Identitäts- und Zugriffsverwaltung

Die Identität und Zufriffsverwaltung, Identity and Access Management ist ein Instrument mit dem der Zugriff der Benutzer auf die Firmenressourcen gesteuert werden kann. Das ist von großer Bedeutung, denn nicht alle Mitarbeiter sollen Zugriff auf alle Ressourcen haben. Mitarbeiter der Produktion haben Zugriff auf die Ressourcen, die sie benötigen und nicht etwa auf die Daten der Finanzbuchhaltung. Für die Identitäts- und Zugriffsverwaltung gibt es mehrere Möglichkeiten, wobei die meisten Systeme eine digitale Identität jedes Benutzers speichern, der die entsprechenden Rechte gegeben werden. Wenn der Benutzer sich anmeldet, durchläuft er drei Prozesse: Identifikation des Benutzers, Authentifizierung des Benutzers und Authorisierung des Zugriffs auf die Ressourcen. Beginnen wir mit der Identifikation des Benutzers. Zunächst einmal muss der Benutzer dem System seine Identität mitteilen. Da pro Benutzer eine digitale Identität existiert, die sich genau auf diesen einen Nutzer bezieht, ist dieser Schritt von großer Bedeutung. Wir wollen schließlich nicht, dass jemand sich gegenüber dem System als eine andere Person ausgeben kann. Das bedeutet, dass der Benutzer seine Identität klar belegen muss. Die herkömmliche Vorgehensweise, die wir schon lange in der IT benutzen, ist die Identifikation mithilfe eines Kennworts, also etwas, was der Benutzer kennen muss. Die Problematik mit der Sicherheit der Kennwörter ist bekannt. Deswegen gibt es inzwischen auch andere Methoden für die Identifikation des Benutzers. Es ist möglich, dass ein Benutzer auf seinem Smartphone ein kleines Programm installiert hat, das einen temporär gültigen Code generiert, mit dem er sich gegenüber dem System ausweisen kann. In diesem Fall wird etwas benutzt, was er in Besitz hat. Genauso kann mit einer biometrischen Erkennung gearbeitet werden oder mit bestimmten Gesten. Inzwischen ist es üblich, mit mehreren dieser Methoden zu arbeiten. Sobald der Benutzer identifiziert ist, erfolgt die Authentifizierung. Bei der Authentifizierung werden Daten zwischen dem Gerät, an dem der Benutzer sitzt und einem Server, auf dem seine digitale Identität gespeichert ist, hin- und hergeschickt. Dieser Datenverkehr sollte auf jeden Fall verschlüsselt sein, damit diese sensiblen Daten nicht in falsche Hände geraten können. Aus diesem Grund gibt es eine Reihe von Authentifizierungsstandards, wie Kerberos, LDAP oder auch IPsec. Diese Standards sind abhängig vom verwendeten System. In einer Firmenumgebung werden Sie meistens zentrale Authentifizierung benutzen, also einen zentralen Server auf dem alle Idenitäten gespeichert sind. Dieser Server wird Verzeichnisdienstserver genannt. Die Alternative, also die Authentifizierung jedes Benutzers am einzelnen Gerät, ist in einer größeren Umgebung kompliziert und nicht verwaltbar. Sollten Sie mit mehreren verschiedenen Verzeichnisdiensten arbeiten, also bspw. mit zwei verschiedenen Firmen, kommt für Sie auch eine Verbundauthentifizierung infrage. Durch die mittlerweile oft verwendeten Cloud-Dienste, bei denen sich Benutzer zusätzlich identifizieren müssen, um Zugriff zu erhalten, hat das Single-Sign-On, SSO, an Bedeutung gewonnen. Single-Sign-On erlaubt, dass Sie sich nur einmal authentifizieren müssen, um damit Zugriff auf mehrere Dienste oder Programme zu erhalten, dadurch werden mehrere Anmeldeverfahren mit möglicherweise verschiedenen Benutzerdaten verhindert. Nun endlich kommt der letzte Punkt der Identitäts- und Zugriffsverwaltung, die Autorisierung des Zugriffs auf Ressourcen. Nachdem Ihre Daten überprüft und verschlüsselt worden sind, erhalten Sie Ihre Zugriffsberechtigungen. Dies sind in erster Linie natürlich Zugriffsberechtigungen auf Daten. Es wird Daten geben, auf die haben Sie Schreib- und Lesezugriff, es wird auch Daten geben, die Sie nur betrachten, aber nicht ändern dürfen und es wird Daten geben, die Sie nicht einmal sehen dürfen. Eine zweite Art der Zugriffsberechtigungen sind die Rechte, Systemdienste auszuführen, bspw. den Druckdienst. Ein Beispiel für einen Dienst, den nicht alle Benutzer ausführen dürfen, ist das Herunterfahren eines Servers. Rechte werden auch für das Ausführen von Anwendungen vergeben. Planen Sie also die Identitäts- und Zugriffsverwaltung genau, denn diese wird die Sicherheit des Unternehmens stark beeinflussen.