FÜR MITARBEITER AUTHENTIFIZIERUNGSINSTANZ - Die einzige verlässliche Informationsquelle für das - Ping Identity
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
AUTHENTIFIZIERUNGSINSTANZ
FÜR MITARBEITER
Die einzige verlässliche Informationsquelle für das
gesamte Unternehmen
W HI T EPA P ERINHALTSANGABE
03 EINLEITUNG
Zero Trust verstehen
05 DIE AUTHENTIFIZIERUNGSINSTANZ FÜR MITARBEITER
Lokale Authentifizierung vs. Authentifizierungsinstanz für Mitarbeiter
Zusätzliche Vorteile einer Authentifizierungsinstanz für Mitarbeiter
08 FUNKTIONEN EINER AUTHENTIFIZIERUNGSINSTANZ
FÜR MITARBEITER
Unterstützung mehrerer Authentifizierungsmethoden und -richtlinien
FIDO2: Die modernste Abwehr gegen Phishing-Angriffe
Single Sign-On (SSO) für alle Anwendungen
Handhabung von Identität und Attributen
Authentifizierungs-Orchestrierung
Anwendungsfälle für die Ausgabe von Identitäts- und Sitzungs-Token
Anwendungsfälle für eingehende föderierte Authentifizierung
Autorisierungs-Richtlinien
Token-Mediation
19 FAZIT
Quellenangaben
2
WHITEPAPER Authentifizierungsinstanz für MitarbeiterEINLEITUNG
Die Identität fördert die Sicherheit und Agilität im
Unternehmen und sorgt dafür, dass digitale Interaktionen Zero Trust verstehen
sicher und reibungslos ablaufen. Damit die Anforderungen Drei von vier Unternehmen (72 %) haben für 2020
an die digitale Transformation erfüllt werden können, muss das Bewerten, Implementieren bzw. die fortgesetzte
die Identität im gesamten Unternehmen verfügbar sein Nutzung von Zero Trust ins Auge gefasst, und eine
und sich leicht in neue Projekte und Initiativen integrieren Authentifizierungsinstanz für Mitarbeiter kann dabei
lassen. Wenn Identitätssysteme nicht so konzipiert sind, hilfreich sein.¹ Warum ist Zero Trust so überzeugend?
dass sie diesen modernen Anforderungen gerecht werden, Weil der vorangegangene Sicherheitsansatz mit dem
können grundlegende Voraussetzungen für die digitale Motto „Vertrauen, aber überprüfen“ seine Relevanz
Transformation nicht vollständig erfüllt werden. und Wirksamkeit verloren hat. Initiativen zur digitalen
Transformation sind kaum mit einem auf Perimeter
Die Unternehmen werden sich der Tatsache bewusst, dass basierenden Sicherheitsmodell in Einklang zu bringen.
ihre bestehenden Identitätssysteme nicht mehr auf dem Daher entscheiden sich viele Unternehmen für die
neuesten Stand sind. In vielen Fällen wurden diese Systeme Zero Trust-Philosophie des „Niemals vertrauen und
immer überprüfen.“
über längere Zeit unternehmensintern zusammengestückelt,
um strategischen Problemen mit Identitäten zu begegnen,
Zero Trust (wie es ursprünglich von Forrester 2013
oder sie wurden im Handel als Standardlösung für eine definiert wurde) geht davon aus, dass dem Netzwerk-
vergangene Ära erworben. In manchen Unternehmen sind Traffic – intern wie auch extern – generell nicht zu
aufgrund von Fusionen und Übernahmen über die Zeit Silos trauen ist. Das Konzept des „Zero Trust Network“
für Berechtigungsdaten entstanden. In anderen wiederum besagt, dass jeder Netzwerk-Traffic als bedrohlich
entsteht eine Tendenz zu Schatten-IT als Reaktion auf die erachtet werden sollte. Die Urheber von Zero Trust
Unzufriedenheit mit der vorhandenen Identitäts-Software. ergänzten die Definition um die Forderung, dass jedes
Wie auch immer: Die aktuellen Ziele können nicht auf Gerät, jeder Benutzer und Netzwerkfluss authentifiziert
strategisch günstige Weise erreicht werden. Veraltete und autorisiert und dass Richtlinien dynamisch und aus
möglichst vielen Quellen errechnet sein müssen.²
Identitätssysteme behindern Unternehmen bei ihrer
Optimierung der Mitarbeiterproduktivität, IT-Agilität und
Dies können Sie nur umsetzen, wenn Sie Ihren
Informationssicherheit. Mitarbeitern und Partnern eine einheitliche Methode
anbieten, um sich für ihre Ressourcen vor Ort, in der
Die heutigen Unternehmen unterhalten hybride IT- und Multi-
Cloud oder über SaaS zu authentifizieren. Das ist
Cloud-Infrastrukturen, für die sie eine strategische Plattform
allerdings leichter gesagt als getan. Zur Aktivierung
für das Verwalten der digitalen Identitäten ihrer Mitarbeiter dieses Zugangs müssen mehrere Standards,
und Partner benötigen. Sie müssen den Nutzern einen benutzerdefinierte Anwendungsanforderungen
schnellen und problemlosen Zugriff auf Ressourcen ohne und weitere komplexe Anwendungsfälle für die
Beeinträchtigung der Sicherheit bereitstellen. Authentifizierung berücksichtigt werden. Der
Benutzerfreundlichkeit und dem Risikomanagement
Eine moderne Identitäts-Plattform sollte sich auch für Unternehmen sollten Sie im gleichen Maß Bedeutung beimessen.
eignen, die Anpassungen ihrer Sicherheitsinfrastruktur vornehmen,
um neuartige Konzepte wie beispielsweise Zero Trust zu Ebenso, wie Rom nicht an einem Tag erbaut wurde,
implementieren. Zuguterletzt benötigen Sie eine Lösung für brauchen Sie auch bei der Einführung von Zero Trust
eine gut organisierte Planung und Umsetzung.
die IT, die mit Ihrer Geschäftsentwicklung mithalten kann,
Logischerweise beginnt man auch hier mit einem
das heißt mit dem Anwendungswachstum, den DevOps-
soliden Fundament.
Prozessen und dem Arbeitsvolumen in der Cloud.
3
WHITEPAPER Authentifizierungsinstanz für MitarbeiterDer erste Schritt ist die Implementierung einer Authentifizierungsinstanz für Ihre Mitarbeiter. Eine Mitarbeiter-Authentifizierungsinstanz
ist eine zentrale und verlässliche Informationsquelle („Single Source of Truth“), die den Zugriff auf die unternehmenseigenen Ressourcen
authentifiziert. Sie bezieht Informationen aus verschiedenen Quellen und arbeitet dabei mit der Geschwindigkeit, Größenordnung und
Sicherheit, die Unternehmen erwarten. Eine Authentifizierungsinstanz liefert nicht nur die strategische Ausgangsbasis für Ihre digitale
Transformation, sondern schiebt diese Art von Initiativen auch zusätzlich an.
Obwohl es nicht „die eine“ Methode für den Wechsel zu einer Authentifizierungsinstanz gibt, können Funktionen wie Token-Mediation und
Verzeichnis-Synchronisierung als bewährte Sprungbretter dienen. Wenn Sie weiterlesen, erhalten Sie Informationen über die Bandbreite
der Funktionen, die Sie nutzen können, und über Lösungen für Probleme und Anwendungsfälle.
4
WHITEPAPER Authentifizierungsinstanz für MitarbeiterDIE AUTHENTIFIZIERUNGSINSTANZ
FÜR MITARBEITER
Moderne Unternehmen müssen in der Lage sein, Nutzer, Anwendungen, Geräte und Datenströme zu überprüfen. Jeder Zugriff muss
authentifiziert werden, um die Sicherheit zu gewährleisten. Um dieses Vorgehen so nahtlos wie möglich zu gestalten, benötigen Sie
Steuerelemente für eine intelligente Authentifizierung und Autorisierung. Eine zentralisierte oder globale Authentifizierungsinstanz kann
dies leisten.
