Was ist eine föderierte Identität?

Die föderierte Identität ist eine Lösung, die den sicheren Benutzerzugriff vereinfacht, indem sie mehrere Komponenten kombiniert, darunter Authentifizierung, Autorisierung, Zugangskontrolle, Intrusion Detection und Prevention Systeme (IDPS) und Service Provider. Mit einer föderierten Identität greifen autorisierte Benutzer mit denselben Anmeldedaten auf mehrere Domains, Apps und Identitätsmanagement-Systeme zugreifen. Dadurch werden getrennte Anmeldungen überflüssig, was die Produktivität erhöht, die Frustration der Benutzer verringert und die Passwortverwaltung für Benutzer und IT-Abteilung vereinfacht. 

Das föderierte Identitätsmanagement wird von Drittanbieterdiensten übernommen, die für die Identität der Benutzer bürgen. Diese Drittanbieter sind zwischen Benutzern und Ressourcen positioniert und fungieren als Middleware. Sicherheitstools wie die Multi-Faktor-Authentifizierung (MFA) und Single Sign-on (SSO) werden zur Verwaltung des Benutzerzugriffs und zur Prüfung der Benutzeridentitäten genutzt.

Föderierte Identität und Single Sign-on (SSO)

Föderierte Identität und Single Sign-on (SSO) werden oft fälschlicherweise für Synonyme gehalten. Obwohl sie ähnlich funktionieren und in die Kategorie des Identitätsmanagements fallen, erfüllen sie unterschiedliche Aufgaben.  

Sowohl eine föderierte Identität als auch SSO authentifizieren Benutzer mit einem sicheren Protokoll und reduzieren den Benutzerzugriff auf eine Anmeldung, die in der Regel eine Multi-Faktor-Authentifizierung beinhaltet. Nach dieser Anmeldung können Benutzer ohne weitere Anmeldungen auf verschiedene Dienste zugreifen. Mit SSO haben Benutzer Zugriff auf mehrere Systeme innerhalb eines Unternehmens, mit einer föderierten Identität greifen sie auf verschiedene Systeme in unterschiedlichen Unternehmen zu.

Eine föderierte Identität optimiert SSO, damit Benutzer ohne Authentifizierungshürden auf Systeme zugreifen können.

Sie fasst auch mehrere Gruppen zusammen. Diese Gruppen können sich innerhalb eines einzigen Unternehmens befinden oder über verschiedene Unternehmen mit einer zentralen Authentifizierung verteilt sein.

Föderierte Identität und Authentifizierung

Eine föderierte Identität wird mit standardbasierten, sicheren Protokollen authentifiziert. Diese ermöglichen die Authentifizierung und den Zugriff über föderierte Domains hinweg. Die gängigsten sicheren Authentifizierungsprotokolle sind:

• JWT (JSON Web Token)
• Kerberos
• LDAP (Lightweight Directory Access Protocol)
• OAuth (Open Authorization)
• OIDC (OpenID Connect)
• RADIUS (Remote Authentication Dial-In User Service)
• SAML (Security Assertion Markup Language)
• SCIM (System for Cross-domain Identity Management)

Andere sichere Authentifizierungsprotokolle sind:

• CHAP (Challenge-Handshake Authentication Protocol)
• Diameter
• EAP (Extensible Authentication Protocol)
• PAP (Password Authentication Protocol)
• TACACS (Terminal Access Controller Access Control System)

Wie funktioniert eine föderierte Identität

Eine föderierte Identität basiert auf vertrauensvollen Beziehungen zwischen zwei Unternehmen.

• Service Provider sind externe Apps, Softwares oder Websites, die einen Identitätsanbieter nutzen, um Benutzer zu identifizieren und zu authentifizieren.
• Identitätsanbieter (Identity Provider, IdP) sind Systeme, die Identitätsdaten (z. B. Name, E-Mail-Adresse, Standort, Gerät, Browsertyp, biometrische Daten) erstellen, pflegen und verwalten.

Nachfolgend finden Sie eine Zusammenfassung der Funktionsweise der föderierten Identität. Beachten Sie, dass jeder Schritt sofort und unsichtbar ausgeführt wird, damit der Ablauf für die Benutzer nahtlos und berührungslos ist.

1. Der Benutzer versucht, sich bei einem Service Provider anmelden, der eine föderierte Identität verwendet.
2. Der Service Provider fordert vom Identitätsanbieter des Benutzers eine föderierte Authentifizierung an, um sicherzustellen, dass der Benutzer die Person ist, die er / sie vorgibt zu sein.
3. Der Identitätsanbieter überprüft die Identitätsdaten des Benutzers und kontrolliert seine Zugriffs- und Genehmigungsrechte.
4. Der Identitätsanbieter autorisiert den Benutzer gegenüber dem Service Provider über ein sicheres Protokoll (z. B. oAuth, OIDC, SAML).
5. Der Benutzer erhält Zugang zum Service Provider.

