Was ist Identity and Access Management (IAM)? | OneLogin (2024)

Unternehmen brauchen IAM, um Cybersicherheit zu gewährleisten und die Produktivität ihrer Mitarbeiter zu steigern.

• Sicherheit– Herkömmliche Sicherheitssysteme haben oft einen Schwachpunkt: das Kennwort. Wenn das Kennwort eines Benutzers geknackt wird– oder noch schlimmer, die E-Mail-Adresse für die Wiederherstellung des Kennworts–, ist Ihr Unternehmen anfällig für Angriffe. IAM-Services schränken die Fehlerquellen ein und schützen Sie mit Tools, die Fehler rechtzeitig erkennen.
• Produktivität– Sobald Sie sich bei Ihrem Haupt-IAM-Portal angemeldet haben, muss sich Ihr Mitarbeiter nicht mehr darum kümmern, ob er das richtige Kennwort oder die richtige Zugriffsebene hat, um seine Aufgaben zu erfüllen. Dabei erhält nicht nur jeder einzelne Mitarbeiter Zugriff auf die richtigen Tools für seine Arbeit, sondern alle Zugriffe lassen sich auch als Gruppe oder Rolle verwalten, was den Workload Ihrer IT-Experten verringert.

Mehr erfahren

Identity-Management-Lösungen erfüllen im Allgemeinen zwei Aufgaben:

1. IAM bestätigt die Identitäten von Benutzern, Software oder Hardware, indem es die Anmeldeinformationen in mit einer Datenbank abgleicht. IAM-Cloud-Identitäts-Tools sind sicherer und flexibler als herkömmliche Lösungen mit Benutzernamen und Kennwort.
2. Identity and Access Management-Systeme gewähren den Benutzern über die entsprechende Zugriffsebene nur den Zugriff, den sie auch wirklich für Ihre Zwecke benötigen. Anstelle eines Benutzernamens und eines Kennworts, die den Zugriff auf eine gesamte Software-Suite ermöglichen, erlaubt IAM die Aufteilung des Zugriffs auf bestimmte Rollen, z.B. auf Redakteure, Betrachter und Kommentatoren in einem Content-Management-System.

IAM-Systeme bieten folgende Kernfunktionen:

Das Identity Management bestätigt, dass Sie Sie sind, und speichert Informationen über Sie. Eine Identity-Management-Datenbank enthält Informationen über Ihre Identität– zum Beispiel Ihre Berufsbezeichnung und Ihre direkten Vorgesetzten– und bestätigt, dass Sie tatsächlich die in der Datenbank beschriebene Person sind.

Das Access Management verwendet die Informationen über Ihre Identität, um zu bestimmen, auf welche Softwaresuites Sie zugreifen dürfen und was Sie tun dürfen, wenn Sie dies tun. Durch Access Management wird beispielsweise sichergestellt, dass jede Führungskraft mit direkten Untergebenen Zugriff auf eine Anwendung zur Genehmigung von Arbeitszeitnachweisen hat, aber nicht so viel Zugriff, dass er seine eigenen Arbeitszeitnachweise genehmigen kann.

Das Identity and Access Management von Amazon Web Services (AWS) ist das IAM-System, das in AWS integriert ist. Mit AWS IAM können Sie AWS-Benutzer und -Gruppen erstellen und ihnen Zugriff auf AWS-Services und -Ressourcen gewähren oder verweigern. AWS IAM ist kostenlos verfügbar.

Der AWS IAM-Service bietet:

• Fein abgestufte Kontrollen des Zugriffs auf AWS-Ressourcen
• AWS-Multi-Faktor-Authentifizierung
• Analysefunktionen zur Validierung und Feinabstimmung von Richtlinien
• Integration mit externen Identity-Management-Lösungen

Zu den Tools, die für die Implementierung von IAM benötigt werden, gehören Kennwortverwaltungsprogramme, Provisionierungssoftware, Anwendungen zur Durchsetzung von Sicherheitsrichtlinien, Anwendungen für Berichterstellung und Überwachung sowie Identitäts-Repositories. IAM-Tools können unter anderem sein:

• MFA
  Multi-Faktor-Authentifizierung bedeutet, dass Ihr IAM-Anbieter mehr als eine Art von Nachweis verlangt, dass Sie derjenige sind, für den Sie sich ausgeben. Ein typisches Beispiel ist die Authentifizierung über ein Kennworts und einen Fingerabdruck. Andere MFA-Möglichkeiten sind Gesichtserkennung, Iris-Scans und physische Token wie ein Yubikey.

• SSO
  SSO steht für Single Sign-On. Wenn Ihre IAM-Lösung Single Sign-On bietet, bedeutet dies, dass sich Ihre Benutzer nur einmal anmelden müssen und dann das Identity and Access Management-Tool als „Portal“ zu den anderen Software-Suites, auf die sie Zugriff haben, behandeln können, ohne sich bei jeder separat anmelden zu müssen.

