Was ist föderierte Authentifizierung? Wie es die Sicherheit verbessert

Für viele Arbeitnehmer ist der Arbeitsplatz heute kein fester Ort mehr.

Es kann ein Büro, ein Wohnzimmer, ein Nahverkehrszug, ein Transatlantikflug oder irgendwo dazwischen sein. Mitarbeiter können von überall aus arbeiten, wenn sie über die richtige Technologie verfügen.

Ein erfolgreiches Work-from-anywhere-Modell bietet einfachen und sicheren Zugriff auf Daten, Apps und Systeme, die Mitarbeiter für ihre Arbeit benötigen, unabhängig von ihrem Standort oder Gerät.

Der Zugriff (womit sich die Mitarbeiter verbinden) und die Authentifizierung (wie die Mitarbeiteridentität beim Verbinden nachgewiesen wird) müssen benutzerfreundlich, produktivitätssteigernd, kosteneffizient und vor allem sicher sein.

Für Unternehmen, die eine „Work-from-anywhere“-Richtlinie verfolgen, bietet die föderierte Authentifizierung eine sichere, flexible Möglichkeit, den IT-Overhead zu reduzieren und die Mitarbeiterproduktivität zu steigern.

Bei der föderierten Authentifizierung entsperrt eine einzige digitale Identität den Zugriff eines Mitarbeiters auf verschiedene Dienste und authentifiziert ihn ohne zusätzliche Passwörter.

Was ist föderierte Authentifizierung?

Wie die meisten Menschen müssen Sie möglicherweise Dutzende, wenn nicht Hunderte von Passwörtern verwalten. Die formularbasierte Authentifizierung, bei der Sie einen Benutzernamen und ein Passwort für den Zugriff eingeben, ist eine kostengünstige, einfache und vertraute Methode für digitale Dienste, um einem Benutzer Zugriff zu gewähren.

Leider sind Passwörter auch ein Ärgernis für IT-Administratoren und Mitarbeiter gleichermaßen. Sie sind schwer zu erstellen, leicht zu vergessen und stellen ein erhebliches Sicherheitsrisiko dar. Schlecht verwaltete Passwörter verursachen 80 % der Datenschutzverletzungen.

Passwortabfragen stören auch den Arbeitsablauf eines Mitarbeiters und nehmen Zeit für wertschöpfende Aktivitäten. Einfach ausgedrückt sind herkömmliche Passwörter eine sehr ineffiziente, unzusammenhängende und unsichere Methode, um Mitarbeiter mit Arbeitsressourcen zu verbinden.

Die föderierte Authentifizierung definiert Benutzeridentitäten und den Zugriff auf digitale Dienste neu. Ein Benutzer hat eine einzige digitale Identität, die mit Datenpunkten erstellt wurde, die von einem Identitätsanbieter (IdP) verwaltet werden. Der Identitätsanbieter baut Vertrauen zu anderen Anwendungen und Diensten auf, während er eine einzige digitale Identität verwendet.

Mitarbeiter können dann auf Informationen in verschiedenen Domänen zugreifen, ohne sich jedes Mal neu anzumelden. Dies beseitigt nicht nur die Notwendigkeit wiederholter Anmeldungen und Passwörter, sondern verändert auch die Art und Weise, wie Mitarbeiter und IT-Teams mit digitalen Konten interagieren und den Zugriff darauf verwalten. Die föderierte Authentifizierung reduziert das Risiko von BYOD am Arbeitsplatz weiter.

Bei der föderierten Authentifizierung werden der Benutzerzugriff und die Authentifizierung zentral verwaltet. Alle Benutzeridentitäten werden in einer Datenbank namens Benutzerverzeichnis verwaltet. Dies verschafft der IT Einblick und Transparenz in die Identitäten der Mitarbeiter.

Beispielsweise entscheidet die IT, welche Datenpunkte benötigt werden, um Mitarbeiteridentitäten für maximale Sicherheit und Genauigkeit zu erstellen. Die föderierte Authentifizierung baut dann auf den im Benutzerverzeichnis verfügbaren Informationen auf und verknüpft diese Identität mit den digitalen Aktivitäten jedes Mitarbeiters.

Darüber hinaus können IT-Administratoren Richtlinien und Kontrollen darüber festlegen, was, wo und wann Benutzer auf Daten zugreifen können. Sie können Mitarbeitern jederzeit Zugriff gewähren oder entziehen, wenn Mitarbeiter dem Team beitreten oder für einen anderen Job gehen. Eine zentral verwaltete Identität kann den Zugriff auf Daten, Apps und Ressourcen freischalten, die Mitarbeiter täglich verwenden.

All diese zusätzlichen Sicherheitsebenen erhöhen die Belastung der Mitarbeiter nicht. Die föderierte Authentifizierung vereinfacht die Benutzeranmeldung, indem Anmeldeaufforderungen und Passwörter eliminiert werden.

Eine Reihe von Anmeldeinformationen reicht aus, um die Identität eines Benutzers festzustellen. Für Mitarbeiter bedeutet föderierte Authentifizierung weniger Aufwand und schnelleren Zugriff.

Komponenten der föderierten Identität

Die föderierte Authentifizierung hilft beim Aufbau von Beziehungen zwischen verschiedenen Technologieanbietern und ermöglicht die automatische Identifizierung und den Benutzerzugriff.

Mitarbeiter müssen beim Besuch eines neuen Dienstleisters keine separaten Benutzernamen und Passwörter mehr eingeben. Die föderierte Authentifizierung arbeitet hinter den Kulissen, um festzustellen, wer der Benutzer ist und worauf er Zugriff haben sollte.

Ein Identitätsanbieter (IdP) stellt die Identität eines Benutzers her und stellt eine Verbindung zu einem Dienstanbieter (SP) her. Ein Sicherheitsprotokoll, Security Assertion Markup Language (SAML), authentifiziert dann den Benutzer.

Identitätsanbieter

Identitätsanbieter (IdP) ist ein Technologiesystem, das Identitätsinformationen erstellt, pflegt und verwaltet. Mit anderen Worten, ein Identitätsanbieter stellt die Identitäten der Benutzer und die Details fest, aus denen diese Identitäten bestehen.

Diese Details können den Namen, die E-Mail-Adresse, den Standort, den Geräte- oder Browsertyp eines Mitarbeiters oder sogar biometrische Informationen wie Fingerabdruckdaten umfassen.

In der Regel verwalten IT-Teams Benutzeridentitäten in ihrem Netzwerk zentral, einschließlich aller Mitarbeiter, Auftragnehmer, Anbieter oder Kunden, die einen Identitätsanbieter verwenden.

Im Idealfall sollte die IT immer wissen, wer Zugriff auf verschiedene Dienste benötigt, und sicherstellen, dass nur diese Benutzer Zugriff haben. Diese Art der zentralen Steuerung und Verwaltung ist jedoch nur möglich, wenn ein Cloud-Verzeichnisdienst vorhanden ist und als Identitätsanbieter genutzt oder mit einem externen Identitätsanbieter verbunden wird.

Richtlinien und Sicherheitskontrollen ermöglichen es der IT, Benutzerzugriffsverfahren über den Identitätsanbieter hinweg zu standardisieren. Das bedeutet, von einem zentralen Dashboard mit einfach konfigurierbaren Optionen aus zu steuern, welche Benutzer auf bestimmte Apps oder Dienste zugreifen können, und den Zugriff basierend auf Zeit, Standort, Dienstalter, Abteilung oder anderen relevanten Datenpunkten zu blockieren.

Wenn ein Identitätsanbieter vorhanden ist, kann die IT das föderierte Identitätsmanagement verwenden, um den Identitätsanbieter ihres Unternehmens und die von ihren Mitarbeitern verwendeten Dienstanbieter zu verbinden.

Anstatt ein Konto bei einem Dienstanbieter zu erstellen, verknüpft der Identitätsanbieter die Mitarbeiteridentität mit dem Dienstanbieter im Backend. Einmal aktiv, können Benutzer ihre Identität ohne redundante Anmeldungen von Dienst zu Dienst "tragen".

Wenn ein Benutzer auf einen externen Dienst zugreifen möchte, "vergleicht" der Dienstanbieter die Identität und den Zugriff mit dem Identitätsanbieter. Wenn alles in Ordnung ist, authentifiziert der IdP den Benutzer über SAML.

SAML

Security Assertion Markup Language (SAML) ist ein offener Föderationsstandard, der es einem Identitätsanbieter ermöglicht, Benutzer im Auftrag eines Dienstanbieters domänenübergreifend zu authentifizieren.

Das gemeinnützige Technologiekonsortium OASIS hat SAML entwickelt. Es gibt es seit fast zwei Jahrzehnten und es ist ein weit verbreiteter und sicherer Authentifizierungsstandard.

Im Wesentlichen überträgt SAML Identitätsinformationen sicher zwischen einem Identitätsanbieter und einem Dienstanbieter. Der Dienstanbieter verlässt sich darauf, dass der Identitätsanbieter die Identität eines Benutzers überprüft und den Authentifizierungsprozess abschließt.

Sobald die "Prüfung" abgeschlossen ist, lädt der Dienstanbieter das Konto für den Benutzer. Der Dienstanbieter vertraut darauf, dass der Identitätsanbieter weiß, wer der Benutzer ist und worauf er zugreifen kann. SAML erleichtert diese Vertrauensbeziehung zwischen den beiden Entitäten.

Wie funktioniert die föderierte Authentifizierung?

SAML ermöglicht Mitarbeitern einen Satz von Anmeldeinformationen für den Zugriff auf verschiedene Domänen. Es reduziert den Anmeldeprozess auf eine anfängliche Anmeldung (beim Identitätsanbieter), sodass nachfolgende Anmeldungen (bei Dienstanbietern) automatisch erfolgen.

Diese Schritte erfolgen fast augenblicklich und erfordern keine Benutzereingabe. Wenn ein Benutzer noch keine aktive Sitzung mit dem Identitätsanbieter hat, fordert ihn der IdP auf, sich mit seinen föderierten Authentifizierungsdaten anzumelden. Die föderierte Authentifizierung macht den gesamten Prozess nahtlos.

Föderierte Authentifizierung vs. SSO

Die föderierte Authentifizierung mag sehr nach Single Sign-On (SSO) klingen, bei dem ein Satz von Anmeldeinformationen den Zugriff auf mehrere Dienste ohne Passwörter freischaltet. Verbundauthentifizierung und SSO unterscheiden sich jedoch erheblich in der Identitätsverwaltung.

Föderierte Authentifizierung und SSO spielen unterschiedliche Rollen bei der Erleichterung des Mitarbeiterzugriffs in einem standortunabhängigen Büromodell. Unternehmen können beide Technologien nebeneinander nutzen, um die Mitarbeitereffizienz und das IT-Verwaltungsmanagement zu maximieren.

SSO verstehen

Ähnlich wie bei der föderierten Authentifizierung gewährt SSO autorisierten Benutzern Zugriff auf Dienste mit einem Satz Anmeldeinformationen, der auf der Identität und den Berechtigungen eines Benutzers basiert. Darüber hinaus ermöglichen SSO-Anbieter Benutzern den gleichzeitigen Zugriff auf mehrere Web-Apps.

Eine Möglichkeit, SSO zu visualisieren, besteht darin, sich bei Google Mail anzumelden und dann gleichzeitig YouTube, Google Drive und Google Fotos in neuen Tabs zu öffnen, ohne sich erneut anzumelden.

Sie werden im Wesentlichen hinter den Kulissen mit denselben Anmeldeinformationen wie bei der ersten Anmeldung erneut authentifiziert. Ihre Identität bleibt in allen Apps gleich. SSO ist eine Möglichkeit für Sie, eine Anmeldesitzung über mehrere Dienste hinweg zu führen.

Die Verwendung derselben Anmeldeinformationen für den Zugriff auf alle Ihre Konten kann wie ein Sicherheitsrisiko erscheinen. Und es wäre, wenn Sie einen Benutzernamen und ein Passwort für jede Anmeldung wiederverwenden würden. SSO verwendet jedoch ein sicheres Protokoll wie SAML, um einen Benutzer sicher zu authentifizieren. Dies funktioniert am besten bei der Entwicklung einer Identitäts- und Zugriffsverwaltungsstrategie mit SSO.

Wenn Mitarbeiter ein einziges Passwort verwenden, um auf alle ihre Web-Apps zuzugreifen, identifiziert SAML Anmeldeinformationen, um ihre Anmeldung abzuschließen. Dies ist tatsächlich ein Sicherheitsschub, da SAML weitaus sicherer ist als kurze, einfache, wiederverwendete und leicht zu erratende Passwörter.

Verstehen des Unterschieds zwischen föderierter Authentifizierung und SSO

Wie genau unterscheiden sich föderierte Authentifizierung und SSO?

Sowohl föderierte Authentifizierung als auch SSO authentifizieren Benutzer mit einem sicheren Protokoll wie SAML. Und wie bei der föderierten Authentifizierung reduziert SSO den Mitarbeiterzugriff auf ein Anmeldeereignis, wonach sie sich sofort ohne weitere Anmeldeaufforderungen mit anderen Diensten verbinden.

Die Zugriffsreichweite ist das Hauptunterscheidungsmerkmal zwischen den beiden. SSO ermöglicht einem einzigen Berechtigungsnachweis den Zugriff auf verschiedene Systeme innerhalb einer Organisation, während die föderierte Authentifizierung einen einzigen Zugriff auf mehrere Systeme bietet.

Mit anderen Worten, SSO autorisiert eine einmalige Anmeldung bei verschiedenen Systemen in einer Organisation. Die föderierte Authentifizierung ermöglicht den Zugriff auf verschiedene Anwendungen in verschiedenen Unternehmen.

Organisationen können auch die föderierte Authentifizierung verwenden, um auf einen Cloud-SSO-Anbieter zuzugreifen und die Vorteile beider zu nutzen. Wenn ein Unternehmen beispielsweise Microsoft ADFS als föderierten Identitätsanbieter verwendet, können sich Benutzer mit ihren ADFS-Anmeldeinformationen bei einem Cloud-SSO-Dienstanbieter authentifizieren.

Sobald der Benutzer beim Cloud-SSO-Anbieter angemeldet ist, kann er jede Web-App ohne zusätzliche Anmeldungen starten und sofort darauf zugreifen. Der föderierte Authentifizierungsdienst verwaltet die Identität eines Benutzers gegenüber seinem SSO-Dienstanbieter, und der SSO-Dienstanbieter erleichtert den Zugriff des Benutzers auf alle anderen Cloud-Dienste.

Anwendungsfälle und Vorteile der föderierten Authentifizierung

Alle Bemühungen, den Benutzerzugriff an einem Arbeitsplatz zu optimieren, müssen die Datensicherheit maximieren und Reibungsverluste minimieren. Wenn Mitarbeiter ihre Computer oder andere Geräte einschalten, möchten sie sofort eine Verbindung zu den Daten/Apps/Diensten herstellen, die sie benötigen.

Ebenso möchten IT-Administratoren den Arbeitsplatz schnell und bequem zugänglich machen, aber Standardisierung und Kontrolle sind von größter Bedeutung. Aus diesem Grund kommt die föderierte Authentifizierung sowohl Benutzern als auch Administratoren zugute.

Föderierte Authentifizierung für Benutzer

Mit föderierter Authentifizierung profitieren Benutzer von Automatisierung und Geschwindigkeit.

Benutzer können den Zugriff auf Systeme und Ressourcen ohne zusätzliche Anmeldeinformationen freigeben. Infolgedessen verbringen die Mitarbeiter weniger Zeit mit dem Erstellen und Eingeben von Anmeldeinformationen, was zu weniger Frustration im Laufe des Arbeitstages führt.

Mitarbeiter erleben auch weniger Unterbrechungen durch Anmeldeaufforderungen, was einen schnelleren Zugriff auf die Informationen bedeutet, die zum Erledigen von Aufgaben benötigt werden. Dies verbessert die Kommunikation und steigert die Produktivität.

Mitarbeiter können sich auch darauf verlassen, dass sie die genehmigten Sicherheitsprotokolle des Unternehmens befolgen, ohne sich in komplexen Regeln und langwierigen Sicherheitsprüfungen zu verzetteln. Die föderierte Authentifizierung bietet einen effizienteren, reibungsloseren Benutzerzugriff, ohne die Sicherheit zu opfern.

Föderierte Authentifizierung für Administratoren

Die föderierte Authentifizierung eliminiert redundante Daten und Systeme für Administratoren, reduziert die Kosten für den IT-Support und erhöht die Informationssicherheit.

Wenn die IT Benutzeridentitäten in einem zentralen Benutzerverzeichnis verwaltet, kann sie Richtlinien und Kontrollen verwenden, um die Sicherheit im gesamten Unternehmen zu standardisieren.

Die IT kann beispielsweise dieselben Zugriffs- und Authentifizierungsrichtlinien auf alle Benutzer anwenden. Es kann auch Richtlinien basierend auf der Rolle, der Abteilung, dem Standort, dem Gerät und anderen detaillierten Details eines Benutzers anpassen.

Die föderierte Authentifizierung konsolidiert die Zugriffsverwaltung, indem unterschiedliche Systeme miteinander verbunden werden und Benutzern über diese Systeme hinweg eine einheitliche Identität gegeben wird. Dies hilft der IT, ein zentrales Repository als „Quelle der Wahrheit“ für den Mitarbeiterzugriff zu entwickeln und zu pflegen.

Das Eliminieren von Passwörtern reduziert auch die Arbeitsbelastung eines IT-Teams. Das Bereitstellen und Zurücksetzen von Benutzerkonten macht einen erheblichen Teil der Arbeitsbelastung aus. Da weniger Passwörter erstellt und verwaltet werden müssen, setzt die föderierte Authentifizierung IT-Ressourcen für höherwertige Projekte frei.

Weniger Passwörter bedeuten auch eine reduzierte Angriffsfläche und ein geringeres Risiko von Datenschutzverletzungen. Herkömmliche Passwörter stellen eine erhebliche Sicherheitsbedrohung dar; Sie sind vergleichsweise leicht zu stehlen, zu erraten oder zu knacken. Die föderierte Authentifizierung hilft der IT, Schwachstellen zu beseitigen, indem Kennwörter durch sichere Protokolle wie SAML ersetzt werden.

Bleiben Sie mit Leichtigkeit sicher

Verbundauthentifizierung bietet Benutzern, IT-Teams und Organisationen viele Vorteile. Es hilft Organisationen, einfachen Zugriff mit Sicherheit in Einklang zu bringen. Die Implementierung der föderierten Authentifizierung kann eine Investition von Zeit und Ressourcen sein, aber Unternehmen können mit automatisiertem Identitätsmanagement auf lange Sicht Zeit und Geld sparen.

Der Aufbau einer soliden Grundlage für föderiertes Identitätsmanagement versetzt IT-Teams in die Lage, die Anforderungen eines sich entwickelnden Arbeitsplatzes zu erfüllen und das Risiko von Sicherheitsverletzungen zu reduzieren. Erfahren Sie mehr darüber, was während einer Datenschutzverletzung zu tun ist.