Jedes Verzeichnis
Jede Cloud
Jede Anwendung AUTHENTIFIZIERUNGSINSTANZ
Jede Situation
Mit einer Authentifizierungsinstanz für Mitarbeiter können Sie den Zugriff auf die Ressourcen über all Ihren Domänen und Plattformen
hinweg absichern und kontrollieren – von öffentlichen und privaten Clouds bis hin zu älteren standortbasierten Umgebungen.
Sie unterstützt alle Identitätstypen, Benutzergruppen, Anwendungen und Umgebungen und bietet Ihnen die Möglichkeit, verdächtige
Verhaltensmuster ohne unnötige Reibung zu erkennen und ein perfekt ausgewogenes Verhältnis zwischen Sicherheit und Komfort
herzustellen.
Die Authentifizierungsinstanz ist in der Lage, komplexe Authentifizierungsflüsse über ein breites Spektrum von SaaS-, Vor-Ort- und
Cloud-Ressourcen zu orchestrieren. Auf diese Weise kann sie kontinuierlich Identitäts-, Geräte- und Kontextdaten für die Überprüfung von
Identitäten bereitstellen. Unternehmen können mit ihrer Hilfe Merkmale aus unterschiedlichen Datenquellen nutzen, um unterschiedliche
Richtlinienanforderungen festzulegen und zu erfüllen.
5
WHITEPAPER Authentifizierungsinstanz für MitarbeiterLokale Authentifizierung vs. Authentifizierungsinstanz
Lokale Authentifizierung Authentifizierungsinstanz
Bruchstückhafte Benutzererfahrung Konsistente Benutzererfahrung
Wenn jede Anwendung eine eigene Authentifizierungsmethode Durch die Bereitstellung eines zentralen Authentifizierungsdienstes
nutzt, müssen sich Ihre Nutzer bei jeder Anwendung können sich Ihre Nutzer bei allen Ihren Anwendungen
neu authentifizieren. Bei etwa 130 installierten auf die gleiche Weise authentifizieren. Sie können Ihre
Anwendungen in einem durchschnittlichen Unternehmen Authentifizierungsinstanz auch auf Anwendungen von
ist die Frustrationsgrenze schnell erreicht. Wenn diese Geschäftspartnern und Drittanbietern ausdehnen. Das
Authentifizierungsmethoden dann auch noch alle bedeutet weniger Kontextwechsel und Passwörter, die man
unterschiedlich sind, wird die Erfahrung für Ihre Nutzer sich merken oder zurücksetzen muss, und damit auch weniger
zunehmend unstimmiger und bruchstückhaft. Kurz gesagt: Supportaufwand. Die Benutzererfahrung wird komfortabler,
Die Produktivität Ihrer Mitarbeiter sinkt. einheitlicher und produktiver.
Eng gekoppelte Anwendungen und Authentifizierung Entkoppelte Anwendungen und Authentifizierung
Wenn Ihre Anwendungen und die Authentifizierung Durch die Verwendung von Standard-Token bei der Übermittlung
eng miteinander verbunden sind, können Sie die von Identitäts- und Sitzungsdaten und anderen benötigten
Authentifizierungsmethoden oder die Authentifizierungsquellen Informationen können die Anwendungen flexibel verschiedene
nicht ändern, ohne die Anwendung zu aktualisieren und erneut Authentifizierungsmethoden und Quellen verwenden, ohne dass
freizugeben. der Anwendungscode geändert werden muss.
Größere Gefahr von Datenschutzverletzungen und Überalterung Erhöhte Verfügbarkeit und Sicherheit
Mit der wachsenden Zahl Ihrer Anwendungen und deren Authentifizierungsinstanzen sind auf betriebliche
Auslagerung aus Ihrem Unternehmensrechenzentrum vermehren Größenordnungen, Belastbarkeit und Sicherheit ausgelegt.
sich auch die Authentifizierungsanbieter und Datenspeicher. Mit einer geeigneten Authentifizierungsinstanz können Sie Ihre
Da alle diese Systeme und Speicher auf unterschiedlichen Anwendungen bedenkenlos auf neue Cloud-Umgebungen und
Niveaus der Ausfallsicherheit, Compliance und Sicherheit Technologien ausweiten. Sie können sich weiterhin auf die
agieren, könnte es für Sie schwierig werden, Ihre eigene Verfügbarkeit und Sicherheit Ihres Authentifizierungsverfahrens
allgemeine Verfügbarkeit, Sicherheit und Compliance zu verlassen und sicher sein, dass Sie die einschlägigen
beurteilen und aufrechtzuerhalten. Vorschriften und Richtlinien einhalten.
Separate Datenspeicher und Datensilos Konsolidierte Identitätsspeicher
Im Zuge der Migration in die Cloud kann es vorkommen, dass Alle Identitäten können in der Authentifizierungsinstanz für
Benutzerinformationen für einzelne Anwendungen in mehreren Mitarbeiter konsolidiert werden, sodass sie eine einzige
separaten Datenspeichern und Datensilos abgelegt werden und verlässliche Informationsquelle („Single source of Truth“)
diese Daten anschließend nicht mehr anwendungsübergreifend bilden, die sowohl von den aktuellen als auch von zukünftigen
zur Verfügung stehen. Diese Silos sind mit strengen Auflagen Anwendungen am Standort oder in der Cloud genutzt wird.
versehen. Damit wird die IT zu einem Engpass oder – noch Der konsolidierte, zugrunde liegende Datenspeicher vereinfacht
schlimmer – zu einem Hindernis für neue Geschäftsinitiativen. darüber hinaus das Wachstum neuer Technologien. Sie
können jetzt schneller auf neue Initiativen zugehen, die auf
modernen Verzeichnisdiensten basieren und benutzerdefinierte
Anwendungsdaten außerhalb des veralteten Datensystems
ablegen. Ihre IT wird dadurch agiler und kann mit Ihrer
Geschäftsentwicklung mithalten.
6
WHITEPAPER Authentifizierungsinstanz für MitarbeiterZusätzliche Vorteile einer Authentifizierungsinstanz für Mitarbeiter
Sobald Sie die Grenzen der lokalen Authentifizierung überwunden haben und zu einer zentralisierten und globalen
Authentifizierungsinstanz übergegangen sind, haben Sie folgende Optionen:
• Aktivieren von Single Sign-On (SSO) für den Anwendungszugriff: Die Verwendung von Standard-Token bei der
Übermittlung von Identitäts- und Sitzungsdaten und anderen benötigten Informationen bedeutet, dass sich die Benutzer
nur einmal authentifizieren müssen, und ermöglicht mehreren Anwendungen die Verwendung der gleichen Informationen.
Sie können bequemes SSO für standardbasierte Anwendungen, mobile und SaaS-Anwendungen wie auch APIs unabhängig
vom Identitätsprovider (IdP) oder Service Provider (SP) anbieten.
• Zentralisieren des Zugriffs auf SaaS-Anwendungen: Da die Authentifizierungsinstanz Standard-Token ausgeben und
sich mit Zertifikatsnutzern (Relying Parties) verbinden kann, ist sie auch in der Lage, den Benutzerzugriff auf SaaS-
Anwendungen von Drittanbietern und Unternehmen zu gewähren, ganz gleich, wo sich die Anwendungen befinden.
