Was ist ein Identity Provider?
Ein Identity Provider (IdP), oder IdP-Administrator, ist ein System, das digitale Identitäten erstellt, speichert und verwaltet. Ein Identity Provider liefert
Einfach ausgedrückt, ein IdP-Administrator bietet die Benutzerauthentifizierung als Dienst an. Sie können sich zum Beispiel mit Ihren Google-Anmeldedaten bei Spotify anmelden. Hier ist Ihre Google-Anmeldung der IdP und Spotify der Service Provider (SP). Jede Website, die eine Anmeldung erfordert, verwendet beispielsweise einen IdP zur Authentifizierung der Benutzer. Dazu kann ein Passwort oder ein anderer Authentifizierungsfaktor genutzt werden.
Aus Sicht eines IdP wird ein Benutzer als Principal bezeichnet. Ein Principal kann ein Mensch oder eine Maschine sein. Ein IdP kann jede Entität authentifizieren, auch Geräte. Der Zweck eines IdP besteht darin, diese Entitäten zu verfolgen und zu wissen, wo und wie die Principal-Identitäten abgerufen werden können, die bestimmen, ob eine Person oder ein Gerät auf sensible Daten zugreifen kann.
Warum sind IdPs notwendig?
Identitätsanbieter können dazu beitragen, verschiedene Verwaltungsprobleme zu lösen, mit denen Unternehmen konfrontiert sind. Mit einem Identitätsdienstleister werden lange Listen von Benutzernamen und Passwörtern praktisch überflüssig, die Verwaltung wird vereinfacht und es gibt einen detaillierten schriftlichen Nachweis der Zugriffsversuche, falls ein Problem auftritt.
Die meisten Verbraucher sind mit Apps vertraut, die ihnen die Möglichkeit bieten, sich durch Antippen einer Schaltfläche anzumelden, die das Konto mit dem Facebook- oder Google-Konto des Benutzers verbindet. Das Konzept ist in der Geschäftswelt ähnlich, mit ein paar zusätzlichen Vorteilen. Erstens wird die Einhaltung der Vorschriften durch einen Prüfpfad für alle Zugriffsereignisse vereinfacht. Zweitens können Unternehmen ihre IT-Kosten um mehr als 20 % senken, indem sie die Helpdesk-Zeit für das Zurücksetzen von Passwörtern reduzieren.
Was sind die Vorteile eines IdP?
Es gibt mehrere Vorteile, darunter:
- Stärkere Authentifizierung: Ein IdP kann Tools und Lösungen bereitstellen, die einen sicheren Zugang über Apps, Websites und andere digitale Plattformen hinweg gewährleisten, wie risikobasierte adaptive Multi-Factor Authentification (MFA).
- Vereinfachte Benutzerverwaltung: Eine weitere Lösung, die von den meisten IdPs angeboten wird, ist Single Sign-On (SSO), was den Benutzern die Erstellung und Pflege mehrerer Benutzernamen und Passwörter erspart.
- Bring Your Own Identity (BYOI): Mit BYOI können Benutzer mit bereits vorhandenen Identitätsanmeldedaten (z. B. Google, Outlook usw.) auf Services zugreifen, anstatt neue zu erstellen. Dadurch wird das Onboarding und die Verwaltung von Benutzern noch effizienter, während gleichzeitig ein hohes Maß an Sicherheit gewährleistet ist.
- Bessere Sichtbarkeit: Ein IdP pflegt einen zentralen Audit Trail für alle Zugriffsereignisse und erleichtert so den Nachweis, wer wann auf welche Ressourcen zugreift.
- Weniger Aufwand für die Identitätsverwaltung: Der Dienstanbieter (SP) braucht die Benutzeridentitäten nicht zu verwalten, da dies in die Zuständigkeit des IdP fällt.
Wie funktionieren die IdPs?
Ein IdP aktiviert die Identität eines Benutzers, um den Zugang zu all seinen Ressourcen zu erleichtern, von E-Mails bis hin zu Dateiverwaltungssystemen des Unternehmens.
Ein IdP-Workflow umfasst drei wichtige Schritte:
- Anfrage: Der Benutzer wird aufgefordert, sich zu identifizieren, z. B. über einen Benutzernamen und ein Passwort oder eine biometrische Authentifizierung.
- Verifizierung: Der IdP prüft, ob der Benutzer Zugriff hat und auf was.
- Entsperrung: Der Benutzer erhält Zugriff auf die spezifischen Ressourcen, für die er autorisiert ist.
Was ist ein Dienstanbieter und wie arbeitet er mit einem IdP zusammen?
Ein Service Provider, oder SP, stellt den Service bereit, auf den zugegriffen wird, während ein IdP die Identitäten erstellt, speichert und verwaltet sowie Benutzer authentifizieren kann.
Sowohl SPs als auch IdPs sind Teil des Federated Identity Management (FIM), bei dem Benutzer dieselbe Verifizierungsmethode für den Zugang zu verschiedenen Ressourcen verwenden dürfen. FIM wird durch Standardprotokolle wie Security Assertion Markup Language (SAML), Open Authorization (OAuth), OpenID Connect (OIDC) und das System for Cross-domain Identity Management (SCIM) erreicht.
Der IdP baut eine vertrauenswürdige Beziehung zu einem SP auf, indem er Identitäten austauscht und Benutzer domänenübergreifend authentifiziert. Wenn ein Benutzer beispielsweise versucht, auf Anwendungen von Drittanbietern (SPs) zuzugreifen, wird die Anfrage an einen IdP wie Entrust Identity as a Service (IDaaS) gesendet. Der IdP authentifiziert die Benutzeridentität und zeigt dem SP mit einer SAML-Assertion an, dass der Benutzer verifiziert ist und die Erlaubnis hat, auf den Service zuzugreifen.
Arten von Identitätsanbietern (IdP)
Es gibt zwei Haupttypen von Identitätsanbietern: Security Assertion Markup Language und Single-Sign On.
SAML ist eine XML-basierte Auszeichnungssprache, die für die Authentifizierung über Identitätsverbünde verwendet wird. SAML ist ein allgegenwärtiges Protokoll, das von Anwendungen verschiedener Dienstanbieter wie Office 365, Salesforce, Webex, ADP und Zoom unterstützt wird.
SSO ist eine Funktion für die Zugriffsverwaltung, die es Benutzern ermöglicht, sich mit einem einzigen Satz von Identitätsnachweisen bei mehreren Konten, Software, Systemen und Ressourcen anzumelden. Wenn ein Mitarbeiter beispielsweise seine Anmeldedaten eingibt, um sich an seiner Arbeitsstation anzumelden, wird er auch für den Zugriff auf seine Anwendungen, Ressourcen und cloudbasierte Software authentifiziert.
Was ist Identitäts- und Zugriffsverwaltung?
Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist ein Rahmenwerk von Sicherheitsrichtlinien und -technologien, das sicherstellt, dass die richtigen Stellen zur richtigen Zeit Zugriff auf die richtigen Ressourcen erhalten
Eine Stelle kann eine Person oder ein Gerät sein. Zu den Ressourcen gehören Anwendungen, Netzwerke, Infrastruktur und Daten. Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) kann für Arbeitskräfte, Verbraucher und Bürger eingesetzt werden.
Identitäts- und Zugriffsverwaltung basiert auf der Prämisse, vertrauenswürdige digitale Identitäten zu schaffen und zu erhalten. Mit der Identitäts- und Zugriffsverwaltung können Unternehmen Stellen authentifizieren und autorisieren, um sicheren Zugriff auf die richtigen Ressourcen zu gewährleisten. Außerdem wird das Vertrauen im Laufe der Zeit durch die adaptive, risikobasierte Authentifizierung aufrechterhalten, die unter bestimmten Bedingungen eine höhere Sicherheitsstufe vorsieht.
Ist Entrust IDaaS die richtige IdP-Lösung für Ihre Geschäftsanforderungen?
Ja. Entrust Identity as a Service (IDaaS) ist eine Cloud-basierte IAM-Lösung (Identity and Access Management, Identitäts- und Zugriffsverwaltung), die Multi-Factor Authentication, passwortlosen Zugriff auf Basis von Anmeldedaten und SSO umfasst. IDaaS bietet ein umfassendes Set an IAM-Funktionen und ist der richtige IdP-Administrator, um Ihren Schutz mit seinem Zero Trust-Sicherheitsansatz zu maximieren.