BLOG

Agilität erreichen: ID-Föderationsdienste

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 28. März 2016

Damals (ich spreche hier vom Jahr 2003, also technologisch weit zurück) gab es große Hoffnungen und Träume hinsichtlich einer nahtloseren Identitätsverwaltung. Damals kam die Security Assertion Markup Language (SAML) erstmals in Mode und fand zunehmend Anwendung bei der Bereitstellung von Identitäten, insbesondere bei der Implementierung von Single Sign-On (SSO)-Lösungen.

Die großen Sorgen galten damals den verwaisten Konten und der Vereinfachung der Passwortverwaltung. Wie Sie sich vielleicht erinnern, war dies das Zeitalter der Webifizierung und der SOA, als alles in eine Webanwendung umgewandelt wurde. Daher war es sinnvoll, einen webbasierten Standard einzusetzen, um die Herausforderungen des Identitätsmanagements zu bewältigen.

größte Herausforderung für die Hybrid Cloud soad16

Es stellt sich heraus, dass es auch jetzt Sinn macht.

Schließlich wird heute alles „cloudifiziert“. Das ist eigentlich nur eine nette Art auszudrücken, dass alle Ihre webbasierten Apps dorthin verlagert werden, in die „Cloud“. Die Herausforderungen bei Bereitstellung und Verwaltung (und der Vermeidung verwaister Konten oder unbefugter Zugriffe) konzentrieren sich mittlerweile nicht mehr nur auf interne Systeme, sondern auch auf extern gehostete (Cloud-basierte) Systeme.

Und das wird durch die Ergebnisse unserer Umfrage „State of Application Delivery“ 2016 bestätigt. Auf die Frage nach den Herausforderungen, mit denen die Befragten bei hybriden (Multi-)Cloud-Umgebungen konfrontiert sind, waren die beiden häufigsten Antworten das Fehlen von Analysefunktionen zur Ermittlung des Hostingorts einer bestimmten Anwendung (29 %) und das Fehlen einer umfassenden Lösung zur Identitätsverwaltung (29 %). Dies könnte der Grund dafür sein, dass – Trommelwirbel bitte – die Identitätsföderation (26 %) ganz oben auf der Liste der Dienste steht, die 2016 eingeführt werden sollen. 

Bei der Identitätsföderation handelt es sich im Grunde um die Reifung (oder Weiterentwicklung) der Lösungen, die die automatische Bereitstellung, Prüfung und Verwaltung der Identität innerhalb des Unternehmens unterstützen und auch externe Systeme (außerhalb des Unternehmens, in der Cloud) einbeziehen sollen. Die Lösung basiert auf einer „autoritativen Identitätsquelle“, ähnlich wie DNS, anhand derer app-spezifische Identitäten verwaltet werden können. Diese Quelle befindet sich fast immer vor Ort, da es sich um den (maßgeblichen) Identitätsspeicher des Unternehmens handelt.

Die Identitätsföderation nutzt dann SAML, um als Vermittler für Anwendungen außerhalb der Kontrolle der IT zu dienen, wie etwa SaaS. Der ID Federation-Dienst vermittelt zwischen Benutzern und den Apps, auf die sie zugreifen möchten, und stellt sicher, dass Bobs Identität beim Zugriff auf Office365 noch gültig und für den Zugriff auf die Anwendung autorisiert ist. Wenn nicht, ABGELEHNT. Andernfalls können Sie sicher sein, dass bald eine weitere Power Point-Präsentation auf dem Weg in Ihren Posteingang ist.

Laut Osterman Research ist sich die IT-Abteilung nicht der Notwendigkeit bewusst, ein Konto neun Tage lang zu sperren, nachdem ein Benutzer das Unternehmen verlassen hat . Sie fanden heraus, dass im Durchschnitt 5 % der Benutzer im Active Directory nicht mehr in der Organisation beschäftigt sind. Und ignorieren Sie auch nicht den „autorisierten“ Teil, denn das ist ein riskantes Geschäft, da die gleiche Untersuchung ergab, dass 19 % der Mitarbeiter jedes Jahr ihre Rolle oder Verantwortung wechseln, was wiederum ihre Zugriffsebene verändern kann.