• Erstellen von flexiblen und wiederverwendbaren Authentifizierungsrichtlinien: Anwendungen haben oft unterschiedliche
Authentifizierungsanforderungen, die in exakt definierte Kategorien fallen. Wenn die Authentifizierung von einer zentralen
Instanz durchgeführt wird, können diese Authentifizierungsrichtlinien von Anwendungen mit ähnlichen Anforderungen
wiederverwendet werden, was wiederum die Freigabe-Zyklen verkürzt.
• Integrieren von Partner-Identitäten und sozialen Identitäten: Neben den lokal gespeicherten Identitäten kann eine
Authentifizierungsinstanz unter Verwendung von Token für die Standard-Identifikation auch Identitäten von Partner-Sites
oder Social Identity-Sites akzeptieren. Dies ermöglicht eine nahtlose Eingliederung von Partner- und sozialen Identitäten,
ohne dass sich die Benutzer neu registrieren müssen.
7
WHITEPAPER Authentifizierungsinstanz für MitarbeiterFUNKTIONEN EINER GLOBALEN
AUTHENTIFIZIERUNGSINSTANZ
Wenn Sie darüber nachdenken, wo Sie Ihre Zero Trust-Journey beginnen sollten, bietet sich eine starke Identifizierung und
Authentifizierung als logischer Startpunkt an. Die allgemeine Prämisse, dass jeder Zugriff authentifiziert sein muss, ist das Motto
von Zero Trust. Bieten Sie eine globale, adaptive Authentifizierung an, und nutzen Sie das Potenzial einer zentralen Richtlinien- und
Verwaltungsinstanz für Risikosignale und Richtlinienentscheidungen.
Kontextbezogene Benutzer-Store
adaptive MFA
TOKEN- INBOUND IDENTITY
AUTHENTIFIZIERUNGSDIENST
AUSGABE-DIENST FEDERATION
SaaS-Anwendung
GESCHÄFTSNUTZER KONSOLIDIERTES GESCHÄFTSANWENDUNGEN
VERZEICHNIS
SaaS-Anwendung
Auftrags-
management
SaaS-Anwendung
Unterstützung mehrerer Authentifizierungsmethoden und -richtlinien
Zu den vielen Vorteilen einer Authentifizierungsinstanz gehört ihre Fähigkeit, eine Vielzahl lokaler Authentifizierungsmethoden und -richtlinien
zu unterstützen, einschließlich der Basisauthentifizierung, der Multifaktor-Authentifizierung (MFA) und der adaptiven Authentifizierung.
Basisauthentifizierung
Die Basisauthentifizierung beruht auf der traditionellen Kombination aus Benutzername und Passwort. Sie errichtet eine Sicherheitsbarriere
zwischen Nutzern und Ressourcen. Diese Barriere ist jedoch immer brüchiger geworden. Die Basisauthentifizierung ist den Nutzern zwar
vertraut, sie weist allerdings erhebliche Schwachstellen auf. So ist sie unter anderem anfällig für „Credential Stuffing“ und für Phishing-Angriffe.
Beim Credential Stuffing spielen automatische Bots Listen mit gestohlenen Benutzernamen und Passwörtern in Ihre Anmeldemaske ein.
Die Authentifizierungsinstanzen sind mittlerweile in der Lage, einen besseren integrierten Schutz gegen diese Angriffe aufzubauen.
Die Botnet-Urheber wiederum haben auf beeindruckende Weise gleichgezogen, was zu einem scheinbar nicht enden wollenden
Tauziehen zwischen den Angreifern und den Anbietern von Authentifizierungsinstanzen geführt hat.
8
WHITEPAPER Authentifizierungsinstanz für MitarbeiterDie Basisauthentifizierung ist außerdem sehr anfällig für Phishing-Angriffe. Die Angreifer haben herausgefunden, wie sie leicht zu
bedienende Angriffsproxys (wie beispielsweise Modlishka) nutzen können, um sehr überzeugende Phishing-Websites zu erstellen und
Benutzern vorzugaukeln, sie würden sich bei einer legitimen Ressource anmelden.
Multifaktor-Authentifizierung (MFA)
Um diese Schwachstellen zu überwinden und die Übernahme von Konten zu verhindern, sollte die Basisauthentifizierung durch zusätzliche
Authentifizierungsfaktoren ergänzt werden. Dies wird als Multifaktor-Authentifizierung bezeichnet. Die Einführung einer MFA (oder einer
starken Authentifizierung) ermöglicht es Ihnen, diese zusätzlichen Faktoren anzufordern. Sie ist, so gesehen, der einfachste und effektivste
Weg, um die Sicherheit Ihres Unternehmens zu stärken.
Tatsächlich haben Studien gezeigt, dass eine starke Authentifizierung die Angriffe um 99,9 % verringern kann.³ Dennoch verwenden 53 %
der Unternehmen MFA nicht überall, weil frühere Lösungen in Bezug auf die Erweiterbarkeit nicht ausreichend waren.⁴ Wenn Sie MFA
mit einem leistungsstarken Authentifizierungs-Hub kombinieren, der sich vollständig in Ihr Unternehmen integrieren lässt, haben Sie die
unübertroffene Fähigkeit, MFA überall zu initiieren.
Moderne MFA bindet Benutzergeräte und verschiedene Authentifizierungsmethoden ein und gestaltet den Prozess für die Benutzer
noch komfortabler. Zu weiteren gängigen Formen der zusätzlichen Authentifizierung zählen unter anderem SMS, OTP (Einmalpasswort),
Out-of-Band-Push-Benachrichtigungen, biometrische Daten und Hardware-Token. Auch wenn diese Faktoren die allgemeine Sicherheit
verbessern, verhindern sie die Phishing-Angriffe nicht mit der gleichen Wirksamkeit. Die Verwendung von SMS wurde vom NIST und
vom FBI abgelehnt, da Angreifer Telefonnummern mittels verschiedener Methoden kapern können. Außerdem würde ein Benutzer,
der überzeugt ist, sich auf einer legitimen Website anzumelden, keinen Grund haben, nicht auch OTP-Codes in die Phishing-Website
einzugeben, auf Push-Benachrichtigungen zu reagieren, den Fingerabdruck-Scanner zu verwenden usw.
Auch wenn die MFA die Sicherheit von Passwörtern verstärkt, haben Unternehmen und die Sicherheitsgemeinschaft weiter nach Wegen
gesucht, die Notwendigkeit von Passwörtern ganz aus der Welt zu schaffen. Der Standard namens FIDO2 gibt den Weg vor.
Was hier benötigt wird, ist eine zusätzliche Sicherheitsebene, die der Authentifizierungsschicht übergeordnet ist und feststellen kann,
ob die Authentifizierungsanfrage tatsächlich von einer legitimen Website stammt. Der Standard namens FIDO2 kann dies leisten.
FIDO2: Die modernste Abwehr gegen Phishing-Angriffe
FIDO2, ein offener Authentifizierungsstandard, der von der Fast IDentity Online (FIDO) Alliance und dem World Wide Web Consortium (W3C)
in einem Gemeinschaftsprojekt entwickelt wurde, ist der Oberbegriff für die neuesten Spezifikationen der FIDO Alliance. FIDO2, oder einfach
FIDO, bietet noch mehr Schutz gegen Phishing und Passwort-Hacking, indem es die Fähigkeiten von WebAuthn und CTAP kombiniert, um
festzustellen, ob eine Authentifizierungsanfrage von einer legitimen Website oder aber von einer betrügerischen Phishing-Site stammt.
WebAuthn ist das Protokoll, mit dem browserbasierte Anwendungen die Authentifizierung entweder über CTAP oder über
plattformbasierte Authentifikatoren abrufen. Es wird von den stabilen Versionen der Browser (Chrome, Firefox und Edge) unterstützt
und ist als Beta-Funktion in der Vorabversion der Safari-Desktop-Technologie verfügbar.
FIDO2 ist die Antwort der Industrie auf
das globale Passwortproblem und auf alle
Probleme mit der herkömmlichen Authentifizierung.5
CTAP steht für „Client to Authenticator Protocol“. Das Protokoll ermöglicht einem benutzergesteuerten Roaming-Authentifikator die
Dialogfähigkeit mit einer Client-Plattform, wie z. B. WebAuthn-fähigen Browsern. Die Authentifikatoren kommunizieren mit der Plattform
über eine der folgenden drei Methoden: BLE, NFC oder USB.
Mit FIDO2 werden Passwörter weder über das Internet benutzt noch versendet. Die Authentifizierung erfolgt stattdessen auf der Ebene
des Authentifikators durch die Verwendung einer Pin, biometrischer Daten oder eines Hardware-Keys, wodurch die FIDO2-Kombination
besonders widerstandsfähig gegen das Phishing ist. Sie müssen den Authentifikator bei jeder Anwendungsdomäne registrieren, für die
9
WHITEPAPER Authentifizierungsinstanz für MitarbeiterSie ihn verwenden möchten. Die Anwendungsdomäne wird beim Authentifikator registriert, nachdem der Benutzer die Registrierung
bestätigt hat. Dann erstellt der Authentifikator ein öffentliches bzw. privates Schlüsselpaar und sendet den öffentlichen Schlüssel mit
der Registrierungsantwort zurück, so dass die Anwendung erkennt, dass es wirklich der Authentifikator ist, der auf die ausgegebene
Authentifizierungsanfrage antwortet.
Bei nachfolgenden Authentifizierungsanfragen wird die registrierte Domäne mit derjenigen abgeglichen, von der die Authentifizierungsanfrage
stammt. Wenn diese Domäne nicht mit der registrierten Domäne übereinstimmt, wird die Authentifizierungsanfrage abgelehnt. Die
fehlgeschlagene Anfrage löst eine rote Flagge aus und signalisiert dem Benutzer, dass er möglicherweise gerade versucht, sich auf
einer Phishing-Website anzumelden.
FIDO-PHISHING-SCHUTZ
CLIENT ANGREIFER RELYING PARTY
Adaptive Authentifizierung
Die adaptive Authentifizierung führt die MFA einen Schritt weiter, indem sie sowohl die Sicherheit verbessert als auch Reibungspunkte bei
der Benutzung minimiert. Sie stützt sich auf Vielzahl an kontextbezogenen Faktoren und kann so die Angaben der Benutzer mit höherer
Verlässlichkeit auf ihre Korrektheit überprüfen. Zu diesen Faktoren können die IP-Adresse, die Geolokalisierung, der Fingerabdruck des
Geräts, die Tageszeit und ähnliche Kontextvariablen gehören.
Die adaptive Authentifizierung kann den Benutzer, das Gerät und die angeforderte Ressource gemeinsam analysieren, um das Risikoprofil
der Anfrage zu bewerten und die Authentifizierungsanforderungen entsprechend anzupassen. Wenn das Risiko beispielsweise als gering
eingeschätzt wird, ist keine zusätzliche Authentifizierung erforderlich. Wenn das Risiko jedoch hoch zu sein scheint, werden zusätzliche
Authentifizierungsfaktoren angefordert. Bei der letzten Authentifizierung des Benutzers kann anhand des Gerätestatus und der Reputation
seiner IP-Adresse bestimmt werden, ob ihm der Zugriff auf eine Ressource gewährt, verweigert oder ein zusätzlicher Identitätsnachweis
verlangt werden soll.
Mit maschinellem Lernen kann zudem ein Modell des „normalen“ Verhaltens eines bestimmten Nutzers erstellt werden. Wenn ein Benutzer
eine verdächtige Operation ausführt, wie z. B. um Zugriff auf eine brandneue Anwendung bittet oder er auf eine Ressource von einer
unbekannten Geolokalisierung aus zugreifen möchte, kann das adaptive Authentifizierungssystem dieses anomale Verhalten erkennen
und zusätzliche Authentifizierungsfaktoren anfordern, um diesen Benutzer mit höherer Verlässlichkeit zu identifizieren.
Attributes Behavior
1
Evaluate Policies
Device Resources
ADAPTIVE POLICIES
2 Risk-based Network &
Route Authentication Browser
Request
Approve request, deny request,
require MFA or additional
authentication sources, check device
geolocation and more
10
WHITEPAPER Authentifizierungsinstanz für MitarbeiterWenn umgekehrt das adaptive Authentifizierungssystem aufgrund der sich wiederholenden und konsistenten Art der Zugriffsanfrage im
Laufe der Zeit mehr Vertrauen in die Identität des Benutzers gewinnt, kann es weniger Faktoren anfordern. Beispielsweise kann ein Benutzer
eingangs bei jedem Zugriff auf Anwendungen nach einem zweiten Faktor gefragt werden.
Wenn derselbe Benutzer jedoch routinemäßig auf dieselben Anwendungen mit dem gleichen Computer und zur selben Tageszeit zugreift,
könnte man den zweiten Faktor weniger häufig anfordern, bis er schließlich nur monatlich zur Eingabe eines zusätzlichen Faktors
aufgefordert wird. Die daraus folgende Reduzierung der Reibung sorgt für eine bessere Benutzererfahrung und führt nicht selten zu einer
höheren Zufriedenheit und Produktivität.
Authentifizierungsrichtlinien
Authentifizierungsrichtlinien steuern zum einen den Ablauf, der dem Benutzer bei der Authentifizierung angezeigt wird, wie auch die
Faktoren, die während des Authentifizierungsflusses anfordert werden. Die Zuweisung spezifischer Authentifizierungsrichtlinien
bestimmen die Administratoren normalerweise auf der Grundlage der Anwendung, auf die zugegriffen wird. Für Anwendungen mit
geringen Sicherheitsanforderungen kann eine Authentifizierung über Anbieter sozialer Identitäten oder mit einfachen Benutzernamen und
Passwörtern erfolgen. Anwendungen mit höheren Sicherheitsanforderungen fordern möglicherweise eine MFA oder verlangen, dass externe
Identitätsanbieter spezifische Benutzerauthentifizierung durchführen, bevor sie den föderierten Zugriff auf die Anwendung gewähren.
Die Administratoren sind unter Umständen auch in der Lage, zusätzliche Authentifizierungsrichtlinien zu konfigurieren, die auf der Art der
Authentifizierungsanfrage basieren. Bei der Verwendung von OAuth oder OpenID Connect können die Administratoren, ausgehend von der
Client-ID der Anwendung, beispielsweise bestimmte Authentifizierungsrichtlinien zuweisen.
Single Sign-On (SSO) für alle Anwendungen
Mit einer Authentifizierungsinstanz für Mitarbeiter können Sie Ihren Benutzern die komfortable Option der SSO anbieten. Wie der Name
schon sagt, ermöglicht das „Single-Sign-On“ einem Benutzer eine einmalige Authentifizierung und den Zugriff auf alle verfügbaren
Ressourcen. Wenn Sie kein SSO anbieten, müssen sich Ihre Nutzer für jede Anwendung erneut authentifizieren, was der Produktivität und
Benutzerfreundlichkeit schadet.
Es gibt zahlreiche SSO-Anwendungsfälle im Zusammenhang mit einer Authentifizierungsinstanz. Diese Anwendungsfälle fallen in zwei
Hauptkategorien: SSO für standardbasierte Systeme und SSO für proprietäre Systeme.