Als Eckpfeiler einer Zero-Trust-Architektur sollte eine IAM-Lösung unterAnwendung von Zero-Trust-Prinzipien wie Zugriff nach demLeast-Privilege-Prinzip und identitätsbasierten Sicherheitsrichtlinienimplementiert werden.

• Zentrales Identity Management
  Ein Kernprinzip vonZero Trust ist die Verwaltung des Ressourcenzugriffs aufIdentitätsebene, weshalb eine zentrale Verwaltung dieserIdentitäten diesen Ansatz wesentlich vereinfachen kann. Dies kann zumBeispiel bedeuten, dass Sie Benutzer aus anderen Systemen migrieren oderzumindest Ihr IAM mit anderen Benutzerverzeichnissen in Ihrer Umgebungsynchronisieren, etwa mit einem Verzeichnis der Personalabteilung.

• Sicherer Zugriff
  Da die Absicherung aufIdentitätsebene entscheidend ist, sollte ein IAM sicherstellen, dass esdie Identitäten derjenigen bestätigt, die sich anmelden. Dieskönnte bedeuten, MFA oder eine Kombination aus MFA und adaptiverAuthentifizierung zu implementieren, um den Kontext des Anmeldeversuchs zuberücksichtigen: Ort, Zeit, Gerät usw.

• Richtlinienbasierte Kontrolle
  Benutzer sollten nurdie Berechtigung erhalten, ihre erforderlichen Aufgaben auszuführen,und nicht mehr Rechte als nötig haben. Ein IAM sollte so konzipiertsein, dass Benutzer auf Grundlage ihrer beruflichen Rolle, ihrer Abteilungoder anderer geeigneter Attribute Zugriff auf Ressourcen erhalten. Als Teilder zentral verwalteten Identitätslösung können dieseRichtlinien dann sicherstellen, dass die Ressourcen sicher sind–ganz gleich, von wo aus auf sie zugegriffen wird.

• Zero-Trust-Richtlinie
  Eine Zero-Trust-Richtliniebedeutet, dass die IAM-Lösung eines Unternehmens die Identität unddie Zugriffspunkte seiner Benutzer ständig überwacht und sichert.In der Vergangenheit arbeiteten Unternehmen nach dem Prinzip „wereinmal drin ist, hat Zugriff“, doch Zero-Trust-Richtlinien sorgendafür, dass jedes Mitglied des Unternehmens ständig identifiziertwird und sein Zugriff verwaltet wird.

• Gesicherte privilegierte Konten
  Nicht alle Kontenin einem Access Management-System sind gleich. Konten mit speziellen Toolsoder privilegiertem Zugriff auf sensible Daten könnenmit einer Sicherheits- und Supportstufe ausgestattet werden, die ihremStatus als Gatekeeper für das Unternehmen entspricht.

• Schulung und Support
  IAM-Anbieter führenSchulungen für die Benutzer durch, die am häufigsten mit demProdukt zu tun haben werden– einschließlich der Benutzerund Administratoren– und bieten oft einen Kundendienst fürdie langfristige Zuverlässigkeit Ihrer IAM-Installation und ihrerBenutzer.

Von einem IAM-System wird erwartet, dass es mit vielen verschiedenenSystemen integriert werden kann. Aus diesem Grund gibt es bestimmte Standardsoder Technologien, die von allen IAM-Systemen unterstützt werdenmüssen: Security Access Markup Language, OpenID Connectund System for Cross-Domain Identity Management.

• Security Access Markup Language (SAML)
  SAMList ein offener Standard für den Austausch von Authentifizierungs- undAutorisierungsinformationen zwischen einem Identitätsanbietersystem wieeinem IAM und einem Service oder einer Anwendung. Dies ist die amhäufigsten verwendete Methode für ein IAM, um einem Benutzer dieMöglichkeit zu geben, sich bei einer Anwendung anzumelden, die in dieIAM-Plattform integriert wurde.

• OpenID Connect (OIDC)
  OIDCist ein neuerer offener Standard, mit dem sich Benutzer auch über einenIdentitätsanbieter bei ihrer Anwendung anmelden können. Es istSAML sehr ähnlich, basiert jedoch auf den OAuth2.0-Standards undverwendet JSON zur Übertragung der Daten anstelle von XML, das bei SAMLverwendet wird.

• System for Cross-Domain Identity Management (SCIM)
  SCIMist ein Standard für den automatischen Austausch vonIdentitätsinformationen zwischen zwei Systemen. Zwar können sowohlSAML als auch OIDC während des AuthentifizierungsprozessesIdentitätsinformationen an eine Anwendung weitergeben, doch SCIM wirdverwendet, um die Benutzerinformationen auf dem neuesten Stand zu halten,wenn dem Service oder der Anwendung neue Benutzer zugewiesen, Benutzerdatenaktualisiert oder Benutzer gelöscht werden. SCIM ist eineSchlüsselkomponente der Benutzerbereitstellung im IAM-Bereich.