Authentifizierung und Identitäts-Management aus der Cloud statt Active Directory

Mithilfe von Cloud-Authentifizierung und -Identitäts-Management werden Services wie Active Directory einfacher und sie verbessern die Security.

Möglicherweise haben Sie wie viele andere Unternehmen auch Microsoft Active Directory im Einsatz, um den Angestellten...

eine Identifikationsmöglichkeit im Netzwerk zur Verfügung zu stellen. Bei korrekter Anmeldung gibt es entsprechende Berechtigungen. Heutzutage hat sich die Landschaft für Anwender und das Data Center allerdings gravierend geändert. Deswegen müssen Organisationen das Authentifizierungs- und Identitäts-Management neu gestalten, damit es den modernen Anforderungen entspricht.

Es gibt einige Faktoren, die sich auf die Möglichkeiten der Administratoren auswirken, Authentifizierungs- und Identitäts-Management-Services wie Active Directory (AD) vor Ort zu unterstützen. Heutzutage ist es keine Seltenheit, dass Mitarbeiter ein Gerät ohne Windows benutzen. Ebenso befinden sie sich möglicherweise nicht im Schutz des Unternehmens-Netzwerks oder eines VPN. Darüber hinaus verwenden viele Firmen Cloud-basierte Applikationen und Daten. In einigen Fällen hat man komplette Server aus dem Firmengelände in die Cloud migriert. Cloud-Infrastruktur-Provider wie Amazon Web Services (AWS) oder Microsoft Azure machen das möglich. Daten, Applikationen und Server könnten sich also in einer Misch-Umgebung aus öffentlicher und privater Cloud befinden.

Eine weitere grundlegende Veränderung ist die Authentifizierung selbst. Im Zeitalter von Regularien und möglichem Identitätsdiebstahl können sich Unternehmen nicht mehr länger auf eine schwache, auf Passwörtern basierende Einzel-Faktor-Authentifizierung verlassen, um damit kritische Daten abzusichern.

Diese Ressourcen befinden sich nicht mehr länger in abgesicherten Umgebungen und entsprechend muss man die Sicherheit verschärfen. Aus diesem Grund sollten Sie sich Cloud-basierte Optionen im Hinblick auf Authentifizierung und Identitäts-Management genauer ansehen. Cloud-Services können die Security verbessern und verringern gleichzeitig die Komplexität, die eine entsprechende Infrastruktur auf dem eigenen Firmengelände mit sich bringt. Nachfolgende Liste ist sicherlich nicht komplett. Allerdings sind es einige Beispiele zu verfügbaren Möglichkeiten und es befinden sich profilierte Anbieter darunter.

Google Account

Google Account ist ein Service, mit dem man sich nicht nur bei Google-Diensten wie Suche, Kalender oder GMail anmelden kann. Es lässt sich auch von anderen verwenden, um Zugriff auf eine Web-Applikation zu gewähren. Google Account verwendet den OpenID-Standard. Registriert sich eine Seite mit Googles Service, kann sie diesen als Vermittler für das Anmelden auf der Website verwenden. Anwender brauchen in diesem Fall ein gültiges Google-Konto. Authentifizierungen via Google Account lassen sich zusätzlich mit der Verwendung von MFA (Multifaktor-Authentifizierung) absichern.

Facebook

Der Facebook-Login-Service verknüpft eine Applikation mit dem Login-Dienst des populären sozialen Netzwerks. Genau wie Google Account verwendet auch Facebook Login den OpenID-Standard. Es unterstützt MFA, auch als Login Approvals bekannt, durch das Senden eines Codes via SMS.

Microsoft Azure

Durch Microsofts Cloud-Authentifizierungs- und Identitäts-Service wird klar, dass auch eine lokale Active-Directory-Infrastruktur eine helfende Hand benötigt. Das hat einfach mit dem Wachstum der durch die Cloud verbundenen Welt zu tun.

Der Service Azure Active Directory erlaubt es Unternehmen, einen Verbund mit dem internen Active-Directory-Wald zu erstellen. Somit können sie existierende Services behalten und diese mit Cloud-basierten erweitern. Großartige Störungen gibt es dabei nicht. Möglicherweise betreibt eine Firma Geschäfte mit anderen, die eine Identität auf den Systemen brauchen. Das kann entweder auf Azure oder lokal gehostet sein. In diesem Fall können Sie ADFS (Active Directory Federation Services) verwenden, um AD-Infrastrukturen zu verbinden. Komplizierte Trust-Verfahren bleiben damit außen vor. ADFS braucht außerdem kein Provisioning spezieller VPN-Verbindungen, damit die Directory-Server miteinander und sicher kommunizieren können.

Azure unterstützt außerdem Facebook- und Google-Authentifizierungs-Services als Alternativen, um Zugriff auf Azure-Server und -Applikationen zu gewähren.

Azure bietet Multifaktor-Authentifizierungs-Dienste an, die sich mit lokalem Active Directory, Azures Cloud-basiertem AD und/oder anderen Verzeichnis-Methoden wie zum Beispiel LDAP oder RADIUS nutzen lassen. Für Einsätze auf dem eigenen Firmengelände, stellt Azure einen downloadbaren MFA-Service zu Verfügung. Administratoren können diesen auf einem lokalen Server installieren.

Der Extra-Faktor des MFA-Service wird durch die Azure-Cloud bereitgestellt. Microsoft stellt native Apps für Geräte mit Android, iOS und Windows Phone zur Verfügung. Diese Apps generieren ein OTP (One Time Passwort), das der MFA-Service verwenden kann. Zu alternativen Optionen gehören eine SMS des OTP oder automatisierte Anrufe zu einer vertrauenswürdigen Telefonnummer. Der Anwender muss dann lediglich die Hash-Taste (Doppelkreuz) drücken, um den Anmeldevorgang zu vervollständigen.

Azure MFA ist für administrative Anwender im Abonnement enthalten. Reguläre Anwender können sich zwischen zwei Lizenz-Methoden entscheiden: Per Anwender ist eine Lizenz, die einem regulären Nutzer zugeordnet ist. Das könnte zum Beispiel ein Angestellter sein, der sich an jedem Arbeitstag anmeldet. Die andere Option ist pro Authentifizierung. Diese Lizenz eignet sich am besten für externe Anwender, die sich unregelmäßig anmelden.

Amazon Web Services (AWS)

Amazons Angebot nennt sich IAM (Identity und Access Management) und ist in AWS integriert. Zugriffs-Kontrolle, Berechtigungen und Authentifizierung läuft alles durch IAM in der AWS-Cloud. Wie sein Pendant Active Directory bringt IAM essenzielle Elemente der Zugriffskontrolle mit sich. Weiterhin gibt es Security-Gruppen für eine bessere Organisation. Sie können bei Anwendern darüber hinaus spezielle Berechtigungen für AWS-Funktionen festlegen.

Durch die Unterstützung des offenen SAML-Standards (Security Assurance Markup Language) arbeitet IAM mit anderen Verzeichnisdiensten zusammen. Viele Identitäts-Provider unterstützen SAML. ADFS kommuniziert direkt mit Active Directory und erlaubt es anderen SAML-konformen Services, sich damit zu verbinden. Das beinhaltet auch IAM. Folglich kann IAM Authentifizierungs-Nachweise von Active Directory nutzen.

IAM unterstützt auch Google- und Facebook-Identitäts-Services. Amazon hat kürzlich den eigenen und ähnlichen „Login with Amazon“-Dienst vom Stapel gelassen, mit dem IAM logischerweise auch umgehen kann.

IAM unterstützt Authentifizierung mithilfe von Schlüsselpaaren und digitalen X.509-Zertifikaten. Diese Methoden sind dann nützlich, wenn ein Programm ohne interaktiven Zugang, wie das bei einer Person der Fall ist, Zugriff auf einen AWS-Service braucht. Zusätzlich ist das komplexer als ein einfaches Passwort.

IAM bietet Multifaktor-Authentifizierungs-Möglichkeiten an, die jeder IAM-Anwender aktivieren kann. Zusätzlich stellt IAM Software- (virtuelle) und Hardware-MFA-Optionen zur Verfügung. Virtuelle MFAs beinhalten die App Google Authenticator für iOS-, Blackberry- und Android-Geräte. Hardware-Token für MFA können Sie über Gemalto kaufen. Diese Schlüssel-ähnlichen Geräte generieren einen sechsstelligen Zugriffs-Code und dafür benötigen Sie keine App. Im Gegensatz zu Microsoft Azure ist IAM MFA nicht bemessen und lässt sich ohne weitere Zusatzkosten nutzen.

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Web-Authentifizierung und Access-Control

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close