1. SSO für standardbasierte Systeme.
Die offenen, interoperablen Standards für das Single Sign-On zwischen Unternehmen sowie zwischen Unternehmen und Cloud
gehören zu den Technologien, die sich in den letzten 15 Jahren am stärksten weiterentwickelt haben. Sowohl die Nutzer als
auch die Anbieter von Diensten können diese Standards nun nutzen, um auf einfache Weise Identität und Attribute zu senden
und zu empfangen. Sie brauchen nicht länger proprietäre Protokolle erlernen, implementieren und testen oder einen SSO-Zugang
simulieren, indem sie Benutzernamen und Passwörter speichern und Screen Scraping zur Emulation menschlicher Eingaben
durchführen. In den folgenden Abschnitten möchten wir Ihnen einen Überblick über die meisten Szenarien und Geschäftsvorteile
beim Versenden und Empfangen dieser Standard-Token geben.
2. SSO für proprietäre Systeme.
Im Idealfall würde jede Anwendung und jeder Dienst standardmäßige Identitätskennzeichen akzeptieren, aber leider sind wir heute
noch nicht soweit. Die meisten großen Serviceanbieter unterstützen Standards, bei vielen kleineren ist das jedoch nicht der Fall.
Laut Gartner unterstützten 2019 nur 30 % der Anwendungsanbieter moderne Identitätsprotokolle wie SAML, OAuth2 und OIDC
gegenüber proprietären Ansätzen. Diese Zahl wird bis 2022 voraussichtlich auf nicht mehr als 60 % ansteigen.6
11
WHITEPAPER Authentifizierungsinstanz für MitarbeiterAngesichts dieser Tatsache sollten Sie die Fähigkeit einer Authentifizierungsinstanz, SSO über benutzerdefinierte Konnektoren zu
proprietären und unternehmensrelevanten Anwendungen zu unterstützen, in Ihre Entscheidungen einbeziehen.
Handhabung von Identität und Attributen
Viele Unternehmen arbeiten aufgrund von Fusionen und Übernahmen mit mehreren Benutzerverzeichnissen oder Identitätsspeichern oder
verfügen über Identitätspools, die als „anders“ als die regulären Identitäten angesehen werden.
Eine Authentifizierungsinstanz sollte in der Lage sein, bei der Authentifizierung eines Benutzers eine Verbindung zu einer Vielzahl von
Identitätsquellen und Benutzerverzeichnissen herzustellen. Diese Verzeichnisse können als LDAP, RDBMS oder in anderen Formaten vorliegen.
Eine Authentifizierungsinstanz im Verbund eines größeren IDaaS- oder CIAM-Angebots kann die Möglichkeit bereithalten, Identitäten und
die zugehörigen Attribute einzugliedern und lokal zu speichern.
Sobald ein Benutzer authentifiziert ist, werden Sie seiner Identität oder seinem GetFederationToken normalerweise zusätzliche Attribute
oder Benutzeransprüche hinzufügen wollen. Mit der Authentifizierungsinstanz können Sie mehrere Verzeichnisse oder andere Datenquellen
nutzen, um diese Informationen zu beschaffen.
Authentifizierungs-Orchestrierung
Jeder, der sich intensiver mit Authentifizierungsinstanzen befasst hat, ist in letzter Zeit wohl häufiger auch auf das Wort „Authentifizierungs-
Orchestrierung“ gestoßen. Der Begriff hat etwas Irreführendes, da es keine definierte Grenze gibt, wo flexible Authentifizierungsrichtlinien
aufhören und die Authentifizierungs-Orchestrierung anfängt. Hier finden Sie einige wichtige Funktionen und Vorteile der Authentifizierungs-
Orchestrierung. Es wird Ihnen leichter fallen, die passende Authentifizierungsinstanz auszuwählen, wenn sie diese kennen und wissen,
welche für Sie wichtig sind.
Workflow-Aktivierung
Die Authentifizierungs-Orchestrierung ermöglicht Ihnen das unkomplizierte Entwickeln bedingt ausgeführter Abläufe, bei denen eine oder
mehr Authentifizierungsrichtlinien in der von Ihnen gewählten Reihenfolge zum Einsatz kommen. Mithilfe dieser Aneinanderreihung können
Sie einfache Richtlinien für einzelne Aufgaben erstellen und diese dann zu komplexeren Szenarien bündeln. Das Erstellen von Workflows und
Richtlinien kann entweder mithilfe einer Benutzeroberfläche oder über das Schreiben in einer Richtliniensprache erfolgen. Dies ist abhängig
von der Funktionalität der Authentifizierungsinstanz und dem Maß an Kontrolle, dem die Workflows und Richtlinien unterliegen sollten.
Datengesteuerte dynamische Richtlinien
Diese Richtlinien sind nicht statisch definiert und führen immer die gleichen Aktionen aus. Die Aktionen stützen sich auf Daten, die sowohl
aus dem Authentifizierungsprozess als auch von Dritten gesammelt werden. Dank dieser Flexibilität können diese Richtlinien eine Vielzahl
von Szenarien abdecken und lassen sich gut in bestehende Unternehmensumgebungen einbinden.
Bedingte Quellen für Authentifizierungsfaktoren
Damit können Benutzer zwischen verschiedenen, logisch gleichwertigen Authentifizierungsfaktoren auf der Grundlage der Fähigkeiten ihres
Authentifizierungsgeräts wählen, wobei die gleiche Authentifizierungsrichtlinie verwendet wird. Dies kann automatisch erfolgen, indem
die Richtlinie über einen benutzergesteuerten Authentifizierungsselektor oder mit anderen Methoden ein „bevorzugtes“ Gerät aus einer
verfügbaren Zusammenstellung auswählt.
Einbeziehen mehrerer Attributanbieter oder Forderungsquellen
Obwohl in den meisten Fällen eine einzige verlässliche Informationsquelle für eine Identität und die damit verbundenen Ansprüche oder
Ansprüche vorzuziehen ist, kann dies manchmal nicht realisiert werden. Mit einer flexiblen Authentifizierungsinstanz erhalten Sie alle
benötigten Informationen aus verschiedenen Quellen zum Zeitpunkt der Authentifizierung. Das Zusammenstellen dieser Informationen bei
der Anmeldung kann verhindern, dass mehrere Anwendungen zur Laufzeit auf die Informationsquellen zugreifen müssen. Dies reduziert
den Verwaltungsaufwand und erhöht die Skalierbarkeit.
12
WHITEPAPER Authentifizierungsinstanz für MitarbeiterFlexible Einbeziehung einer externen Vertrauensstellung (External Trust) oder Risikofaktoren
Wie viele Funktionen Ihre Authentifizierungsinstanz auch anbietet, es wird immer etwas Neues oder Innovatives dabei sein, dass Sie liebend
gerne in Ihre Authentifizierungs-Workflows und -Richtlinien integrieren möchten. Es ist auch davon auszugehen, dass sich die Leistungen
dieser externen Anbieter nicht unwesentlich unterscheiden werden. Dabei sollte es nicht von Belang sein, ob es sich um einen Risiko- oder
Reputationswert, einen Vertrauensvektor oder eine willkürliche Kombination von Forderungsdaten handelt.
Anwendungsfälle für die Ausgabe von Identitäts- und Sitzungs-Token
Nachdem eine Authentifizierungsinstanz einen Benutzer erfolgreich authentifiziert hat, teilt sie dies den anderen Anwendungen durch
die Ausgabe von Identitäts- und/oder Sitzungs-Token mit. Identitäts-Token basieren in der Regel auf Standards wie z. B. SAML oder
JWT. Dritte legen im Allgemeinen nach Erhalt dieser Token ihre eigenen Sitzungen fest. Für den internen Gebrauch können die Token
wahrscheinlich genug Informationen für die Kontrolle von Benutzersitzungen bieten, ansonsten wird ein separates Token ausgegeben.
