Grundlegende Konzepte der Identitäts- und Zugriffsverwaltung (IAM)
Dieser Artikel enthält grundlegende Konzepte und Terminologie, die Ihnen helfen, die Identitäts- und Zugriffsverwaltung (IAM) zu verstehen.
Was ist Identitäts- und Zugriffsverwaltung (IAM)?
Die Identitäts- und Zugriffsverwaltung stellt sicher, dass die richtigen Personen, Computer und Softwarekomponenten zur richtigen Zeit Zugriff auf die richtigen Ressourcen erhalten. Zunächst beweist die Person, der Computer oder die Softwarekomponente, das zu sein, für das sie/er sich ausgibt. Anschließend wird der Person, dem Computer oder der Softwarekomponente der Zugriff auf oder die Verwendung bestimmter Ressourcen erlaubt oder verweigert.
Hier finden Sie einige grundlegende Konzepte, die Ihnen helfen, die Identitäts- und Zugriffsverwaltung zu verstehen:
Identity
Eine digitale Identität ist eine Sammlung eindeutiger Bezeichner oder Attribute, die einen Menschen, eine Softwarekomponente, einen Computer, ein Objekt oder eine Ressource in einem Computersystem darstellen. Ein Bezeichner kann folgendes sein:
- Eine E-Mail-Adresse
- Anmeldeinformationen (Benutzername/Kennwort)
- Bankkontonummer
- Amtlicher Ausweis
- MAC-Adresse oder IP-Adresse
Identitäten werden verwendet, um den Zugriff auf Ressourcen zu authentifizieren und zu autorisieren, mit anderen Menschen zu kommunizieren, Transaktionen durchzuführen und andere Zwecke zu erfüllen.
Auf hoher Ebene gibt es drei Arten von Identitäten:
- Menschliche Identitäten stellen Menschen wie Mitarbeiter (interne Mitarbeiter und Frontline-Mitarbeiter) und externe Benutzer (Kunden, Berater, Lieferanten und Partner) dar.
- Workloadidentitäten stellen Softwareworkloads wie eine Anwendung, einen Dienst, ein Skript oder einen Container dar.
- Geräteidentitäten stellen Geräte wie Desktopcomputer, Mobiltelefone, IoT-Sensoren und verwaltete IoT-Geräte dar. Geräteidentitäten unterscheiden sich von menschlichen Identitäten.
Authentifizierung
Die Authentifizierung ist der Prozess, bei dem eine Person, eine Softwarekomponente oder ein Hardwaregerät nach Anmeldeinformationen gefragt wird, um ihre/seine Identität zu überprüfen oder nachzuweisen, dass sie/es das ist, wofür sie/es sich ausgibt. Die Authentifizierung erfordert in der Regel die Verwendung von Anmeldeinformationen (z. B. Benutzername und Kennwort, Fingerabdrücke, Zertifikate oder Einmal-Passcodes). Authentifizierung wird manchmal verkürzt als AuthN bezeichnet.
Die Multi-Faktor-Authentifizierung (MFA) ist eine Sicherheitsmaßnahme, bei der Benutzer mehr als einen Beweis bereitstellen müssen, um ihre Identitäten zu bestätigen, z. B.:
- Etwas, das sie kennen, z. B. ein Kennwort.
- Etwas, das sie haben, z. B. ein Badge oder ein Sicherheitstoken.
- Etwas, das sie sind, z. B. ein biometrischer Bezeichner (Fingerabdruck oder Gesicht).
Mit dem einmaligen Anmelden (Single Sign-On, SSO) können Benutzer ihre Identität einmal authentifizieren und sich später automatisch authentifizieren, wenn sie auf verschiedene Ressourcen zugreifen, die auf derselben Identität basieren. Nach der Authentifizierung fungiert das IAM-System als Quelle der Identitätswahrheit für die anderen Ressourcen, die dem Benutzer zur Verfügung stehen. Es entfällt die Notwendigkeit, sich bei mehreren, separaten Zielsystemen anzumelden.
Autorisierung
Mit der Autorisierung wird überprüft, ob dem Benutzer, dem Computer oder der Softwarekomponente der Zugriff auf bestimmte Ressourcen gewährt wurde. Die Autorisierung wird auch kurz als AuthZ bezeichnet.
Authentifizierung im Vergleich zu Autorisierung
Die Begriffe Authentifizierung und Autorisierung werden manchmal synonym verwendet, da sie für Benutzer oft wie eine einzige Benutzeroberfläche erscheinen. Dabei handelt es sich eigentlich um zwei separate Prozesse:
- Mit der Authentifizierung wird die Identität von Benutzer*innen, Computern oder Softwarekomponenten nachgewiesen.
- Durch die Autorisierung wird den Benutzer*innen, Computern oder Softwarekomponenten der Zugriff auf bestimmte Ressourcen gewährt oder verweigert.
Hier finden Sie eine kurze Übersicht über Authentifizierung und Autorisierung:
| Authentifizierung | Autorisierung |
|---|---|
| Kann als ein Pförtner betrachtet werden, der nur denjenigen Zugang gewährt, die gültige Berechtigungsnachweise vorlegen. | Kann als eine Wache betrachtet werden, die sicherstellt, dass nur diejenigen mit der entsprechenden Freigabe bestimmte Bereiche betreten können. |
| Überprüft, ob ein Benutzer, ein Computer oder eine Software das ist, wofür er/sie sich ausgibt. | Bestimmt, ob der Benutzer, der Computer oder die Software auf eine bestimmte Ressource zugreifen darf. |
| Fragt den Benutzer, den Computer oder die Software nach Nachweisen (z. B. Kennwörter, biometrische Bezeichner oder Zertifikate). | Bestimmt, welche Zugriffsebene ein Benutzer, ein Computer oder eine Software hat. |
| Erfolgt vor der Autorisierung. | Erledigt nach erfolgreicher Authentifizierung. |
| Informationen werden in einem ID-Token übertragen. | Informationen werden in einem Zugriffstoken übertragen. |
| Verwendet häufig die OpenID Connect-(OIDC-) (auf dem OAuth 2.0-Protokoll basierend) oder SAML-Protokolle. | Verwendet häufig das OAuth 2.0-Protokoll. |
Ausführlichere Informationen finden Sie unter Authentifizierung im Vergleich zur Autorisierung.
Beispiel
Angenommen, Sie möchten die Nacht in einem Hotel verbringen. Sie können sich Authentifizierung und Autorisierung als Sicherheitssystem für das Hotelgebäude vorstellen. Benutzer sind Personen, die im Hotel bleiben möchten, und Ressourcen sind die Zimmer oder Bereiche, die die Personen verwenden möchten. Das Hotelpersonal ist ein weiterer Benutzertyp.
Wenn Sie im Hotel übernachten, gehen Sie zunächst zum Empfang, um den „Authentifizierungsprozess“ zu starten. Sie zeigen Ihren Personalausweis und Ihre Kreditkarte vor und der Empfangsmitarbeiter gleicht Ihren Ausweis mit der Online-Reservierung ab. Nachdem sich der Empfangsmitarbeiter vergewissert hat, wer Sie sind, erteilt er Ihnen die Erlaubnis, das Ihnen zugewiesene Zimmer zu betreten. Sie erhalten eine Schlüsselkarte und können nun auf Ihr Zimmer gehen.
Die Türen zu den Hotelzimmern und anderen Bereichen sind mit Schlüsselkartensensoren ausgestattet. Das Durchziehen der Schlüsselkarte vor einem Sensor stellt den „Autorisierungsprozess“ dar. Mit der Schlüsselkarte können Sie nur die Türen zu den Zimmern öffnen, zu denen Sie Zutritt haben, z. B. zu Ihrem Hotelzimmer und dem Fitnessraum des Hotels. Wenn Sie Ihre Schlüsselkarte durchziehen, um das Zimmer eines anderen Hotelgastes zu betreten, wird Ihnen der Zutritt verweigert.
Einzelne Berechtigungen, wie z.B. der Zutritt zum Fitnessraum und zu einem bestimmten Gästezimmer, werden in Rollen zusammengefasst, die einzelnen Benutzern zugewiesen werden können. Wenn Sie im Hotel übernachten, erhalten Sie die Rolle „Hotelgast“. Die Mitarbeiter des Hotelzimmerservice erhalten die Rolle „Hotelzimmerservice“. Diese Rolle erlaubt den Zutritt zu allen Gästezimmern des Hotels (allerdings nur zwischen 11 und 16 Uhr), zum Waschraum und zu den Abstellräumen auf jeder Etage.
Identitätsanbieter
Ein Identitätsanbieter erstellt und verwaltet die Identitätsinformationen und stellt gleichzeitig Authentifizierungsdienste bereit.
Bei der modernen Authentifizierung werden alle Dienste, einschließlich aller Authentifizierungsdienste, von einem zentralen Identitätsanbieter bereitgestellt. Informationen, die zum Authentifizieren des Benutzers beim Server verwendet werden, werden vom Identitätsanbieter zentral gespeichert und verwaltet.
Mit einem zentralen Identitätsanbieter können Organisationen Authentifizierungs- und Autorisierungsrichtlinien festlegen, das Benutzerverhalten überwachen, verdächtige Aktivitäten identifizieren und böswillige Angriffe vermeiden.
Microsoft Entra ID ist ein Beispiel für einen cloudbasierten Identitätsanbieter. Weitere Beispiele hierfür sind Twitter, Google, Amazon, LinkedIn und GitHub.
Nächste Schritte
- Weitere Informationen finden Sie unter Einführung in die Identitäts- und Zugriffsverwaltung.
- Erfahren Sie mehr über einmaliges Anmelden (Single Sign-On, SSO).
- Erfahren Sie mehr über Multi-Faktor-Authentifizierung (MFA).