sie sich ausgeben. Ein typisches Beispiel ist die Authentifizierung über ein Kennworts und einen Fingerabdruck. Andere MFA-Möglichkeiten sind Gesichtserkennung, Iris-Scans und physische Token wie ein Yubikey.

  • SSO
    SSO steht für Single Sign-On. Wenn Ihre IAM-Lösung Single Sign-On bietet, bedeutet dies, dass sich Ihre Benutzer nur einmal anmelden müssen und dann das Identity and Access Management-Tool als „Portal“ zu den anderen Software-Suites, auf die sie Zugriff haben, behandeln können, ohne sich bei jeder separat anmelden zu müssen.

Was beinhaltet eine IAM-Implementierungsstrategie?

Als Eckpfeiler einer Zero-Trust-Architektur sollte eine IAM-Lösung unter Anwendung von Zero-Trust-Prinzipien wie dem Zugriff mit geringsten Privilegien und identitätsbasierten Sicherheitsrichtlinien implementiert werden.

  • Zentrales Identity Management
    Ein Kernprinzip von Zero Trust ist die Verwaltung des Ressourcenzugriffs auf Identitätsebene, weshalb eine zentrale Verwaltung dieser Identitäten diesen Ansatz wesentlich vereinfachen kann. Dies kann zum Beispiel bedeuten, dass Sie Benutzer aus anderen Systemen migrieren oder zumindest Ihr IAM mit anderen Benutzerverzeichnissen in Ihrer Umgebung synchronisieren, etwa mit einem Verzeichnis der Personalabteilung.

  • Sicherer Zugriff
    Da die Absicherung auf Identitätsebene entscheidend ist, sollte ein IAM sicherstellen, dass es die Identitäten derjenigen bestätigt, die sich anmelden. Dies könnte bedeuten, MFA oder eine Kombination aus MFA und adaptiver Authentifizierung zu implementieren, um den Kontext des Anmeldeversuchs zu berücksichtigen: Ort, Zeit, Gerät usw.

  • Richtlinienbasierte Kontrolle
    Benutzer sollten nur die Berechtigung erhalten, ihre erforderlichen Aufgaben auszuführen, und nicht mehr Rechte als nötig haben. Ein IAM sollte so konzipiert sein, dass Benutzer auf Grundlage ihrer beruflichen Rolle, ihrer Abteilung oder anderer geeigneter Attribute Zugriff auf Ressourcen erhalten. Als Teil der zentral verwalteten Identitätslösung können diese Richtlinien dann sicherstellen, dass die Ressourcen sicher sind – ganz gleich, von wo aus auf sie zugegriffen wird.

  • Zero-Trust-Richtlinie
    Eine Zero-Trust-Richtlinie bedeutet, dass die IAM-Lösung eines Unternehmens die Identität und die Zugriffspunkte seiner Benutzer ständig überwacht und sichert. In der Vergangenheit arbeiteten Unternehmen nach dem Prinzip „wer einmal drin ist, hat Zugriff“, doch Zero-Trust-Richtlinien sorgen dafür, dass jedes Mitglied des Unternehmens ständig identifiziert wird und sein Zugriff verwaltet wird.

  • Gesicherte privilegierte Konten
    Nicht alle Konten in einem Access Management-System sind gleich. Konten mit speziellen Tools oder privilegiertem Zugriff auf sensible Daten können mit einer Sicherheits- und Supportstufe ausgestattet werden, die ihrem Status als Gatekeeper für das Unternehmen entspricht.

  • Schulung und Support
    IAM-Anbieter führen Schulungen für die Benutzer durch, die am häufigsten mit dem Produkt zu tun haben werden – einschließlich der Benutzer und Administratoren – und bieten oft einen Kundendienst für die langfristige Zuverlässigkeit Ihrer IAM-Installation und ihrer Benutzer.

IAM-Technologien

Von einem IAM-System wird erwartet, dass es mit vielen verschiedenen Systemen integriert werden kann. Aus diesem Grund gibt es bestimmte Standards oder Technologien, die von allen IAM-Systemen unterstützt werden müssen: Security Access Markup Language, OpenID Connect und System for Cross-Domain Identity Management.

  • Security Access Markup Language (SAML)
    SAML ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen einem Identitätsanbietersystem wie einem IAM und einem Service oder einer Anwendung. Dies ist die am häufigsten verwendete Methode für ein IAM, um einem Benutzer die Möglichkeit zu geben, sich bei einer Anwendung anzumelden, die in die IAM-Plattform integriert wurde.

  • OpenID Connect (OIDC)
    OIDC ist ein neuerer offener Standard, mit dem sich Benutzer auch über einen Identitätsanbieter bei ihrer Anwendung anmelden können. Es ist SAML sehr ähnlich, basiert jedoch auf den OAuth 2.0-Standards und verwendet JSON zur Übertragung der Daten anstelle von XML, das bei SAML verwendet wird.

  • System for Cross-Domain Identity Management (SCIM)
    SCIM ist ein Standard für den automatischen Austausch von Identitätsinformationen zwischen zwei Systemen. Zwar können sowohl SAML als auch OIDC während des Authentifizierungsprozesses Identitätsinformationen an eine Anwendung weitergeben, doch SCIM wird verwendet, um die Benutzerinformationen auf dem neuesten Stand zu halten, wenn dem Service oder der Anwendung neue Benutzer zugewiesen, Benutzerdaten aktualisiert oder Benutzer gelöscht werden. SCIM ist eine Schlüsselkomponente der Benutzerbereitstellung im IAM-Bereich.