Integrieren sie sichere und benutzerfreundliche Identitätsdienste in ihre Kundenanwendungen

INTEGRIEREN SIE SICHERE UND BENUTZERFREUNDLICHE IDENTITÄTSDIENSTE IN IHRE KUNDENANWENDUNGEN

Back
17. September 2018
Dustin Maxey
Director of Product Marketing

Haben Sie einen Entwickler schon einmal sagen hören „Endlich kann ich die Registrierung in meine App einbauen. Ich kann es kaum erwarten, die Benutzertabelle zu erstellen und die Abläufe für die Kontowiederherstellung einzurichten.“?

Nein? Ich auch nicht. Identitätsdienste gehören nicht zu den Kernkompetenzen von Entwicklern und sie geraten darüber auch nicht in Begeisterung. Dennoch sind sie notwendig.

Komfort und einfache Bedienung stehen für Kunden an erster Stelle. Ein aufwendiger Registrierungsvorgang, Probleme bei der Anmeldung oder beim Zurücksetzen des Kennworts – und schon kehren Anwender Ihrer App den Rücken und waren nie wieder gesehen. Selbst einfache Dinge wie Kennwortrichtlinien können für Kunden unglaublich frustrierend sein.

 

Ein Beispiel aus meinem persönlichen Erfahrungsschatz: Mit einer von mir häufig genutzten Fluglinie liege ich im ständigen Clinch um die Kontowiederherstellung. Ich nutze ein sehr starkes Kennwort, das eigentlich absolut in Ordnung ist. Trotzdem wird es von der Fluglinie aufgrund merkwürdiger Bestimmungen in ihrer Kennwortrichtlinie einfach nicht akzeptiert. Jedes Mal also, wenn ich mich anmelden möchte, was nicht allzu häufig geschieht, muss ich mein Konto zurücksetzen und ein anderes, noch abwegigeres Kennwort eingeben, das ich bisher nicht benutzt habe. Jedes Mal, wenn ich mich von einem neuen Gerät aus einlogge, auf dem mein Kennwort nicht gespeichert ist, erlebe ich diesen frustrierenden Moment von neuem. Dann schießt mir kurz der Gedanke durch den Kopf, ob ich nicht einfach auf meine Meilen verzichte und in Zukunft mit einem anderen Anbieter fliege. Das ist nur eines von zahlreichen Beispielen dafür, wie man Kunden mit frustrierenden Designentscheidungen vergrault. Und nicht alle sind so nachsichtig und haben so viel Erfahrung mit dem Zurücksetzen von Kennwörtern wie ich.

Wenn Sie eine Anwendung programmieren, sollten Sie die Registrierung, Anmeldung, die Kontoverwaltung und andere Identitätsfunktionen der App so einfach wie möglich gestalten. Anwenderfreundlichkeit erreichen sie nicht, wenn Sie versuchen, alles selbst zu programmieren. Ihre Entwickler müssen angepasste Anmelde- und Registrierungsfenster erstellen, die Abläufe zum Zurücksetzen des Kennworts definieren und andere Identitätsdienste einrichten, ohne den Einführungstermin ihrer Anwendung zu gefährden. Gleichzeitig dürfen sie kein Detail übersehen, das Anwender in eine frustrierende Situation bringen oder gar zu einer Sicherheitsverletzung führen könnte.

All diese Fallstricke können Sie vermeiden, wenn Sie vorgefertigte Identitätsdienste verwenden. Zudem sparen Sie die Zeit für die Entwicklung einer eigenen Identitätslösung.

 

API-basierte IDaaS
API-basierte Identity-as-a-Service(IDaaS) -Lösungen bieten Entwicklern eine einfache Möglichkeit, Identitätsdienste zu implementieren und es jemand anderem zu überlassen, sich um Sicherheit und die Einhaltung von Best Practices zu kümmern. Vorteil für Sie: Ihr Team muss sich weder um die Verschlüsselung von Kennwörtern oder Benutzerdaten noch um die Abläufe bei der Registrierung und Kontowiederherstellung kümmern. Und oben drauf gibt es sogar noch ein sicheres Benutzer-Repository und andere identitätsbezogene Funktionen.

Dabei profitieren nicht nur Ihre Kunden von einer besseren Benutzererfahrung, auch Sie tun sich leichter mit der Sicherheit, wenn Sie die Identitätsdienste im Hintergrund nutzen. Wenn Sie entscheiden, Benutzerdaten in einer relationalen Datenbank zu speichern und diese gehackt wird oder abstürzt und keine Anmeldungen möglich sind, obwohl gerade großer Andrang herrscht, sind sie der Buhmann – garantiert. Daher mein Tipp: Überlassen Sie den Bereich Identität den Identitätsexperten. Sie verfügen nicht nur über jahrzehntelange Erfahrung, sondern haben in ihrer Laufbahn auch jeden Identitätsaspekt beleuchtet. Außerdem wissen diese Spezialisten, wie eine skalierbare Identitätslösung aufgebaut sein muss. Sie verfügen über nachweislich benutzerfreundliche Registrierungs- und Kontowiederherstellungsabläufe, wissen, wie man eine Nutzereinwilligung zur Datenspeicherung gesetzeskonform einholt und wie Benutzerdaten sicher gespeichert werden. Wenn einer dieser Bereiche nicht zu Ihren Kernkompetenzen zählt, gehen Sie ein hohes Risiko ein – und ein sehr zeitintensives noch dazu –, wenn Sie die Implementierung Ihren Entwicklern überlassen.

OK, was dann? Identitätslösungen gibt es wie Sand am Meer. Wähle ich einfach eine aus und alles ist gut?

Nicht ganz. Wer nicht vorsichtig ist, kann auch hier schnell auf Nase fallen. Es gibt eine Menge zu bedenken, wenn Sie eine kundenorientierte Anwendung für ein großes Unternehmen entwickeln. Entspricht Ihre App nicht den Erwartungen der IT-Abteilung, könnten Sie sich bei künftigen Projekten, die eine Integration in Ihr restliches Anwendungsportfolio erfordern, genötigt sehen, die Identitätsdienste von Grund auf neu zu entwickeln. Mangelt es an Verbraucherfreundlichkeit, leidet die Benutzererfahrung und Sie verlieren Nutzer. Sind die APIs nicht robust und einfach genug, haben Sie vielleicht Probleme, die Identitätsdienste zum Laufen zu bringen und Ihr Launch verzögert sich.

Ihre IDaaS-Checkliste
Die gute Nachricht ist: Es gibt sie – IDaaS-Lösungen, die entwicklerfreundlich sind, IT-Abteilungen in Unternehmen genügend Flexibilität bieten und alle Funktionen mitbringen, die Ihre Verbraucher erwarten. Bei der Auswahl einer IDaaS-Lösung sollten Sie darauf achten, dass sie alle nachgenannten Punkte erfüllt:

  1. Gibt es APIs, anpassbare UIs und Entwickler-Selfservice?
    Das sind die absoluten Ausschlusskriterien. Damit sich Identitätsdienste möglichst einfach implementieren lassen, benötigen die Entwickler Selfservice-Funktionen. Nur so lässt sich die App ohne andere IT-Ressourcen mit IDaaS verbinden. Sobald die App verbunden ist, kommen die APIs ins Spiel. Diese sollten anwenderfreundlich und intuitiv bedienbar sein und zudem eine ausreichende Funktionalität bieten.

    Es kann vorkommen, dass Sie keine angepasste UI benötigen, die Identitäts-APIs verwendet. In diesem Fall genügt es vielleicht, auf vorgefertigte UI-Elemente zurückzugreifen und diese an Ihr CI anzupassen. Auch diese – noch effizientere – Option sollte Ihren Entwicklern offenstehen. Wie Sie auch vorgehen, APIs und UIs, die für Registrierung, Authentifizierung, Kennwortrücksetzung und andere typische Prozesse auf vorgefertigte Identitätsdienste zurückgreifen, haben in jedem Fall das Zeug, die Einführung neuer Anwendungen zu beschleunigen.

  2. Ist eine Anmeldung über soziale Netzwerke möglich und wird Profilmanagement unterstützt?
    Verbraucher sind bei ihren Interaktionen mit Marken sehr wählerisch. Schon das Fehlen eines Angebots zur Anmeldung über Facebook oder das jeweils bevorzugte soziale Netzwerk kann schon dazu führen, dass Nutzer sich von Ihrer App abwenden. Fast schon Standard und oft datenschutzrechtlich gefordert, ist eine Möglichkeit für Verbraucher, ihre Kontodaten und Einstellungen zu verwalten. Ihr Team kann diese Einstellungen auch nutzen, um die Benutzererfahrung in der App zu personalisieren. Mit der richtigen IDaaS-Lösung sollte Ihr Team diese Funktionen ohne großen Aufwand implementieren können.

  3. Lässt sich der Aufbau eines eigenen Benutzer-Repositorys vermeiden?
    Eine Benutzertabelle erstellen, Kennwörter verschlüsseln und sicherstellen, dass alles skalierbar ist – keine leichte Aufgabe und nicht nur zeitaufwendig, sondern auch riskant. Ein kleiner Fehler und Ihre Anwendung könnte eine Datenpanne auslösen, die Ihr Unternehmen Millionen kostet. Grundsätzlich ist es dennoch so, dass sich das Benutzer-Repository schneller implementieren lässt, wenn Ihre Entwickler nicht selbst Hand anlegen müssen. Ist das Benutzer-Repository in der Cloud eingerichtet, geht es als nächstes darum, den Zugriff, die Aktualisierung und die Änderung von Benutzerdaten über entwicklerfreundliche APIs zu ermöglichen.

  4. Gibt es eine MFA für Verbraucher?
    All die tollen neuen Apps haben eines gemeinsam: Multifaktor-Authentifizierung (MFA). Für Sicherheitsexperten und Verbraucher gehört sie schon zum Standard. Wenn Sie alles richtig machen wollen, sollten Sie also auch in Ihrer App MFA nutzen.

    Jedoch: MFA ist nicht gleich MFA. Viele Unternehmen mussten auf die harte Tour feststellen, dass SMS und E-Mail keine sicheren MFA-Optionen sind. Für Reddit kam diese Erkenntnis leider zu spät. Das Unternehmen selbst nannte falsche MFA-Entscheidungen als einen der Hauptgründe für den zuletzt bekannt gewordenen Sicherheitsvorfall.

    „Wir mussten leider feststellen, dass eine SMS-basierte Authentifizierung nicht annähernd so sicher ist, wie wir dachten. Der Hauptangriff erfolgte über ein SMS-Intercept.“
    u/KeyserSosa

    Wenn Sie eine App für Mobilgeräte entwickeln, können Sie Ihren Nutzern eine viel höhere Sicherheit bieten, indem Sie MFA direkt in die App einbetten. Das hat auch praktische Vorteile. Stellen Sie sich vor, wie viel leichter es ist, einfach nur den Daumen auf das Smartphone zu legen, anstatt in mehreren Schritten eine separate App oder E-Mail zu öffnen und ein Einmalkennwort in einen Browser kopieren zu müssen.

    Push-Benachrichtigungen sind eine der besten Varianten, MFA bereitzustellen, aber nicht für jeden Verbraucher geeignet. Nutzer sollten daher die Möglichkeit haben, die von ihnen bevorzugte MFA-Methode selbst auszuwählen, auch wenn dies SMS oder E-Mail ist. Eine IDaaS-Lösung sollte zudem spezielle MFA-Funktionen für Verbraucher bieten, zum Beispiel die Möglichkeit, hochwertige Transaktionen zu bestätigen, und in der SMS, E-Mail oder Push-Benachrichtigung detailliert darlegen, was der Kunde da gerade bestätigt.

  5. Lassen sich mehrere Umgebungen unter einem gemeinsamen Konto verwalten?
    Es kann vorkommen, dass Sie für Ihre Anwendungen mehrere Umgebungen einrichten müssen, zum Beispiel „Dev, „Staging und „Produktion, oder je nach Anwendung eine unterschiedlich zusammengesetzte Umgebung. Überraschend viele IDaaS-Lösungen bieten keine solche Option, sodass Entwickler für jede neue Umgebung ein eigenes Konto einrichten müssen.

    Die Verwaltung mehrerer Umgebungen unter einem Konto, bietet den Entwicklern einen gern gesehenen Komfort, ist aber nicht minder wichtig für die IT. Sobald die App integriert ist, kann die IT eine delegierte Administration einrichten und den Zugriff auf bestimmte Umgebungen beschränken. Auf diese Weise behalten Sie die Kontrolle über Ihre Umgebung, müssen sich keine Gedanken über andere machen und können dennoch alle dieselbe Identitätslösung im Unternehmen verwenden.

  6. Besteht die Lösung den „IT-Test“?
    Die Integration einer Identitätslösung in Anwendungen kann auch Auswirkungen über den aktuelle App-Launch hinaus haben. Irgendwann wird einem Enterprise Architect, einem Spezialisten für Identitäts- und Zugriffsmanagement oder einem CISO einfallen, „alle Identitätsprofile zu vereinfachen“ oder zu „digitalisieren“. Für Sie könnte das bedeuten, dass Sie Ihre App in eine zentrale Identitätsinfrastruktur einbinden müssen. Wenn Sie sich in weiser Voraussicht für die richtige IDaaS-Lösung entschieden haben, wird die Integration ohne größeren Aufwand gelingen und Sie müssen die Identitätsdienste nicht noch einmal in Ihrer App implementieren. Solche Initiativen haben auch für Entwickler Vorteile. Zum Beispiel können sie die Einstellungen und Personalisierungsdaten aus beliebigen anderen Anwendungen in Ihrem Unternehmen auswerten und die Erkenntnisse in die Entwicklung künftiger Apps einfließen lassen.

    Die IT-Abteilung wiederum könnte noch eine andere Anforderung haben, die Sie anfangs gar nicht bedacht haben. Möglicherweise wird erwartet, dass Ihre IDaaS-Lösung als Authentifizierungsautorität agiert und an beliebigen Stellen in Ihrem Unternehmen das Single Sign-on (SSO) ermöglicht. Oder die Identitätslösung muss in eine hybride IT-Umgebung eingebunden sein und das einheitliche Profil erweitern, um auch lokale Apps einzuschließen.
     

Wenn Ihre Identitätslösung diese Anforderungen nicht erfüllt, müssen Sie mit Sicherheitslücken, einer mangelhaften Nutzererfahrung oder Mehraufwand bei der Implementierung in Ihre App rechnen. Oder Sie müssen alles noch einmal mit einer Lösung entwickeln, die von der IT-Abteilung abgesegnet ist. In diesem Fall wird der Benutzerkomfort Ihrer Entwickler vielleicht nicht im Vordergrund stehen.

Wenn Sie bei der Entwicklung Ihrer App zügig vorankommen wollen, sollten Sie bei der Auswahl Ihrer Identitätslösung die genannten Punkte beachten. Damit überzeugen Sie auch die IT-Abteilung und verhindern, dass Sie bei einer späteren Integration Ihrer App in das Anwendungsportfolio des Unternehmens eine andere Identitätslösung implementieren müssen. Am wichtigsten ist aber, dass dabei am Ende eine bessere Anwendung herauskommt und Sie Ihren Entwicklern das Leben erleichtern.

Wenn Sie mehr über die neuesten Trends in der Identitätstechnologie, wie z. B. IDaaS-Lösungen, erfahren möchten, empfehlen wir Ihnen den Besuch einer der IDENTIFY-Veranstaltungen in Ihrer Nähe.