Föderierte Identität und die US-Regierung

Im Jahr 2004 wurde die Homeland Security Presidential Directive 12 erlassen, die sichere Zugangsdaten für den Zugriff auf Regierungseinrichtungen vorschreibt. Dies führte zu einer Reihe von Vereinbarungen, Protokollen und Programmen für die föderierte Identität. Das National Cybersecurity Center of Excellence und das National Strategy for Trusted Identities in Cyberspace National Program Office arbeiteten gemeinsam an einem datenschutzfreundlichen Identitätsföderationsprojekt, um Standards für die föderierte Identität zu schaffen.

Das Global Federated Identity and Privilege Management (GFIPM)-Rahmenwerk bietet einen auf Standards basierten Ansatz zur Implementierung einer föderierten Identität. Das Rahmenwerk unterstützt die drei wichtigsten Interoperabilitätsbereiche für Sicherheit in der Föderation.

1. Identifikation/Authentifizierung
   Wer ist Benutzer und wie wurde er / sie authentifiziert?
2. Berechtigungsverwaltung
   Welche Zertifikate, Berechtigungen, Tätigkeitsbereiche, lokalen Berechtigungen und organisatorischen Zugehörigkeiten sind mit dem Benutzer verbunden, die als Grundlage für Berechtigungsentscheidungen dienen können?
3. Prüfung
   Welche Informationen werden für die Prüfung einzelner Systeme, des Systemzugriffs und der Systemnutzung sowie der Einhaltung der gesetzlichen Vorschriften bei der Datenverarbeitung benötigt?

Vorteile der föderierten Identität

Kostenersparnis
Die Verwendung von föderierten Identitäten erspart Unternehmen den Zeit- und Kostenaufwand für die Einrichtung und Wartung von SSO zur Verwaltung multipler Identitäten.

Einfache Datenverwaltung  
Eine föderierte Identität erleichtert den Zugriff auf sowie die Speicherung und die Verwaltung von Daten über verschiedene Systeme hinweg durch das Straffen der Datenverwaltung.

Verbesserte Benutzerfreundlichkeit 
Benutzer müssen ihre Anmeldedaten nur einmal pro Sitzung eingeben, um auf mehrere Systeme in verschiedenen Domains zuzugreifen. Das verbessert die Benutzerfreundlichkeit, da es keine Zugriffshürden mehr gibt.

Erhöhte Sicherheit 
Die Anzahl der Anmeldungen eines Benutzers bei einzelnen Systemen wird reduziert, was die Sicherheit erhöht und einen besseren Datenschutz gewährleistet, da jede Anmeldung eine Schwachstelle darstellt und das Risiko des unbefugten Zugriffs erhöht.

Produktivitätssteigerung 
Die föderierte Identität stellt sicher, dass sich Benutzer nicht mehrmals anmelden müssen, um auf Ressourcen zuzugreifen, Passwörter nicht immer wieder eingeben müssen und keine Anfragen zur Rücksetzung von Passwörtern mehr stellen müssen. Diese Zeitersparnis führt zu weniger Frustration sowie mehr Produktivität der Endbenutzer und der gesamten Organisation.

Sichere gemeinsame Nutzung von Ressourcen 
Organisationen haben die Möglichkeit, die gemeinsame Nutzung von Ressourcen und Daten effizient erleichtern, ohne Anmeldedaten oder die Sicherheit zu gefährden.

Single-Point-Provisioning 
Eine föderierte Identität ermöglicht Single-Point-Provisioning, was es IT-Teams vereinfacht, den Zugriff auf Benutzer und Systeme außerhalb eines Unternehmensbereichs zu ermöglichen.

Missverständnisse über die föderale Identität

Die föderale Identität wird oft missverstanden und ist mit falschen Vorstellungen verbunden. Hier sind die zwei wichtigsten Missverständnisse:

1. Da föderierte Identitätsmanagementsysteme bestimmte Regeln und Richtlinien befolgen, haben Sie weniger Kontrolle über ihre Konfiguration.  
   
   Das ist falsch. Diese Systeme haben zwar eine starre Struktur, es sind jedoch individuelle Konfigurationen möglich, um die besonderen Anforderungen von Unternehmen zu erfüllen.
   
2. Mögliche Sicherheitsrisiken, die mit der föderierten Identität in Verbindung stehen, sind weitgehend unbegründet. Fast jedes Sicherheitskonzept hat Schwachstellen und die föderierte Identität wird weithin als überlegene Sicherheitslösung betrachtet.

Eine föderierte Identität gegen Passwortmüdigkeit

Selbst mit vorgeschriebenen sicheren Passwörtern stellen Passwörter ein ständiges Sicherheitsproblem dar, da Benutzer riskante Strategien entwickeln, um die Verwaltung mehrerer Passwörter zu vereinfachen. Die föderierte Identität reduziert diese Passwortmüdigkeit, indem sie den Benutzerzugriff vereinfacht und die Passwortverwaltung für IT-Teams erleichtert.

Das könnte Sie auch interessieren: