Frankfurt am Main – Die Technik schreitet voran: Mitarbeiter wollen vermehrt vernetzt und mobil arbeiten, sich per Webmail und über Cloud-Zugänge einloggen. Doch ihr Umgang mit Passwörtern ist gleich geblieben – sie werden vergessen oder aufgeschrieben und gehen dabei oft verloren. Moderne Zugriffssicherheit erfordert eine Mischung aus traditionellen Zugriffsmanagementansätzen, attributbasierter Zugangskontrolle und Federation – doch was bedeutet das im Klartext? Jason Goode, Regional Director EMEA bei Ping Identity, stellt drei Gründe vor, warum Federated Single-Sign-On der Schlüssel zu einem sicheren Access Management der Zukunft ist.

Ein zentrales Ziel der IT-Sicherheit lautet: Passwörter ersetzen, Transparenz erzeugen, Kontrolle behalten. Dabei kann Single-Sign-On (SSO) unterstützen. Obwohl es diese Lösungen seit Jahren gibt, sind diese oft an eine Domäne gebunden und können nur schwer ausgebaut werden. Doch durch die Erweiterung um Federation greifen Mitarbeiter, Partner und Kunden nun sowohl auf SaaS- als auch auf herkömmliche Anwendungen zu, und das von überall.

Quelle: Ping Identity | The Identity Defined Security Company

Quelle: Ping Identity | The Identity Defined Security Company

#1 Reduzierte Sicherheitsrisiken

Eigentlich ist es unglaublich, dass noch immer Passwörter auf Zetteln neben Bildschirmen kleben. Doch Mitarbeiter sind weiterhin gezwungen, sich viele komplexe Passwörter zu merken, und durch die Zunahme von Cloud-Diensten und Anwendungen werden auch diese immer mehr. Jedoch sinkt damit auch die Bereitschaft der Mitarbeiter, sichere Passwörter zu verwenden, woraus sich für Unternehmen große Sicherheitsrisiken ergeben. Und nicht zu vergessen: Der Verwaltungsaufwand, Passwörter neu vergeben oder zurücksetzen zu müssen, kostet die IT unnötig Zeit und die Benutzer Nerven.

Hier kann Federated Single-Sign-On helfen, denn der Anwender muss sich lediglich einen Login merken, um Zugang zu allen verwendeten Applikationen im Unternehmen zu erhalten. Zusätzliche Passwörter entfallen damit und die Anwendungen können sogar mobil verwendet werden.

#2 Zentrale Kontrolle

Sind die Unternehmensanwendungen lokal oder Cloud-basiert, mobil oder webbasiert? Das spielt mit Federation keine Rolle mehr. Anders als die meisten Cloud-basierten SSO-Lösungen ist Federated-SSO darauf ausgelegt, domainübergreifend zu arbeiten. Folglich werden Nutzernamen und Passwörter nicht an die Anwendungen weitergeleitet, sondern an einem zentralen Ort gesichert, der sich vollständig in der Kontrolle des Unternehmens befindet. Federated-SSO übermittelt daraufhin den jeweiligen Authentifikations-Status des Nutzers mittels Standard-Verschlüsselungs-Tokens. Dies sichert zugleich die Identität des Nutzers ab und ermöglicht es dem Anwendungs-Anbieter, diese jederzeit nachzuvollziehen. Auch die Login-Daten ausgeschiedener Mitarbeiter werden zentral verwaltet und alle Zugriffsrechte auf Anwendungen direkt gesperrt. „Zombie-Accounts“ gehören damit der Vergangenheit an, das Unternehmen behält jederzeit den vollen Überblick über alle Zugriffsrechte.

Der Clou an Federation ist also, dass sich der Nutzer tatsächlich nur einmal anmelden muss, während das Unternehmen auch in Zeiten von Cloud und Mobile alle sensiblen Daten zentral im eigenen Einflussbereich behält. Denn der IT-Administrator kann stets genau nachvollziehen, wer auf welche Ressourcen zugreift.

#3 Aktuelle Identitäts-Standards nutzen

Oft setzen Unternehmen Sicherheitslösungen ein, die zwar zu den Unternehmensanwendungen passen, aber die Identität der Nutzer nicht berücksichtigen, die darauf zugreifen. Doch modernes Access Management sollte identitätsbasiert sein. Denn eine kontextuelle Authentifizierung der Identität reduziert den Verwaltungsaufwand sogar bei zunehmend dezentralen Anwendungen und vereinfacht den Anmeldeprozess. Zahlreiche SSO-Lösungen nutzen die üblichen Identitätsstandards wie SAML, WS-Federation und OpenID Connect und bieten damit ein Höchstmaß an Interoperabilität, ganz unabhängig von einzelnen Anbietern. Standards ermöglichen eine reibungslose Kommunikation zwischen heterogenen Anwendungen und erhöhen damit die IT-Sicherheit. Weiterentwicklungen von Standards wie beispielsweise OpenID Connect reagieren auf die Bedürfnisse von API und Applikationen, indem sie eine kontextbezogene Authentifizierung zum Dreh- und Angelpunkt des Login-Prozesses einsetzen. Damit bleibt dieser für Nutzer immer gleich.

Bis vor kurzem mussten noch alle, die ein Federated Single-Sign-On nutzen wollten, die Security Assertion Markup Language (SAML) beherrschen. Das ist nun nicht mehr der Fall: Dank automatisierter Wizards kann jeder IT-Mitarbeiter schnell und unkompliziert die entsprechenden Verbindungen einrichten.

Aber der Mix macht’s: Federated-SSO kann nur ein Baustein eines sicheren Access Managements sein. Erst kombiniert mit Multi-Faktor-Authentifizierung und Access Security ergibt sich eine zuverlässige Basis. Diese verdrängt die Firewall als primären ‚Sicherheitsbeamten’, da jeder Zugang über die Identität abgesichert wird. Authentifizierte Mitarbeiter, Partner und Kunden können so auf die benötigten Anwendungen zugreifen.

Quelle: Ping Identity | The Identity Defined Security Company

ANZEIGE:

Veröffentlicht von:

Alexandra Rüsche
Alexandra Rüsche
Alexandra Rüsche gehört seit 2009 der Redaktion Mittelstand-Nachrichten an. Sie schreibt als Journalistin über Tourismus, Familienunternehmen, Gesundheitsthemen, sowie Innovationen. Alexandra ist Mitglied im DPV (Deutscher Presse Verband - Verband für Journalisten e.V.). Sie ist über die Mailadresse der Redaktion erreichbar: [email protected]
Veröffentlicht am: