Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Was ist B2B-Identitäts- und Zugriffsmanagement (B2B-IAM)?
Agententische KI
Wichtige IAM-Überlegungen zur Unterstützung von agentischer KI
KI-Agentenklassen und Anwendungsfälle
IAM-Best Practices für KI-Agenten
Referenzimplementierungen und Muster
Zentralisiertes Identitätsmanagement
Was ist zentralisiertes Identitätsmanagement?
Wie funktioniert das zentralisierte Identitätsmanagement?
Zentralisierte Identitätsstandards
Expand All | Collapse All

Identitäts- und Access-Management

 

Ein Identitäts-und Access-Management (IAM) sorgt dafür, dass bestimmte Personen auf bestimmte Ressourcen zu bestimmten Zeiten aus bestimmtem Anlass (Access-Management) zugreifen können.

 

Die Prozesse und Technologien des IAM erleichtern Unternehmen das Verwalten von Identitäten und die Kontrolle mit feinen Abstimmungen der Ebenen des Benutzerzugriffs. Diese Systeme helfen Unternehmen auch, sich den wechselnden Vorschriften zur Speicherung und zum Zugriff auf vertrauliche Informationen, wie sie z. B. bei medizinischen und Finanzdaten zur Anwendung kommen, anzupassen.

 

Die zentrale Bedeutung des IAM

 

Auf Führungskräften und IT-Abteilungen lastet ein verstärkter Druck hinsichtlich der Vorschriften und der Organisation, um den Zugriffs auf Unternehmensressourcen zu schützen. Häufige Herausforderungen, denen sich Unternehmen gegenübersehen, sind unter anderem:
 

  • Hinderliche Abläufe bei Registrierung und Zugriff 
    Hindernisse setzen allen Kundenbeziehungen ein Ende. Die Nutzer sind das Erstellen und Verwalten aller Ihrer Kombinationen von Benutzer-IDs und Passwörtern leid und brechen häufig Transaktionen ab, weil die Abläufe bei der Registrierung und Anmeldung zu umständlich sind. Der erste Eindruck zählt. Wenn die Nutzer bereits bei der Registrierung und Anmeldung eine personalisierte, einladende Erfahrung machen, werden sie viel eher mehr über das Unternehmen erfahren wollen. Wenn sie zum richtigen Zeitpunkt und auf angemessene Weise eingebunden und nicht mit Fragen überfrachtet werden, fühlen sie sich wohl, und mit einer möglichst natürlichen Art der Authentifizierung wächst die Wahrscheinlichkeit, dass sie die Website wieder besuchen. Das Angebot von Optionen zur passwortlosen Authentifizierung kann auch den Bedarf an Passwortrücksetzungen und Kontosperrungen verringern, so dass Unternehmen Zeit und Geld sparen.

  • Bedrohungen durch Datenschutzverletzungen 
    Es ist nicht einfach, Daten sicher und geheim zu halten. Die Kunden erwarten bei ihren Geschäften mit Unternehmen nicht nur eine angenehme persönliche Erfahrungen, sondern auch, dass diese Unternehmen ihre Daten vor Missbrauch schützen und ihre Privatsphäre wahren. Sie wollen wissen, wie ihre personenbezogenen Daten gesichert und übermittelt werden, und viele erklären, sie würden keine Geschäfte mit einem Unternehmen machen wollen, das ihre Daten nicht angemessen schützt oder ihre Privatsphäre nicht respektiert.

  • Das Erfüllen von Vorschriften und Compliance-Anforderungen 
    Die nicht enden wollende Liste der Datenschutzverletzungen und die wachsende Unzufriedenheit unter den Verbrauchern hatten eine explosionsartige Zunahme der Vorschriften im Bereich der Datensicherheit und Datenschutz zur Folge.

     

    Anhand dieser Vorschriften werden Unternehmen für den Schutz ihrer Daten zur Rechenschaft gezogen. Das Auslagern der Datenerfassung und -verarbeitung an Drittanbieter von Software as a Service (SaaS) entbindet Unternehmen nicht von ihrer Verantwortung, wenn es zu Datenschutzverletzungen kommt. Sie müssen im Auge behalten, welche Daten sie selbst und welche Daten ihre SaaS-Anbieter sammeln, wo diese Daten gespeichert werden, wer darauf zugreifen kann, wie lange sie aufbewahrt werden dürfen und wie sie sie löschen können, wenn sie dazu aufgefordert oder angewiesen werden.

