Zum Hauptinhalt

Ein Identity Provider (IdP) ist ein System, das digitale Identitäten erstellt, speichert und verwaltet. Der IdP kann den Benutzer entweder direkt authentifizieren oder Authentifizierungsservices von Drittanbietern (Anwendungen, Websites oder andere digitale Dienste) bereitstellen.

Einfach ausgedrückt bietet ein IdP die Benutzerauthentifizierung als Service an. Sie können sich zum Beispiel mit Ihren Google-Anmeldedaten bei Spotify anmelden. Hier ist Ihre Google-Anmeldung der IdP und Spotify der Service Provider (SP). Jede Website, die eine Anmeldung erfordert, verwendet beispielsweise einen IdP zur Authentifizierung der Benutzer. Dazu kann ein Passwort oder ein anderer Authentifizierungsfaktor genutzt werden.

Aus Sicht eines IdP wird ein Benutzer als Principal bezeichnet. Ein Principal kann ein Mensch oder eine Maschine sein. Ein IdP kann jede Entität authentifizieren, auch Geräte. Der Zweck eines IdP besteht darin, diese Entitäten zu verfolgen und zu wissen, wo und wie die Principal-Identitäten abgerufen werden können, die bestimmen, ob eine Person oder ein Gerät auf sensible Daten zugreifen kann.

Was ist ein IdP-Workflow?

Ein IdP aktiviert die Identität eines Benutzers, um den Zugang zu all seinen Ressourcen zu erleichtern, von E-Mails bis hin zu Dateiverwaltungssystemen des Unternehmens.

Ein IdP-Workflow umfasst drei wichtige Schritte:

  1. Anfrage: Der Benutzer wird aufgefordert, sich zu identifizieren, z. B. über einen Benutzernamen und ein Passwort oder eine biometrische Authentifizierung.
  2. Verifizierung: Der IdP prüft, ob der Benutzer Zugriff hat und auf was.
  3. Entsperrung: Der Benutzer erhält Zugriff auf die spezifischen Ressourcen, für die er autorisiert ist.

Was ist ein Service Provider (SP) und wie funktioniert er mit einem IdP?

Ein Service Provider stellt den Service bereit, auf den zugegriffen wird, während ein IdP die Identitäten erstellt, speichert und verwaltet sowie Benutzer authentifizieren kann.

Sowohl SPs als auch IdPs sind Teil des Federated Identity Management (FIM), bei dem Benutzer dieselbe Verifizierungsmethode für den Zugang zu verschiedenen Ressourcen verwenden dürfen. FIM wird durch Standardprotokolle wie SAML, OAuth, OpenID Connect (OIDC) und SCIM erreicht.

Der IdP baut eine vertrauenswürdige Beziehung zu einem SP auf, indem er Identitäten austauscht und Benutzer domänenübergreifend authentifiziert. Wenn ein Benutzer beispielsweise versucht, auf Anwendungen von Drittanbietern (SPs) zuzugreifen, wird die Anfrage an einen IdP wie Entrust Identity as a Service (IDaaS) gesendet. Der IdP authentifiziert die Benutzeridentität und zeigt dem SP mit einer SAML-Assertion an, dass der Benutzer verifiziert ist und die Erlaubnis hat, auf den Service zuzugreifen.

Was sind die Vorteile eines IdP?

Es gibt mehrere Vorteile, darunter:

  • Stärkere Authentifizierung: Ein IdP kann Tools und Lösungen bereitstellen, die einen sicheren Zugang über Apps, Websites und andere digitale Plattformen hinweg gewährleisten, wie risikobasierte adaptive Multi-Factor Authentification (MFA).
  • Vereinfachte Benutzerverwaltung: Eine weitere Lösung, die von den meisten IdPs angeboten wird, ist Single Sign-On (SSO), was den Benutzern die Erstellung und Pflege mehrerer Benutzernamen und Passwörter erspart.
  • Bring Your Own Identity (BYOI): Mit BYOI können Benutzer mit bereits vorhandenen Identitätsanmeldedaten (z. B. Google, Outlook usw.) auf Services zugreifen, anstatt neue zu erstellen. Dadurch wird das Onboarding und die Verwaltung von Benutzern noch effizienter, während gleichzeitig ein hohes Maß an Sicherheit gewährleistet ist.
  • Bessere Sichtbarkeit: Ein IdP pflegt einen zentralen Audit Trail für alle Zugriffsereignisse und erleichtert so den Nachweis, wer wann auf welche Ressourcen zugreift.
  • Weniger Aufwand für die Identitätsverwaltung: Der SP muss die Benutzeridentitäten nicht verwalten, da dies in die Zuständigkeit des IdP fällt.

Arten von Identitätsanbietern (IdP)

Es gibt zwei Haupttypen von Identitätsanbietern: Security Assertion Markup Language (SAML) und Single-Sign On (SSO).

SAML ist eine XML-basierte Auszeichnungssprache, die für die Authentifizierung über Identitätsverbünde verwendet wird. SAML ist ein allgegenwärtiges Protokoll, das von Anwendungen verschiedener Dienstanbieter wie Office 365, Salesforce, Webex, ADP und Zoom unterstützt wird.

SSO ist eine Funktion für die Zugriffsverwaltung, die es Benutzern ermöglicht, sich mit einem einzigen Satz von Identitätsnachweisen bei mehreren Konten, Software, Systemen und Ressourcen anzumelden. Wenn ein Mitarbeiter beispielsweise seine Anmeldedaten eingibt, um sich an seiner Arbeitsstation anzumelden, wird er auch für den Zugriff auf seine Anwendungen, Ressourcen und cloudbasierte Software authentifiziert.

Anwendungsfälle für Identitätsanbieter (IdP)

Identitätsanbieter (IdP) können dazu beitragen, verschiedene Verwaltungsprobleme zu lösen, mit denen Unternehmen konfrontiert sind. Mit einem Identitätsdienstleister werden lange Listen von Benutzernamen und Passwörtern praktisch überflüssig, die Verwaltung wird vereinfacht und es gibt einen detaillierten schriftlichen Nachweis der Zugriffsversuche, falls ein Problem auftritt.

Die meisten Verbraucher sind mit Apps vertraut, die ihnen die Möglichkeit bieten, sich durch Antippen einer Schaltfläche anzumelden, die das Konto mit dem Facebook- oder Google-Konto des Benutzers verbindet. Das Konzept ist in der Geschäftswelt ähnlich, mit ein paar zusätzlichen Vorteilen. Erstens wird die Einhaltung der Vorschriften durch einen Prüfpfad für alle Zugriffsereignisse vereinfacht. Zweitens können Unternehmen ihre IT-Kosten um mehr als 20 % senken, indem sie die Helpdesk-Zeit für das Zurücksetzen von Passwörtern reduzieren.

Ist Entrust IDaaS die richtige IdP-Lösung für Ihre Geschäftsanforderungen?

Ja. Entrust Identity as a Service (IDaaS) ist eine Cloud-basierte IAM-Lösung (Identity and Access Management, Identitäts- und Zugriffsverwaltung), die Multi-Factor Authentication (MFA), passwortlosen Zugriff auf Basis von Anmeldedaten und Single Sign-On (SSO) umfasst. IDaaS bietet ein umfassendes Set an IAM-Funktionen und ist der richtige IdP, um Ihren Schutz mit seinem Zero Trust-Sicherheitsansatz zu maximieren.

Was ist Identitäts- und Zugriffsverwaltung?

Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist ein Rahmenwerk von Sicherheitsrichtlinien und -technologien, das sicherstellt, dass die richtigen Stellen zur richtigen Zeit Zugriff auf die richtigen Ressourcen erhalten

Eine Stelle kann eine Person oder ein Gerät sein. Zu den Ressourcen gehören Anwendungen, Netzwerke, Infrastruktur und Daten. Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) kann für Arbeitskräfte, Verbraucher und Bürger eingesetzt werden.

Identitäts- und Zugriffsverwaltung basiert auf der Prämisse, vertrauenswürdige digitale Identitäten zu schaffen und zu erhalten. Mit der Identitäts- und Zugriffsverwaltung sind Unternehmen in der Lage, Stellen zu authentifizieren und zu autorisieren, um sicheren Zugriff auf die richtigen Ressourcen zu gewährleisten. Außerdem wird das Vertrauen im Laufe der Zeit durch die adaptive, risikobasierte Authentifizierung aufrechterhalten, die unter bestimmten Bedingungen eine höhere Sicherheitsstufe vorsieht.