ID Federation-Dienste können auch SSO-Funktionen bereitstellen. Beispielsweise kann ich mich bei unserem (F5) Remote-Portal anmelden, mich einmal anmelden und dann mithilfe der ID-Föderationsdienste automatisch eine Reihe verschiedener Webanwendungen starten – einige davon vor Ort und andere als SaaS. Ich melde mich einmal an und muss mich nicht mehr darum kümmern.

Und die IT-Abteilung weiß das auch nicht, weil sie meine Rolle, Zugriffsebenen und Gültigkeit anhand der maßgeblichen Quelle überprüft. Es ist immer auf dem neuesten Stand – nicht 9 Tage später –, da die Änderungen nicht über einen manuellen oder webgestützten Prozess verbreitet werden müssen. Das bedeutet nicht nur für mich eine Produktivitätssteigerung, sondern auch für die armen IT-Leute, die sonst den ganzen Tag herumsitzen und Änderungen anhand einer Excel-Tabelle überprüfen würden, die ihnen jemand bei SaaS-1 und SaaS-2 früher am Tag per E-Mail geschickt hatte. Und ja, so hat es tatsächlich funktioniert, bevor SAML zum De-facto-Standard für die ID-Föderation von SaaS der Unternehmensklasse wurde.

Aber bleiben Sie nicht in dem Glauben, SAML sei nur für „Benutzer“-Apps wie DropBox, SFDC und Office365. Darüber hinaus ist es ein äußerst wertvolles Tool für die Verwaltung der Cloud-basierten Systeme, auf die die IT Zugriff hat. Stellen Sie sich beispielsweise vor, Sie haben Leute, die Instanzen, Zugriff und Dienste in AWS verwalten. Dies geschieht (meistens) über das AWS-Verwaltungsportal. Ein Portal, das über einen ID-Föderationsdienst verwaltet werden kann .

Dieselben Gründe, aus denen Sie den Zugriff auf Office365 von einer zentralen, maßgeblichen Quelle aus regeln möchten, gelten auch für die Regelung des Zugriffs auf die Systeme, die Ihre Cloud-Infrastruktur verwalten. Sie möchten nicht, dass Leute, die nicht mehr beschäftigt sind, Zugriff auf dieses System haben, und Sie möchten auch nicht 9 Tage warten, bis der Zugriff gesperrt wird. Die Beseitigung des Risikos und die Verbesserung des Bereitstellungs-Workflows durch Integration und Automatisierung über SAML ist wie ein BOGO-Angebot (Buy One Get One) in Ihrem Lieblingsgeschäft.

ID Federation-Dienste verbessern nicht nur die Produktivität und verringern Risiken, sondern können auch die Betriebskosten senken, da bei jedem Ausscheiden einer Person aus dem Unternehmen oder bei einer Änderung der Rolle/Verantwortlichkeit die Durchführung kostspieliger manueller Prozesse (die einer Überwachung bedürfen) entfällt.

Diese Fähigkeit verbessert letztendlich die Agilität, was bedeutet, dass die IT besser in der Lage ist, Geschäftsinitiativen anzupassen, zu unterstützen und zu ermöglichen. Wenn die IT nicht mehr an langwierige manuelle Prozesse oder benutzerdefinierte Integrationen gebunden ist, kann sie Systemänderungen einfacher und schneller durchführen und die Konsistenz bei der Durchsetzung von Richtlinien sicherstellen, ohne dass dafür viele Hürden genommen werden müssen. Das bedeutet, dass Unternehmen Systeme und Apps nach Bedarf migrieren, hinzufügen und entfernen können, ohne dass die IT alle beweglichen Teile, die zur Gewährleistung der Compliance und des Zugriffs erforderlich sind, manuell „anschließen“ muss.

ID Federation-Dienste werden als Tool immer wertvoller, um den Benutzern mit SSO und föderiertem Zugriff nicht nur das Leben zu erleichtern, sondern auch die Agilität zu verbessern, Risiken zu reduzieren und die Betriebskosten für die Verwaltung der wachsenden Zahl von Apps zu senken, die wir täglich vor Ort und in der Cloud verwenden müssen.

Möchten Sie tiefer in die Details von SAML eintauchen? Schauen Sie sich diese Lightboard-Lektion zu SAML von unserem eigenen John Wagnon an.