SAML-Föderation für Mitarbeiter und Externe SaaS-Anbieter
Die häufigste Aufgabe von Authentifizierungsinstanzen ist wahrscheinlich die Regelung des Mitarbeiterzugriffs auf externe SaaS-
Anwendungen wie SalesForce, Github, Concur, Workday und ADP. Die Remote-Anwendung ist normalerweise webbasiert und wird über
den Browser des Benutzers aufgerufen. In diesem Szenario erstellt die Authentifizierungsinstanz im Allgemeinen ein SAML-Token. Diese
Token sind signiert, optional verschlüsselt und enthalten Attribute zur Identifizierung des Benutzers, des vorgesehenen Empfängers und alle
weiteren Attribute, die von der Remote-Anwendung zur Autorisierung oder Personalisierung benötigt werden.
Die Authentifizierung und die Ausgabe von Token können entweder vom Serviceanbieter oder dem Identitätsanbieter initiiert werden.
Eine SP (Service Provider)-initiierte SSO wird durch einen Benutzer gestartet, der außerhalb einer Sitzung eine SaaS-Anwendung aufruft.
In diesem Fall wird der Serviceanbieter entweder über die aufgerufene Ressource die zugehörige Authentifizierungsinstanz ermitteln
oder den Benutzer zur Eingabe seiner E-Mail-Adresse oder einer anderen Information auffordern, die auf seine Authentifizierungsinstanz
verweist. Der Benutzer wird dann im Zuge einer Authentifizierungsanfrage zur Authentifizierungsinstanz weitergeleitet.
Die Authentifizierungsinstanz übernimmt die Rolle des IDP (Identitätsanbieter) und wird den Benutzer mit der entsprechenden
Authentifizierungs-Richtlinie authentifizieren und feststellen, ob der Nutzer die geeigneten Autorisierungsrichtlinien erfüllt. Sofern dies der
Fall ist, wird sie ein SAML-Token erzeugen, das den Benutzer identifiziert. Schließlich wird der Benutzer zusammen mit dem SAML-Token
zum Serviceanbieter weitergeleitet. Nach der Validierung des SAML-Tokens und der Überprüfung der eigenen Autorisierungsrichtlinien
gewährt der Serviceanbieter dem Benutzer den Zugang zu der angeforderten Anwendung.
SAML-Föderation für Mitarbeiter und Unternehmensanwendungen
Oftmals gibt es in Unternehmen getrennte Pools von Anwendungen und Identitäten, die nicht miteinander kombiniert werden können.
Dies geschieht häufiger nach Fusionen oder Übernahmen, kann aber auch vorkommen, wenn ausschließlich lokal genutzte Anwendungen
einem breiteren geografischen Publikum zur Verfügung gestellt werden sollen.
In diesen Fällen kann es sinnvoller sein, Föderationen zwischen den Abteilungen einzurichten, welche sowohl die Anwendungen selbst als
auch ihre Benutzer enthalten. Dies unterscheidet sich technisch nicht von der Föderation zu SaaS-Anbietern und ist oft einfacher, da beide
Seiten in der gleichen Organisationsstruktur angesiedelt sind.
OpenID Connect-Unterstützung für SaaS-Anbieter
Während der Großteil der SSO-zu-SaaS-Anwendungen über SAML erfolgt, unterstützen immer mehr Anwendungen, wie beispielsweise
SalesForce, den neueren OpenID Connect-Standard. Mit OpenID Connect registrieren sich Anwendungen, die ein Identitäts-Token erhalten
möchten, bei der Authentifizierungsinstanz als Clients. Die beiden Seiten, das heißt der Autorisierungsserver (AS) und die „Relying Party“
(RP, Zertifikatsnutzer), entsprechen hier dem SAML-Identitätsanbieter und dem Serviceanbieter.
13
WHITEPAPER Authentifizierungsinstanz für MitarbeiterOpenID Connect unterstützt kein IDP-initiiertes SSO, so dass alle Authentifizierungsabläufe bei der Relying Party beginnen. Ein Benutzer
besucht die RP ohne Anmeldeinformationen und wird dann an die Authentifizierungsinstanz weitergeleitet, die als OpenID Connect-
Autorisierungsserver (AS) AS fungiert. Der Benutzer authentifiziert sich und wird dann mit einem so genannten Autorisierungscode, der ein
temporäres Token ist, an die RP zurückgeleitet. Die RP ruft dann einen Token-Endpunkt auf dem AS auf, authentifiziert sich und bietet dem
AS den Autorisierungscode an. Der AS gibt dann ein ID-Token aus,
das den Benutzer identifiziert.
Sobald die Client-SaaS-Anwendung über das Identitäts-Token verfügt, kann sie eine Sitzung für den Benutzer öffnen, und der Benutzer kann
tun, was immer er tun muss.
Ein angenehmer Sicherheitsvorteil dieses Ablaufs besteht darin, dass die Client-Anwendung die Anmeldedaten des Benutzers nie wirklich
sieht und das Identitäts-Token nie in URLs enthalten war, die oft aufgerufen werden und eine potenzielle Schwachstelle für langlebige Token
darstellen können.
OpenID Connect- oder SAML-Unterstützung für den Zugriff auf mobile Anwendungen und SaaS oder andere externe Ressourcen
Neben der Bereitstellung webbasierter Anwendungen stellen viele SaaS-Anbieter ihren Nutzern auch mobile Anwendungen für die
ortsunabhängige Nutzung an. Eine Authentifizierungsinstanz kann Unternehmensnutzern dieser Anwendungen ein mit Webanwendungen
vergleichbares Authentifizierungserlebnis bieten, einschließlich Selbstregistrierung, Single-Sign-On, Unterstützung bei Passwortverlust und
anderes mehr. Der SaaS-Anbieter kann die gleichen Authentifizierungsmechanismen und Authentifizierungsinstanzen verwenden wie auch
für webbasierte Benutzer.
Die meisten mobilen Anwendungen betten entweder Browser-Toolkits ein oder rufen systemgestützte Browser auf, so dass Benutzer
auf Webseiten interagieren können. Sie unterstützen entweder SAML oder OpenID Connect über die Authentifizierungsinstanz, wobei
OpenID Connect überwiegt. Bei der Verwendung von OpenID Connect besteht der einzige Unterschied darin, dass es sich hier bei der Client-
Anwendung um mobile Anwendungen statt Web-Anwendungen handelt.
Einige davon sind möglicherweise native Anwendungen, die keine HTML-Browser verwenden oder eingebettet haben. Da diese die Benutzer
nicht an die Authentifizierungsinstanz weiterleiten können, müssen sie die Anmeldedaten eines Nutzer (z.B. Benutzername und Passwort)
erfassen und direkt an den Autorisierungsserver übermitteln.
Diese direkte Übermittlung wird von OpenID Connect über die Förderungsart „Ressource Owner Password Credentials“ gewährt. Diese
wird im Allgemeinen nur als letztmögliche Option eingesetzt, da die Client-Anwendung die Zugangsinformationen wiederverwenden
oder durchsickern lassen könnte. Wenn dies geschieht, kann die Authentifizierungsinstanz nicht ermitteln, ob der Benutzer diese
Authentifizierung initiiert hat oder nicht.
Unterstützung von OpenID Connect und OAuth für den Zugriff auf Unternehmensanwendungen
Es ist weithin bekannt, dass OpenID Connect auf OAuth aufbaut. Der wichtige Unterschied besteht darin, dass OpenID Connect ein
Authentifizierungsprotokoll und OAuth ein Autorisierungsprotokoll ist.
Ein OpenID-Connect-ID-Token identifiziert einen Benutzer, legt aber nicht fest, ob ein Benutzer auf eine bestimmte Anwendung oder
Ressource zugreifen darf. Ein OAuth-Zugriffstoken wiederum ist mit bestimmten Bereichen verbunden, die Anwendungen und API-Gateways
überprüfen können, um festzustellen, ob der Zugriff erlaubt ist. Es enthält aber im Allgemeinen keine Informationen über die Identität
des Benutzers. Diese Information wird über einen anderen Mechanismus kommuniziert, wie beispielsweise ein Kerberos-Ticket oder
ein Sitzungs-Cookie für die Web-Zugriffsverwaltung, oder sie ist mit dem Zugriffstoken verknüpft und wird über eine Anwendungssuche
ausgelesen.
In einem typischen Anwendungsfall fordert die Anwendung selbst von einer Authentifizierungsinstanz sowohl eine Identität als auch
ein Zugriffstoken für einen Benutzer an und gibt das Zugriffstoken dann an APIs weiter, die es im Namen des Benutzers aufrufen muss,
um Informationen über die Anwendung oder den Benutzer zu erhalten oder festzulegen.
14
WHITEPAPER Authentifizierungsinstanz für MitarbeiterAusgabe von Sitzungs-Token und Kopplung mit dem Zugriffskontrollsystem
Die Authentifizierungsinstanz kann selbst ein internes Sitzungs-Token für eine SSO-Anmeldung ausstellen. Wenn dieses Token
ausgegeben wurde, wird der Benutzer während der Lebensdauer des Token nicht zu weiteren Authentifizierungen aufgefordert,
es sei denn, die Relying Party verlangt ausdrücklich eine neue Authentifizierung oder der Authentifizierungsgrad der Sitzung ist nicht
ausreichend, um die Vorgaben der Relying Party zu erfüllen.
Wenn die Authentifizierungsinstanz mit einem Zugangskontrollsystem, wie zum Beispiel der Kombination von PingFederate und
PingAccess gekoppelt ist, kann das Sitzungs-Token auch für den Zugriff auf Anwendungen innerhalb der Domäne des Unternehmens
verwendet und auf einzelne Anwendungen ausgedehnt werden, um potenzielle Auswirkungen eines Token-Hijacking-Angriffs einzudämmen.
Darüber hinaus können die Authentifizierungsautorität und die Zugriffskontrollsysteme die Parameter für die Sitzungserstellung, die
Lebensdauer und das Zeitlimit für Ressourcen in beiden Systemen standardisieren.
AUTHENTIFIZIERUNGSINSTANZ
AUTHN TOKEN-
DIENST AUSGABE-DIENST
Standard
Authn-Anfrage
OAuth-
Zugriffstoken
BENUTZER
OAuth-Zugriffs
Inhalt
-Token
PINGACCESS
ODER OAUTH
GATEWAY
APP 1 APP 2
15
WHITEPAPER Authentifizierungsinstanz für MitarbeiterAnwendungsfälle für eingehende föderierte Authentifizierung
Neben der Ausgabe von Standard-Identitäts- und Sitzungs-Token kann die Auhentifizierungsinstanz so konfiguriert werden, dass sie die
Token akzeptiert. Dies ist eine ihrer entscheidenden Fähigkeiten, da es die Akzeptanz der Identitäten von Partnern und Dritten ermöglicht,
ohne dass diese explizit in den lokalen Identitätsspeicher aufgenommen werden müssen.
Sobald die Authentifizierungsinstanz das Token erhalten und validiert hat, stellt sie ihre eigenen Token für den Benutzer aus. Dadurch
können Unternehmen ihren Partnern problemlos Zugang sowohl zu Unternehmensanwendungen als auch zu mandantenfähigen
Anwendungen gewähren, auf die im Zusammenhang mit dem Unternehmen zugegriffen werden muss, das die Authentifizierungsinstanz
betreibt.
Zugang zu Unternehmensanwendungen für föderierte Geschäftspartner oder Geschäftskunden
Partner können auf verschiedene Weise unterstützt werden. Das Unternehmen, dem die Anwendungen gehören, kann einen Katalog von
Anwendungen zusammenstellen, die den Partnern zur Verfügung stehen. Viele Authentifizierungsinstanzen bieten Werkzeuge an, um die
Einrichtung dieser Kataloge zu erleichtern.
Die Authentifizierunginstanz kann den Nutzern der Partner auch erlauben, sich über SP-initiiertes SSO direkt mit Anwendungen zu verbinden.
Nachdem sich ein Benutzer zunächst von seinem Heimat-Identitätsanbieter aus bei der Authentifizierungsinstanz angemeldet hat, wird
ein dauerhaftes Cookie in seinem Browser gesetzt, das auf die Partner-Website verweist. Nach dieser oder anderen Maßnahmen zur
Erkennung des IDP kann die Authentifizierungsinstanz erkennen, von welcher Partner-Site aus der Benutzer kommt, der versucht auf eine
Zielanwendung zuzugreifen, und wo die Authentifizierung erfolgen sollte.
Föderaler Mitarbeiterzugang zu Unternehmensanwendungen nach einer Fusion oder Übernahme
Benutzerverzeichnisse und Anwendungsdomänen bleiben nach Fusionen und Übernahmen nicht selten für eine beträchtliche Zeitspanne
getrennt. In diesen Fällen ist eine Föderation möglicherweise der beste Weg, um Mitarbeitern verschiedener Geschäftsbereiche über
SSO den Zugriff auf unternehmensweite Anwendungen zu sichern. Die Konfiguration, einschließlich der erforderlichen IDP-Erkennung, ist
logischerweise fast deckungsgleich mit dem Partner-Anwendungsfall und unterscheidet sich einzig durch die Bandbreite der Anwendungen,
auf die von den Mitarbeitern zugegriffen werden kann.
Zugriffsberechtigung auf Unternehmensanwendungen für soziale Identitäten
Möglicherweise möchte das Unternehmen für eine Reihe von Anwendungen einen Zugriff über soziale Identitäten wie Google oder Facebook
sowie über weitere lokale oder föderierte Identitäten bereitstellen. Mit Authentifizierungsinstanzen ist es kein Problem, Benutzern eine Liste
der unterstützten sozialen Identitätslogins sowie eine lokale Authentifizierungsoption bereitzustellen.
Zugriff von föderierten Partnern auf SaaS-Anwendungen von Drittanbietern
Eine Authentifizierungsinstanz sieht keinen Unterschied darin, ob sie Partnern den Zugriff auf SaaS-Anwendungen von Drittanbietern oder
auf Unternehmensanwendungen gewährt. Kompliziert wird es allerdings dann, wenn Nutzer von Partnern direkt und ohne den Umweg über
das Portal ihres Unternehmens oder das mit der Authentifizierungsinstanz verbundene Partner-Portal auf die SaaS-Anwendungsressourcen
zugreifen wollen.
Manche SaaS-Anbieter verknüpfen Tenant-Tags mit Ressourcen und Anwendungen oder setzen ihre eigenen Cookies zur IDP-
Erkennung, um die Anfragen den Unternehmenskonten zuordnen zu können. SaaS-Anbieter, die nicht über diese Mechanismen verfügen,
benötigen möglicherweise eine Interaktion des Benutzers, um ihn einem Unternehmen zuzuordnen und um zu ermitteln, an welche
Authentifizierungsinstanz er weitergeleitet werden soll.
16
WHITEPAPER Authentifizierungsinstanz für MitarbeiterAUTHENTIFIZIERUNGSINSTANZ
AUTHN TOKEN-
FÖDERATIONSDIENST
DIENST AUSGABE-DIENST
VON AI
VON AI P1 P2
ausgegebenes
Authn- ausgegebenes SAML SAML
Token
Anfrage VON AI Token Token Token
ausgegebenes
Token
UNTERNEHMEN PARTNER 1 PARTNER 2
AI Token Inhalt
Inhalt AI Token
AI Token Inhalt
ANWENDUNGEN
VOR ORT ODER
IN DER CLOUD
Autorisierungs-Richtlinien
Authentifizierungsinstanzen können in bestimmten Szenarien auch die Erstellung und Verwendung von Autorisierungsrichtlinien gewähren.
Dies geschieht in der Regel bei der Generierung von SSO-Zugriffstoken für bestimmte Anwendungen. In diesen Fällen können die
Gruppenmitgliedschaft oder andere Berechtigungen eines Benutzers überprüft werden, bevor die Authentifizierungsinstanz ein
SAML-Token oder ein OAuth-Zugriffstoken in dem angeforderten Umfang ausgibt.
AUTHENTIFIZIERUNGSINSTANZ
5
„BDE“ in Gruppen?
6
SAML oder
OpenID Token
SFDC IDP/OP
2
Authn-Anfrage
7 1
Ressource Ressource
zurückgeben anfordern 4 Name: Bill
Identitätsdatensatz E-Mail: key.com
abrufen Gruppen: ..., BDE
3
Benutzer
authentifizieren
BENUTZER IDENTITÄTSSPEICHER
17
WHITEPAPER Authentifizierungsinstanz für MitarbeiterToken-Mediation
Wenn ein vorhandenes Token-basiertes Zugangskontrollsystem im Einsatz ist, ist eine vollständige Nachrüstung dieses Mechanismus zur
Annahme von standardbasierten Token in der frühen Phase des Wechsels zu einer zentralen Authentifizierungsinstanz möglicherweise
nicht durchführbar.
Wie in der folgenden Abbildung dargestellt, ermöglicht die Token-Mediation einer Authentifizierungsinstanz den Austausch eines
standardbasierten Token gegen ein proprietäres Sicherheits-Token, das von der Web-Zugriffsverwaltung (WAM) eines Drittanbieters
verwendet wird. Die Zugriffsanforderung ist für den Benutzer einsehbar, so dass PingAccess den Zugriff auf Systeme, die diese WAM-
Token verwenden, transparent verwalten kann. Die Anforderung ist auch für die geschützte Anwendung transparent. Sie behandelt die
Zugriffsanfrage so, als käme sie direkt vom Benutzer. Sobald die Token-Mediation abgeschlossen ist, wird das Token, das für den Zugriff
auf die Anwendung gebraucht wird, für die weitere Verwendung während der Sitzung zwischengespeichert.
AUTHENTIFIZIERUNGSINSTANZ
TOKEN-
AUTHN TOKEN- MEDIATION
DIENST AUSGABE-DIENST
WAM-ADAPTER
Standard
OAuth-
Authn- Zugriffstoken
Anfrage Proprietäres
WAM-Token
WAM FÜR
DRITTANBIETER
BENUTZER
OAuth-
Zugangs-Token
Inhalt
Inhalt
Proprietäres
WAM-Token
PINGACCESS
WAM-SYSTEM FÜR
ODER OAUTH
DRITTANBIETER
GATEWAY
APP 1 APP 2 APP 3 APP 4
Ein weiterer Anwendungsfall für die Token-Mediation liegt im Domänen-Randbereich. Ein „opakes“ Zugriffstoken kann gegen ein signiertes
JWT-Token getauscht werden, das anschließend den nachgeschalteten Mikroservices präsentiert wird. Dieses Token dient nur internen
Zwecken und ermöglicht den Diensten die Festlegung der Zugriffsrechte und -ansprüche direkt vom Token aus, ohne den Aufwand einer
Abfrage bei der ausgebenden Instanz.
18
WHITEPAPER Authentifizierungsinstanz für MitarbeiterFAZIT
Eine Authentifizierungsinstanz für Mitarbeiter bietet eine zentrale, verlässliche Informationsquelle für Identitäten. Durch das Zulassen
von Identitäten im gesamten Unternehmen werden Ihre Initiativen zur digitalen Transformation beschleunigt.
Indem Sie Kombinationen von lokal und remote gehosteten Identitäten konfigurieren und flexible Authentifizierungs- und Autorisierungsrichtlinien
nutzen, erlangen Sie ultimative Flexibilität. Sie werden in der Lage sein, Ihre Mitarbeiter- und Partneridentitäten so zu verwalten, wie es Ihren
Bedürfnissen am besten entspricht. Ebenso wichtig ist es, dass Sie eine Authentifizierungsinstanz ohne größere Unterbrechungen oder
Überarbeitungen in Ihre bestehende Infrastruktur einbinden und gleichzeitig die Agilität Ihrer IT fördern können.
Die Authentifizierungsinstanz für Mitarbeiter sichert nicht nur Ihre Unternehmensressourcen, sondern ermöglicht Ihren Nutzern eine
höhere Produktivität. Wenn Sie die Möglichkeit haben, eine Vielzahl von Standard- und proprietären Token zu akzeptieren, auszugeben
und umzuwandeln, können Sie Ihren Nutzern sicheren Zugriff auf lokale, Cloud-basierte und Drittanbieter-Anwendungen bereitstellen.
Durch die Einbindung intelligenter und kontextbezogener Richtlinien, die nur dann eine zusätzliche Authentifizierung erfordern, wenn
eine Situation als risikoreich eingestuft wird, dann können Sie Ihren Anwendern sicheren Zugriff auf firmeninterne, Cloud-basierte und
Drittanbieter-Anwendungen ermöglichen.
Weitere Informationen über die Authentifizierungsmöglichkeiten für
Mitarbeiter mit Pings Lösung Workforce360 und die Gründe, warum uns
mehr als die Hälfte der Fortune-100-Unternehmen vertraut, finden Sie
auf der Website www.pingidentity.com/workforce.
Quellenangaben
1
2020 Zero Trust Progress Report. Pulse Secure.
2
Barth, Doug and Evan Gilman. 2017. Zero Trust Networks. O’Reilly Media, Inc.
3
Maynes, Melanie. „One simple action you can take to prevent 99.9 percent of attacks on your accounts.“ Microsoft. 20 August 2019.
4
Bowker, Mark. „CISOs Still Aren’t Adopting Enterprisewide Multifactor Authentication — What’s the Holdup?“ Security Intelligence. 14. Juni 2019.
5
The FIDO Alliance. „Moving the World Beyond Passwords.“ Zugriff am 5. Juli 2019. https://fidoalliance.org/fido2/.
6
Kelly, Michael, Abhyuday Data and Henrique Teixeira. Magic Quadrant for Access Management. Gartner. 12 August 2019.
Ping Identity ist ein Vorreiter in Sachen intelligentes Identitätsmanagement. Wir helfen Unternehmen dabei, identitätsbasierte Sicherheit auf der Grundlage des
Zero-Trust-Modells zu erreichen und Kunden eine personalisierte, optimierte Benutzererfahrung zu bieten. Die Ping Intelligent IdentityTM Plattform ermöglicht Kunden,
Mitarbeitern, Partnern und in zunehmendem Maße auch dem IoT, einen Zugriff auf Cloud-, SaaS-, mobile und lokale Anwendungen und APIs sowie die Verwaltung
umfangreicher Identitäts- und Profildaten. Aufgrund unserer Identitätsexpertise, unserer führenden Stellung bei offenen Standards und unserer Partnerschaft 19
mit Unternehmen wie Microsoft und Amazon setzen über 50 Prozent der Fortune-100-Unternehmen auf uns. Mit Multifaktor-Authentifizierung, Single-Sign-On,
Zugriffsmanagement, Verzeichnis- und Data-Governance-Funktionen sowie intelligenten API-Sicherheitsfunktionen bieten wir flexible Optionen, um hybride IT-
Umgebungen zu erweitern und Digital-Business-Initiativen schneller umzusetzen.
Besuchen Sie www.pingidentity.com #3442 | 02.25.2020 | v02Sie können auch lesen
