Sysbus
ArtikelAuthentifizierung

Hop-On- / Hop-Offboarding – schnell, effizient und sicher

gg

Was ist der Unterschied zwischen Provisioning und Authentifizierung?

Authentifizierung bezieht sich darauf, dass ein Benutzer nachweist, dass er derjenige ist, der er vorgibt zu sein. Bei der Bereitstellung dagegen geht es um die Rechte und Berechtigungen, die ein Benutzer besitzt. Als Beispiel: In einem Krankenhaus muss sich jeder Mitarbeiter bei Systemen und Anwendungen, die er benutzt, authentifizieren, oft durch eine Kombination aus Benutzernamen und Passwort. Der Mitarbeiter wird authentifiziert, das heißt es wird nachgewiesen, dass er in der Tat Kollege Max Mustermann ist. Bevor er jedoch auf ein bestimmtes System oder eine Anwendung zugreifen kann, muss Max Mustermann ein Konto für dieses System oder diese Anwendung haben, und hier kommt das Provisioning ins Spiel. Während jemand mit der Rolle „Krankenpfleger“ in der Personaldatenbank wahrscheinlich ein Konto für den Zugriff auf ein Patientenverwaltungssystem hätte, würde er vermutlich keine Berechtigung für den Zugriff auf eine Anwendung in der Gehaltsabrechnung haben.

Bereitstellung von Konten mit SAML

Die Bereitstellung mit SAML-Assertions wird allgemein als JIT-Bereitstellung bezeichnet. Während SAML ein Authentifizierungsprotokoll ist, können Systeme, die JIT-Provisioning unterstützen, die in SAML-Assertions bereitgestellten Attribute zur Erstellung von Konten verwenden. Bei der JIT-Bereitstellung wird ein Benutzerkonto erstellt, sobald sich der Mitarbeiter zum ersten Mal bei einer Anwendung anmeldet und über die erforderliche Berechtigung verfügt. Dazu konfigurieren Administratoren Single Sign-On (SSO) zwischen dem Identity Provider und dem Service Provider (der Zielanwendung) und fügen alle zutreffenden Attribute hinzu, die der Service Provider benötigt. Diese SAML-Attribute enthalten Informationen über den Benutzer, wie seine E-Mail-Adresse, Position oder Abteilung.

Grafik: Ping Identity

Verschiedene Arten von Benutzerbereitstellung

Besonders häufig ist das rollenbasierte Lifecycle-Management. Dabei werden die Gruppenmitgliedschaften eines Benutzers aus einer Identitätsquelle in Rollen und Berechtigungen für mehrere Anwendungen übersetzt. Ein Beispiel: Ein Unternehmen speichert Benutzer in einer Datenbank mit Gruppen wie Corporate, Marketing und DevOps. Mitglieder der Gruppe „Marketing“ können auf die für sie bestimmten Anwendungen zugreifen, sind aber von den für die Gruppen „Corporate“ und „DevOps“ vorgesehenen Anwendungen ausgeschlossen.

Eine weitere Variante ist das Inbound-Provisioning für Service Provider. Hier liegt das Quellverzeichnis (oder die Identitäts-Datenquelle) außerhalb des SCIM-Clients, etwa wenn Benutzerkonten in Partnersystemen existieren. Das Quellverzeichnis sendet SCIM-Befehle an den SCIM-Client, der wiederum CRUD-Operationen an nachgelagerte Systeme und Anwendungen weiterleitet.

Dagegen spricht man von Outbound-Provisioning, wenn die Identitätsquelle direkt mit dem SCIM-Server verbunden ist. Ein SCIM-Client verbindet sich mit dem Benutzerverzeichnis und überwacht es auf Änderungen. Wenn Benutzer hinzugefügt, geändert oder gelöscht werden, werden die Änderungen an die Zielverzeichnisse oder -anwendungen über deren proprietäre Provisioning-APIs übertragen.

Wie aufwendig ist die Implementierung der Benutzer- und Kontenbereitstellung?

Bei der nativen SCIM-Bereitstellung werden CRUD-Vorgänge innerhalb von Sekunden nach einer Änderung im Benutzerspeicher ausgeführt. Die Einrichtung dauert in der Regel weniger als eine Stunde für jedes nachgelagerte System oder jede Anwendung. Für Systeme, die SCIM nicht nativ unterstützen, gibt es Konnektoren, die eine nahtlose Integration ermöglichen. Dabei werden die nativen APIs eines Systems genutzt, um bei Bedarf neue Konnektoren innerhalb von ein bis fünf Tagen zu erstellen. Dies ermöglicht Unternehmen eine schnelle Konfiguration der Bereitstellung für jede Legacy- oder benutzerdefinierte Anwendung.

In jedem Fall zahlt sich eine automatisierte Provisionierung und Deprovisionierung aus – durch eine höhere Effizienz der Mitarbeiter, geringere Risiken für die IT-Sicherheit und eine insgesamt deutlich bessere Benutzererfahrung und damit auch mehr Zufriedenheit im Team.

Ähnliche Beiträge:

  1. ForgeRock erleichtert Identity Management mit dem Launch der ForgeRock Identity Cloud
  2. Wie Hacker Authentifizierungskonzepte umschiffen – und wie man sie aufhalten kann
  3. Automatisierungswerkzeug Ivanti Automation: Wichtige Stütze für Administratoren
  4. Im Test: Tintri T880 – Leistungsfähiger Speicher für virtuelle Umgebungen

Das könnte dir auch gefallen

Alles in der Cloud? Ein Plädoyer für die lokale Kopie

gcg

An alle CFOs: Es kann sich lohnen, eine Zahnbürste zu vernetzen

gcg

Von Konten zu Identitäten: Cybersicherheit für die Praxis

gg
Die mobile Version verlassen
%%footer%%