  • Modernisieren älterer Infrastrukturen 
    Das Zusammenführen einer modernen IAM-Technologie mit den bestehenden älteren Infrastrukturen ist nicht immer einfach. Die neue Technologie muss sich nahtlos in vorhandenen Online-Ressourcen der Unternehmen einfügen, ohne dass eine fragmentarische oder mit den Marken unvereinbare Wirkung entsteht. Viele Unternehmen nehmen gleichzeitig die Verlagerung ihrer Ressourcen in die Cloud in Angriff. Sie arbeiten mit einer Kombination von Infrastruktur-Plattformen, wie zum Beispiel alte On-Premise- sowie private und öffentliche Cloud-Umgebungen und bemühen sich, Stabilität und Veränderung gegeneinander abzuwägen.

 

Für Unternehmen riskante Situationen

 

Unternehmen setzen ihre Strukturen, Kunden und Aktionäre unwissentlich einem Risiko aus, wenn folgenden Bedingungen vorliegen:
 

  • Selbstentwickelte, proprietäre Identitätslösungen 
    Es ist häufig zu beobachten, dass Unternehmen mit auf Abteilungs- oder Produktbasis selbst entwickelten, kundenorientierten Anwendungen arbeiten. Diese Anwendungen erfüllen ihren vorgesehenen Zweck zunächst recht gut, wenn sie aber nicht mehr ausschließlich in ihren eigenen Silos arbeiten können, treten Schwierigkeiten auf. Es kann sein, dass die Anwendungen den Datenaustausch mit einem Marketing-Tool (wie z. B. Marketo) oder einem CRM-Tool (Customer Relationship Management) wie Salesforce bewältigen müssen. Ab diesem Zeitpunkt ist es sinnvoll, nach Identitätslösungen zu suchen, die problemlos mit einer Vielzahl von Ressourcen verbunden werden können und eine breite Palette von Anwendungsfällen unterstützen.

  • Mehrere Endnutzer-Speicherorte 
    Die Existenz mehrerer Speicherorte kann unterschiedliche Gründe haben. Vielleicht gab es eine Fusion, oder eine neue Pilotanwendung, die eigentlich „nur probeweise“ entwickelt wurde, hat sich bahnbrechend durchgesetzt. Ganz gleich aus welchem Grund Daten an verschiedenen Speicherorten aufbewahrt werden, kann dies zu Problemen führen. Es ist schwierig, Daten und Benutzereinstellungen über einen einheitlichen Zugang verfügbar zu machen, sie über Anwendungen weiterzugeben und dabei die gesetzlichen Vorschriften einzuhalten, wenn sie an verschiedenen Orten gespeichert sind.

  • Fehlen einer konsistenten Authentifizierung und von Single Sign-on (SSO) 
    Wenn die Authentifizierung von Benutzern und das Speichern von Daten an mehreren verschiedenen Anwendungen hängen, können die Nutzer oft nicht einfach zwischen Anwendungen wechseln, ohne dabei mehrfach auf Authentifizierungsprozesse zu stoßen. Das SSO verbessert nicht nur den Komfort für die Benutzer, sondern verringert auch die Wahrscheinlichkeit, dass Hacker auf ihre Konten zugreifen.

  • Anwendungsbasierte Autorisierung oder Lösungen für die kontobasierte Zugangskontrolle 
    Das Fehlen einer konsistenten Authentifizierung ist vergleichbar mit dem Fehlen einer einheitlichen Autorisierung. Das Einhalten unternehmensweiter Autorisierungsrichtlinien kann schwerlich gewährleistet werden, wenn jedes Anwendungsteam für die Implementierung der eigener Zugriffsrichtlinien zuständig ist. Hier wäre die beste Lösung ein unternehmensweit einheitlicher Ansatz zur Absicherung des Zugriffs auf ähnliche Anwendungen.

  • Manuelle Bearbeitung von Kundeneinwilligungen 
    Viele Unternehmen haben eigene Systeme für die Bearbeitung von Online-Zustimmungen entwickelt. Diese Systeme funktionierten in ihrer Anfangszeit oft problemlos. Da jedoch pauschale Einwilligungen nicht mehr zulässig sind, wurden aus einer einzigen Einwilligung zehn. Es kann sehr zeitaufwändig sein, jede einzelne Einwilligung manuell zu bearbeiten und ordnungsgemäß abzuspeichern – damit wird die Zeit eines hochqualifizierten Entwicklungsteams nicht gerade optimal genutzt.

