IS a-t-il été une gestion de l'identité fédérée?

IS a-t-il été une gestion de l’identité fédérée?

Lucas Morel

Federated Identity Management Kann Nutzererfahrung und Sicherheit signifikant verbessen. Das Sollten Sie Zum Thema Wissen.

IM Kern der Enterprise Security Steht Die Zerreißprobe Zwischen Benutzerkomoft und Security-AnforderUngen. Dabei Handelt es sich um einen Balanceakt, der Regelmäßig auf Authentifizierungsebene AusgetraGen Wird und Sich Direkt auf das à bord- und anmeldeerlebnis auuswirkt. GEHT ES DARUM Diesen Konflikt Aufzulösen, Steht Federated Identity an Vorderster Front: Sie Kann Eine Gute Experience Bieten, Ohne Dabei Das Sicherheitsniveau Zu Beeinträchtigen.

Gestion de l’identité fédérée – Définition

Gestion de l’accès à l’identité (Iam) ist Der übergeordnete Bereich, dans les dems um digitale identitäten und zugriffsmanagement geht. Gestion de l’identité fédérée (Oder Förderiertes IdentitätsManagement) ist eine iam-kategorie, die darauf fokussiert, ein einziges authentifiantungsereignis sicher zu ermöglichen, um mehrere interaktionen oder den austausch von identitätsinformationen abzudecken. MIT Anderen Worten: Federated Identity Management (FIM) Ermöglicht Vielen Diensten, Eine Einzige digitale identität gemeinsam zu nutzen. Ein Beispiel für den Praktischen Einsatz von fim Wäre, Wenn Sie Sich Bei Twitter mit ihrem google-konto anmelden.

Föderietes Identitätsmanagement Kann der Benutzererfahrung, Der Allgemeinen Sicherheit und der AusfallSicherheit Zuträglich Sein. Dafür Gilt ES, Folgende Kompromisse Einzugehen:

  • Erhöhte Architektonische Komplexität,

  • Bindung an einen best -mmimmten anbieter und

  • Mögliche Servicekosten.

Federated Identity Management Wird Bisweilen MIT Single Sign-On (SSO) dans Einen Topf Geworfen. GenaU Genommenst ist sso Allerdings eine funktion von fim – und einer seiner wesentlichen utilisation cas, den wir im folgenden näher betrachten. Zuvor Noch Ein Hinweis: Das Thea Thea Identité autovereign (Oder Dezentral Identität) ist Wieder Eine Andere Baustelle.

Anwendungsfall (fédéré) unique sur

MAN Unterscheidet zwei arten von Single Sign-On: einerseits das, était für anwennungen innerhalb einer einzelnen organisation gilt, und andererseits das, était des organisations gilt en orgueille. Ersteres wird dans der Regel einfach als Single Sign-On Bezeichnet, Manchmal Auch als « Enterprise Single Sign-On ». Letzteres Fällt Unter den Begriff Federated Single Sign-On (FSSO).

Mourir de haut niveau-architektur, um beide sso-formen abzudecken, sieht folgendermaßen aus:

Der blick auf eine de haut niveau-sso-architektur.

Dans Jedem Fall Erfordert Federated Identity Management Eine Zentral Institution, Die Die Gemeinsamen Anmeldeinformationen Zwischen den verschiedenenen Dienstelt Vermittelt. Dabei Kann es sich um einen Manager Identity Manager Handeln, der:

  • Von der Organization Selbst Erstellt Wurde (Etwa Unter Verwendung von Active Directory), Oder

  • über Einen Identitätsanbieter dans Unterschiedlichem Umfang Bereittellt Wird.

Signature unique d’entreprise Deckt Oft Situationen AB, dans Denen Sich Mitarbeiter Mehrfach Bei Internen Systemen Anmelden Müssen, Beispsielsweise un SHR-Portal und it-TicketSystem. Dieses konzept birgt offensichtliche ux-, aber auch systemische problème, weil identitätsinformationen über hétérogène systeme verteilt werden. Dieser Umstand Beeinträchtigt die Sicherheit und erschwert es, Richtlien Durchzusetzen. Ainsi Müssen etwa Bei sur les eines hors-bord Mitarbeiters Gleich Zwei verschiedene Datenspeicher Geändert Werden.

Signature unique fédérée Ermöglicht die gemeinsame Nutzung von anmeldeinformationen über unternehmensgrenzen hinweg. Als solche stützt es sich in der Regel auf eine große, gut Etablierte einheit mit weitreichendem Trust – Beispsielsweise Google, Microsoft Oder Amazon. Selbst Eine Kleine Applikation Kann Relativ Einfach Um Die Option « Anmelden Bei Google » Ergänzt Werden und Den Nutzern Eine Einfache Anmeldemöglichkeit Bieten, Bei der Sensible Information in Den Händen Der Großen Organisation Bleiben.

Federated SSO Implevantieren

Der Aufbau Einer Federated SSO-Lösung Richtet Sich Nach den Jeweils Spezifischen andorderungen. Die Allgemeinen Schritte Sind Dabei Jedoch Identisch:

  • Fournisseur d’identité Einrichten: ENTWEDER, SIE STELLEN EINE Zentralisierte Identity Infrastructure Bereit Oder Sie Richten Ein Konto Bei Einem Federated-Identity-Anbieter Ein (Google, Microsoft, Okta). Auch Eine Möglichkeit: Sie Kreieren Eine Merchform.

  • Fournisseur mit anwendungsinformationen füttern: Ainsi, le fournisseur d’identité Konfigurieren Sie Den und Schaffen die Grundlage, Dass Sich Applikationen Mit dem anbieter Verbinden Können.

  • Fournisseur-Anmeldeinformationen Hinzufügen: Diese werden sie im nächsten Schritt Verwenden, um ihren anwentenngen mitzuteilen, wie sie sich authentifizeren sollen.

  • Applikationen Einrichten: Dans ihrem anwendungscode fügen sie abhängigkeiten für die authentifizierung und interaktion mit démo-proditer-service-service hinzu.

  • Neue Authentifizierung Integrieren: MIT DEM KONFIGURIGEN SSO-SERVICE HABEN Ihre Benutzer Eine Möglichkeit, Sich Zu Authentifizeren. Das Funktioniert auch dans «Transparent»: Anwendenngen Erkennen und Authentifizeren User mit einer en live-session bei einem anderen Service Automatisch.

Weil es eine einfache lösung ist, Entscheiden sich die meisten unternehmen heute für einen cloud identity fournisseur im ra rahmen eines saas-angebots – sowohl, wen es um Enterprise als auch wenn es um fédéré sso geht.

SSO-Protokolle Implevantieren

Für sso-interaktionen werden im wesentlichen drei protokolle verwendet: saml, oidc und oauth 2.0. Je Nachdem, Welches Protokoll Der von Ihnen Verwendete Identity-Anbieter UnterStützt, Werden Sie Eines Davon Verwenden, Um Die Sicheren token-Informationn Zwischen Ihren anwendunnsen Zu Eübermitteln. Jedes der Protokolle Stellt Einen Offennen Standard Dar, der auf Einen Besttimmten Anwendungsfall Ausgerichtet ist.

  • Saml IST EIN XML-Basiertes Protokoll, Das Häufig à Unternehmen Verwendet Wird, Um Enterprise Sso Zu Unterstützen Oder Um Zwischen Verschenenenenen Business-Service-Anbietern Hin- und HerzusPringen. Es kann auch für die allgemeine gemeinsame nutzung von identitäten verwendet werden, einschließlich fédéré SSO (le fournisseur d’identité de Der ininsofern Das Untertützt).

  • OAuth 2.0 Ist ein Authentifizierungsprotokoll, das die gemeinsame nutzung von ressourcendaten zwischen anbietern auf der grundlage der zustimmung des benutzers Ermöglicht. OAuth Fokussiert auf die gemeinsame nutzung der Authentifizierung Zwischen Diensten ohne die angabe von anmeldeinformationen.

  • OIDC (OpenID Connect) Stellt eine auf oauth 2.0 aufbauende schicht dar, die in der Regel für connexions sociales (etwa «se connecter avec github») Verwendet wird. Oidc enthält einige Erweiterungen gegenüber oauth, Einschließlich Identity Assertions, userInfo api und standard découverte – standardisierte mécanisme für die sichere bereitstellung und nutzung von identitätsinformationsen.

Diese Protokolle Kommen Einzeln Oder Im Kombination Mit Anderen Technologien Zum Einsatz. Ainsi, Können Beispielsweise JSON Web Token Verwendet Werden, Um OAuth 2.0 Token-Informationn dans Einem Sichereren Format Zu Kapseln.

Glücklicherwerweise ist der prozess zur implémentierg dieser protokolle umfassend doKumetert und wird von einer vielzahl von technologie-stacks unterstützt. Der Größte teil der arbeit wird durch abstraktionen auf höherer ebene dans Vielen Sprachen und frameworks gekapsell. Spring Security Bietet Beispielsweise SSO-unterStützung, Ebenso Wie Passport im Nodejs / Express-ökosystem. (FM)

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern