Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die grundlegenden Konzepte der Identitäts- und Zugriffsverwaltung (IAM) erläutert, die Ihnen dabei helfen, Ressourcen effektiv zu sichern.
Was ist Identitäts- und Zugriffsverwaltung?
Die Identitäts- und Zugriffsverwaltung stellt sicher, dass die richtigen Personen, Computer und Softwarekomponenten zur richtigen Zeit auf die richtigen Ressourcen zugreifen. Zunächst beweist die Person, der Computer oder die Softwarekomponente, das zu sein, für das sie/er sich ausgibt. Anschließend wird der Person, der Maschine oder der Softwarekomponente entweder der Zugriff auf bestimmte Ressourcen gewährt oder verweigert.
Was IAM tut
IAM-Systeme bieten in der Regel die folgenden Kernfunktionen:
- Identitätsverwaltung: Der Prozess zum Erstellen, Speichern und Verwalten von Identitätsinformationen. Identitätsanbieter (IdP) sind Softwarelösungen, die zum Nachverfolgen und Verwalten von Benutzeridentitäten sowie der Berechtigungen und Zugriffsstufen verwendet werden, die diesen Identitäten zugeordnet sind.
- Identitätsverbund: Ermöglichen Sie Benutzern, die bereits über Kennwörter verfügen (z. B. in Ihrem Unternehmensnetzwerk oder mit einem Internet oder einem Anbieter für soziale Netzwerke), auf Ihr System zuzugreifen.
- Bereitstellung und Entzug der Bereitstellung von Benutzern: Erstellen und Verwalten von Benutzerkonten, einschließlich der Angabe, welche Benutzer auf welche Ressourcen zugreifen können, und Zuweisung von Berechtigungen und Zugriffsebenen.
- Authentifizierung von Benutzern: Vergewissern Sie sich, dass ein Benutzer, ein Computer oder eine Softwarekomponente wer oder was er sein möchte.
- Autorisierung von Benutzern: Stellt sicher, dass einem Benutzer die genaue Ebene und art des Zugriffs auf ein Tool gewährt wird, auf das er anspruchsberechtigt ist.
- Zugriffssteuerung: Der Prozess der Ermittlung, wer oder was Zugriff auf welche Ressourcen hat. Dieser Prozess umfasst das Definieren von Benutzerrollen und Berechtigungen sowie das Einrichten von Authentifizierungs- und Autorisierungsmechanismen. Zugriffssteuerungen regeln den Zugriff auf Systeme und Daten.
- Berichte und Überwachung: Generieren Sie Berichte zu Plattformaktionen (z. B. Anmeldezeit, Zugriff auf Systeme und Authentifizierungsart), um die Einhaltung von Vorschriften sicherzustellen und Sicherheitsrisiken zu bewerten.
Identität
Eine digitale Identität ist eine Sammlung eindeutiger Bezeichner oder Attribute, die eine Person, Softwarekomponente, Maschine, Ressource oder Ressource in einem System darstellen. Ein Bezeichner kann folgendes sein:
- Eine E-Mail-Adresse
- Anmeldeinformationen (Benutzername/Kennwort)
- Eine Bankkontonummer
- Eine regierung ausgestellte ID
- Eine MAC-Adresse oder IP-Adresse
Identitäten werden verwendet, um den Zugriff auf Ressourcen zu authentifizieren und zu autorisieren, Kommunikation zu ermöglichen, Transaktionen zu erleichtern und anderen Zwecken zu dienen.
Identitäten werden in drei Typen unterteilt:
- Menschliche Identitäten stellen Personen dar, einschließlich Mitarbeiter (interne und Mitarbeiter in Service und Produktion) und externe Benutzer (Kunden, Berater, Lieferanten und Partner).
- Workloadidentitäten stellen Softwareworkloads wie eine Anwendung, einen Dienst, ein Skript oder einen Container dar.
- Geräteidentitäten stellen Geräte dar, einschließlich Desktopcomputern, Mobiltelefonen, IoT-Sensoren und ioT-verwalteten Geräten. Sie unterscheiden sich von menschlichen Identitäten.
Authentifizierung
Die Authentifizierung fordert eine Person, eine Softwarekomponente oder ein Hardwaregerät zur Angabe von Zugangsdaten auf, um ihre Identität zu verifizieren oder zu beweisen, dass die Angaben der Realität entsprechen. Für die Authentifizierung sind in der Regel Anmeldeinformationen wie Benutzername und Kennwort, Fingerabdrücke, Zertifikate oder einmalige Passcodes erforderlich. Authentifizierung wird manchmal verkürzt als AuthN bezeichnet.
Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) ist eine Sicherheitsmaßnahme, die benutzer dazu aufzwingen muss, mehr als einen Nachweis zur Überprüfung ihrer Identität bereitzustellen. Beispiele sind:
- Etwas, das sie kennen, z. B. ein Kennwort.
- Etwas, das sie haben, z. B. ein Abzeichen.
- Etwas, das sie sind, z. B. ein biometrischer Bezeichner (Fingerabdruck oder Gesicht).
Einmaliges Anmelden (Single Sign-On, SSO) ermöglicht Es Benutzern, ihre Identität einmal zu authentifizieren und sich später automatisch zu authentifizieren, wenn sie auf verschiedene Ressourcen zugreifen, die auf derselben Identität basieren. Nach der Authentifizierung fungiert das IAM-System als Identitätsquelle für andere Ressourcen, die dem Benutzer zur Verfügung stehen. Es entfällt die Notwendigkeit, sich bei mehreren, separaten Zielsystemen anzumelden.
Autorisierung
Die Autorisierung überprüft, ob dem Benutzer, dem Computer oder der Softwarekomponente Zugriff auf bestimmte Ressourcen gewährt wird. Die Autorisierung wird auch kurz als AuthZ bezeichnet.
Authentifizierung im Vergleich zu Autorisierung
Die Begriffe Authentifizierung und Autorisierung werden manchmal austauschbar verwendet, da sie häufig wie eine einzige Erfahrung für Benutzer erscheinen. Dabei handelt es sich eigentlich um zwei separate Prozesse:
- Mit der Authentifizierung wird die Identität von Benutzer*innen, Computern oder Softwarekomponenten nachgewiesen.
- Durch die Autorisierung wird den Benutzer*innen, Computern oder Softwarekomponenten der Zugriff auf bestimmte Ressourcen gewährt oder verweigert.
Hier finden Sie eine kurze Übersicht über Authentifizierung und Autorisierung:
| Authentifizierung | Autorisierung |
|---|---|
| Kann als ein Pförtner betrachtet werden, der nur denjenigen Zugang gewährt, die gültige Berechtigungsnachweise vorlegen | Kann als eine Wache betrachtet werden, die sicherstellt, dass nur diejenigen mit der entsprechenden Freigabe bestimmte Bereiche betreten können |
| Überprüft, ob ein Benutzer, ein Computer oder eine Software das ist, wofür er/sie sich ausgibt. | Bestimmt, ob der Benutzer, der Computer oder die Software auf eine bestimmte Ressource zugreifen darf. |
| Fragt den Benutzer, den Computer oder die Software nach Nachweisen (z. B. Kennwörter, biometrische Bezeichner oder Zertifikate). | Bestimmt, welche Zugriffsebene ein Benutzer, ein Computer oder eine Software hat. |
| Erfolgt vor der Autorisierung. | Erledigt nach erfolgreicher Authentifizierung. |
| Informationen werden in einem ID-Token übertragen. | Informationen werden in einem Zugriffstoken übertragen. |
| Verwendet häufig die OpenID Connect-(OIDC-) (auf dem OAuth 2.0-Protokoll basierend) oder SAML-Protokolle. | Verwendet häufig das OAuth 2.0-Protokoll. |
Ausführlichere Informationen finden Sie unter Authentifizierung im Vergleich zur Autorisierung.
Beispiel
Angenommen, Sie möchten die Nacht in einem Hotel verbringen. Sie können sich Authentifizierung und Autorisierung als Sicherheitssystem für das Hotelgebäude vorstellen. Benutzer sind Personen, die im Hotel bleiben möchten, und Ressourcen sind die Zimmer oder Bereiche, die die Personen verwenden möchten. Das Hotelpersonal ist ein weiterer Benutzertyp.
Wenn Sie im Hotel wohnen, gehen Sie zuerst zur Rezeption, um den "Authentifizierungsprozess" zu starten. Sie zeigen eine Identifikationskarte und Kreditkarte an, und der Empfangsist stimmt mit Ihrer ID gegen die Onlinereservierung überein. Nachdem der Empfangsmitarbeiter überprüft hat, wer Sie sind, gewährt ihnen der Empfangsmitarbeiter die Berechtigung, auf den Raum zuzugreifen, dem Sie zugewiesen sind. Sie erhalten eine Schlüsselkarte und können nun auf Ihr Zimmer gehen.
Die Türen zu den Hotelzimmern und anderen Bereichen sind mit Schlüsselkartensensoren ausgestattet. Das Wischen der Keycard vor einem Sensor ist der "Autorisierungsprozess". Mit der Keycard können Sie nur die Türen zu Räumen öffnen, auf die Sie zugreifen dürfen, z. B. Ihr Hotelzimmer und der Hotelübungsraum. Wenn Sie Ihre Schlüsselkarte durchziehen, um das Zimmer eines anderen Hotelgastes zu betreten, wird Ihnen der Zutritt verweigert.
Individuelle Berechtigungen, z. B. der Zugriff auf den Übungsraum und ein bestimmter Gastraum, werden in Rollen gesammelt, die einzelnen Benutzern gewährt werden können. Wenn Sie im Hotel übernachten, erhalten Sie die Rolle „Hotelgast“. Die Mitarbeiter des Hotelzimmerservice erhalten die Rolle „Hotelzimmerservice“. Diese Rolle erlaubt den Zutritt zu allen Gästezimmern des Hotels (allerdings nur zwischen 11 und 16 Uhr), zum Waschraum und zu den Abstellräumen auf jeder Etage.
Identitätsanbieter
Ein Identitätsanbieter erstellt, pflegt und verwaltet Identitätsdaten. Es bietet Authentifizierungs-, Autorisierungs- und Überwachungsdienste.
Mit moderner Authentifizierung werden alle Dienste, einschließlich Authentifizierungsdienste, von einem zentralen Identitätsanbieter bereitgestellt. Der Identitätsanbieter speichert und verwaltet Informationen, die zum Authentifizieren des Benutzers mit dem Server verwendet werden.
Mit einem zentralen Identitätsanbieter können Organisationen Authentifizierungs- und Autorisierungsrichtlinien einrichten, das Benutzerverhalten überwachen, verdächtige Aktivitäten identifizieren und böswillige Angriffe reduzieren.
Microsoft Entra ist ein Beispiel für einen cloudbasierten Identitätsanbieter. Weitere Beispiele hierfür sind Google, Amazon, LinkedIn und GitHub.
Nächste Schritte
- Erfahren Sie mehr über einmaliges Anmelden (Single Sign-On, SSO).
- Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung (MFA).