Best Practices für das IAM

 

Unternehmen, die Best Practices für das IAM nutzen, verfügen über die folgenden Komponenten:
 

  • Zentraler Speicher für Identitäten 
    Alle Identitäten, wie z. B. die von Partnern, Administratoren und Kunden, sind alle im gleichen Speicher abgelegt. Es macht keinen Sinn, sie künstlich zu partitionieren, denn Identitäten übernehmen häufig mehr als eine Rolle. So kann es zum Beispiel sein, dass ein Partner gleichzeitig auch Administrator und Endanwender ist. Das Einrichten eines einzigen gemeinsamen Speichers führt letztlich zu einer verbesserten und konsistenteren Benutzererfahrung und erleichtert das Verwalten von Identitäten, wenn sich die Rollen der Nutzer und ihre Beziehungen zum Unternehmen in Laufe der Zeit verändern.

  • Selfservice-Registrierung 
    Marketing-Kampagnen und digitales Werbematerial locken potenzielle Kunden auf die Website des Unternehmens, wo sie dazu motiviert werden, sich selbsttätig zu registrieren. Sie erstellen neue Konten, geben ihre Kontaktdaten an, und sind von dem Moment an stärker mit dem Unternehmen verbunden. Wenn Sie den Nutzern gestatten, bestehende Identitäten und soziale Logins für den Zugriff auf Websites zu nutzen, verbessern Sie ihr Online-Erlebnis, da sie nicht noch eine weitere Identität verwalten müssen.

  • Personalisierung und progressives Profiling 
    Nachdem sich ein Nutzer registriert hat, werden die meisten Unternehmen im Laufe des Wachstums der Beziehung weitere Daten über ihn sammeln. Diese Informationen beziehen sich häufig auf den Status und die Aktivitäten der Benutzer oder auf Kreditkarten und Lieferadressen beim Kauf von Artikeln. Hinweis: Informationen sollten wirklich nur dann gesammelt werden, wenn dies notwendig ist und die Verwendung der Daten bereits feststeht.

  • Profilverwaltung und Benutzereinwilligung als Selfservice-Funktionen 
    Unternehmen müssen beim Erfassen von Kundendaten verantwortungsbewusst handeln und etwa nur Daten erheben, die sie benötigen, und diese sicher speichern. Sie müssen offenlegen, welche Informationen sie erheben und wie sie verwendet werden, und sie müssen die ausdrückliche Einwilligung der Nutzer einholen, um die Weitergabe und Verwendung dieser Informationen zu regeln.

  • Passwortlose Authentifizierung 
    Den meisten Nutzern fällt es beim Zugreifen auf eine Anwendung leichter, ihren Fingerabdruck abzugeben oder in ein Mikrofon zu sprechen, als sich Passwörter zu merken und sie nachzuverfolgen. Die passwortlose Authentifizierung wird nicht nur häufig vorgezogen, sie ist auch sicherer. Die gesamte Kommunikation ist verschlüsselt, in vielen Fällen kommen dabei Standardverfahren der asymmetrischen Kryptographie (Public Key Cryptographie Standards) zum Einsatz, und die privaten Schlüssel verlassen nie die Geräte der Benutzer. Dies verringert die Wahrscheinlichkeit, dass sie bei der Übertragung abgefangen werden.

  • Kontextbezogene Authentifizierung 
    Mit kontextbezogener Authentifizierung können Unternehmen eine Vielzahl von Faktoren berücksichtigen, um beim Authentifizierungsversuch eines Nutzers das Risiko besser einschätzen zu können. Sie ermitteln, ob der Nutzer das jeweilige Gerät schon einmal benutzt hat, ob es als riskante IP-Adresse eingestuft wurde, wie viel Zeit seit der letzten Authentifizierung des Benutzers vergangen ist und welcher geografischen Region der Benutzer zugeordnet werden kann.

Ressourcen zu diesem Thema

Blog

Was ist Kundenidentitäts- und Zugriffsmanagement (CIAM)?

  

Leitfäden

Ultimativer Leitfaden: Identitäts- und Access-Management für Kunden (CIAM)

  

Webinar

Best Practices for Evaluating CIAM Providers

  

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.