article

Was ist eine Federated Identity?

Eine Federated Identity (föderierte Identität) vereinfacht den sicheren Zugriff von Benutzern auf Ressourcen, indem sie mehrere Sicherheitslösungen kombiniert: darunter Authentifizierung, Autorisierung, Zugangskontrolle, Intrusion Detection und Prevention Systeme (IDPS) und Service Provider. Mit einer Federated Identity können autorisierte Benutzer mit denselben Anmeldedaten auf mehrere Domains, Apps und Identitätsmanagement-Systeme zugreifen. Dadurch werden getrennte Anmeldungen überflüssig, was die Produktivität erhöht, die Frustration der Benutzer verringert und die Passwortverwaltung vereinfacht.

Das föderierte Identitätsmanagement wird von Drittanbieterdiensten übernommen, die für die Identität der Benutzer bürgen. Diese Drittanbieter sind zwischen Benutzern und Ressourcen geschaltet und fungieren als Middleware. Sicherheitstools wie die Multi-Faktor-Authentifizierung (MFA) und Single Sign-on (SSO) kommen zur Verwaltung des Benutzerzugriffs und zur Prüfung der Benutzeridentitäten zum Einsatz.

Federated Identity und Single Sign-on (SSO)

Federated Identity und Single Sign-on (SSO) werden oft miteinander verwechselt. Obwohl sie ähnlich funktionieren und in die Kategorie des Identitätsmanagements fallen, erfüllen sie jedoch unterschiedliche Aufgaben.

Sowohl eine Federated Identity als auch SSO authentifizieren Benutzer mit einem sicheren Protokoll und machen nur noch eine Anmeldung notwendig, die in der Regel eine Multi-Faktor-Authentifizierung beinhaltet. Nach dieser einen Anmeldung können Benutzer ohne weitere Anmeldungen auf verschiedene Dienste zugreifen. Mit SSO haben Benutzer jedoch lediglich Zugriff auf mehrere Systeme Federated Identity, mit einer Federated Identity greifen sie auf verschiedene Systeme in unterschiedlichen Unternehmen zu.

Eine föderierte Identität optimiert SSO, damit Benutzer ohne Authentifizierungshürden auf Systeme zugreifen können.

Federated Identity kann auch mehrere Gruppen zusammenfassen. Diese Gruppen können sich innerhalb eines einzigen Unternehmens befinden oder über verschiedene Unternehmen mit einer zentralen Authentifizierung verteilt sein.

Federated Identity und Authentifizierung

Eine Federated Identity wird mit standardbasierten, sicheren Protokollen authentifiziert. Diese ermöglichen die Authentifizierung und den Zugriff über föderierte Domains hinweg. Die gängigsten sicheren Authentifizierungsprotokolle sind:

  • JWT (JSON Web Token)
  • Kerberos
  • LDAP (Lightweight Directory Access Protocol)
  • OAuth (Open Authorization)
  • OIDC (OpenID Connect)
  • RADIUS (Remote Authentication Dial-In User Service)
  • SAML (Security Assertion Markup Language)
  • SCIM (System for Cross-domain Identity Management)

Andere sichere Authentifizierungsprotokolle sind:

  • CHAP (Challenge-Handshake Authentication Protocol)
  • Diameter
  • EAP (Extensible Authentication Protocol)
  • PAP (Password Authentication Protocol)
  • TACACS (Terminal Access Controller Access Control System)

Wie funktioniert eine Federated Identity?

Eine Federated Identity basiert auf vertrauensvollen Beziehungen zwischen zwei Unternehmen.

  • Service Provider sind externe Apps, Softwares oder Websites, die einen Identitätsanbieter nutzen, um Benutzer zu identifizieren und zu authentifizieren.
  • Identitätsanbieter (Identity Provider, IdP) sind Systeme, die Identitätsdaten (z. B. Name, E-Mail-Adresse, Standort, Gerät, Browsertyp, biometrische Daten) erstellen, pflegen und verwalten.

Nachfolgend finden Sie eine Zusammenfassung der Funktionsweise der Federated Identity. Beachten Sie, dass jeder Schritt sofort und unsichtbar ausgeführt wird, damit der Ablauf für Benutzer nahtlos und berührungslos ist.

  1. Der Benutzer versucht, sich bei einem Service Provider anmelden, der eine Federated Identity verwendet.
  2. Der Service Provider fordert vom Identitätsanbieter des Benutzers eine föderierte Authentifizierung an, um sicherzustellen, dass der Benutzer die Person ist, die er / sie vorgibt zu sein.
  3. Der Identitätsanbieter überprüft die Identitätsdaten des Benutzers und kontrolliert seine Zugriffs- und Genehmigungsrechte.
  4. Der Identitätsanbieter autorisiert den Benutzer gegenüber dem Service Provider über ein sicheres Protokoll (z. B. oAuth, OIDC, SAML).
  5. Der Benutzer erhält Zugang zum Service Provider.

Federated Identity und die US-Regierung

In den USA ist Federated Identity in der Zusammenarbeit der Bundesbehörden in einem gemeinsamen Standard festgeschrieben. Im Jahr 2004 wurde die Homeland Security Presidential Directive 12 erlassen, die sichere Zugangsdaten für den Zugriff auf Regierungseinrichtungen vorschreibt. Dies führte zu einer Reihe von Vereinbarungen, Protokollen und Programmen für Federated Identity. Das National Cybersecurity Center of Excellence und das National Strategy for Trusted Identities in Cyberspace National Program Office arbeiteten gemeinsam an einem datenschutzfreundlichen Identitätsföderationsprojekt, um Standards für Federated Identity zu schaffen.

Das Global Federated Identity and Privilege Management (GFIPM)-Rahmenwerk bietet einen auf Standards basierten Ansatz zur Implementierung einer Federated Identity. Das Rahmenwerk unterstützt die drei wichtigsten Interoperabilitätsbereiche für Sicherheit in der Föderation.

  1. Identifikation/Authentifizierung
    Wer ist Benutzer und wie wurde er / sie authentifiziert?
  2. Berechtigungsverwaltung
    Welche Zertifikate, Berechtigungen, Tätigkeitsbereiche, lokalen Berechtigungen und organisatorischen Zugehörigkeiten sind mit dem Benutzer verbunden, die als Grundlage für Berechtigungsentscheidungen dienen können?
  3. Prüfung
    Welche Informationen werden für die Prüfung einzelner Systeme, des Systemzugriffs und der Systemnutzung sowie der Einhaltung der gesetzlichen Vorschriften bei der Datenverarbeitung benötigt?

Vorteile von Federated Identity

Kostenersparnis
Die Verwendung von föderierten Identitäten erspart Unternehmen den Zeit- und Kostenaufwand für die Einrichtung und Wartung von SSO zur Verwaltung multipler Identitäten.

Einfache Datenverwaltung
Eine Federated Identity erleichtert den Zugriff auf sowie die Speicherung und die Verwaltung von Daten über verschiedene Systeme hinweg durch das Straffen der Datenverwaltung.

Verbesserte Benutzerfreundlichkeit
Benutzer müssen ihre Anmeldedaten nur einmal pro Sitzung eingeben, um auf mehrere Systeme in verschiedenen Domains zuzugreifen. Das verbessert die Benutzerfreundlichkeit, da es keine Zugriffshürden mehr gibt.

Erhöhte Sicherheit
Die Anzahl der Anmeldungen eines Benutzers bei einzelnen Systemen wird reduziert, was die Sicherheit erhöht und einen besseren Datenschutz gewährleistet, da jede Anmeldung eine Schwachstelle darstellt und das Risiko des unbefugten Zugriffs erhöht.

Produktivitätssteigerung
Federated Identity stellt sicher, dass sich Benutzer nicht mehrmals anmelden müssen, um auf Ressourcen zuzugreifen, Passwörter nicht immer wieder eingeben müssen und keine Anfragen zur Rücksetzung von Passwörtern mehr stellen müssen. Diese Zeitersparnis führt zu weniger Frustration sowie mehr Produktivität der Endbenutzer und der gesamten Organisation.

Sichere gemeinsame Nutzung von Ressourcen
Organisationen haben die Möglichkeit, die gemeinsame Nutzung von Ressourcen und Daten effizient erleichtern, ohne Anmeldedaten oder die Sicherheit zu gefährden.

Single-Point-Provisioning
Eine föderierte Identität ermöglicht Single-Point-Provisioning, was es IT-Teams vereinfacht, den Zugriff auf Benutzer und Systeme außerhalb eines Unternehmensbereichs zu ermöglichen.

Häufige Missverständnisse über Federated Identity

Federated Identity wird oft missverstanden und ist mit falschen Vorstellungen verbunden. Hier sind die zwei wichtigsten Missverständnisse:

  1. Da föderierte Identitätsmanagementsysteme bestimmte Regeln und Richtlinien befolgen, nehmen viele an, dass sie dadurch weniger Kontrolle über ihre Konfiguration bekämen.

    Das ist falsch. Diese Systeme haben zwar eine starre Struktur, es sind jedoch individuelle Konfigurationen möglich, um die besonderen Anforderungen von Unternehmen zu erfüllen.
  2. Mögliche Sicherheitsrisiken, die mit der föderierten Identität in Verbindung stehen, sind weitgehend unbegründet. Fast jedes Sicherheitskonzept hat Schwachstellen und die föderierte Identität wird weithin als überlegene Sicherheitslösung betrachtet.

Federated Identity gegen Passwortmüdigkeit

Selbst mit vorgeschriebenen sicheren Passwörtern stellen Passwörter ein ständiges Sicherheitsproblem dar, da Benutzer riskante Strategien entwickeln, um die Verwaltung mehrerer Passwörter zu vereinfachen. Die föderierte Identität reduziert diese Passwortmüdigkeit, indem sie den Benutzerzugriff vereinfacht und die Passwortverwaltung für IT-Teams erleichtert.

Date: 27. April 2023Reading time: 7 minutes
Security

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt