Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung und Autorisierung sind zwei grundlegende Konzepte im Bereich der Informationssicherheit und des Zugriffsmanagements. Sie spielen eine wichtige Rolle bei der Sicherung von Systemen, Daten und Ressourcen, haben jedoch unterschiedliche Zwecke und Funktionen: Authentifizierung Die Authentifizierung bezieht sich auf den Prozess der Identifizierung einer Entität, um sicherzustellen, dass sie wirklich ist, wer sie vorgibt zu sein. Dieser Prozess dient dazu, die Identität einer Person, eines Benutzers oder eines Systems zu überprüfen. Typische Methoden der Authentifizierung sind Benutzername/Passwort, Fingerabdruckerkennung, Smartcards oder biometrische Identifikation. Nach erfolgreicher Authentifizierung erhält der Benutzer Zugriff auf das System oder die Ressourcen. Autorisierung Die Autorisierung ist der Prozess, bei dem nach der Authentifizierung festgelegt wird, welche Aktionen oder Ressourcen eine authentifizierte Entität nutzen darf. Dies hängt von den Rechten und Berechtigungen ab, die der Entität zugewiesen wurden. Autorisierung erfolgt auf der Grundlage von Richtlinien und Regeln, die definieren, was Benutzer oder Systeme tun dürfen. Zum Beispiel kann ein Benutzer nach der Authentifizierung autorisiert sein, Dateien zu lesen, aber nicht zu schreiben, oder er kann autorisiert sein, auf bestimmte Teile eines Systems zuzugreifen, aber nicht auf andere.

Was bietet SCIM für Vorteile?

SCIM steht für «System for Cross-domain Identity Management» und handelt es sich um einen offenen Standard für die Verwaltung von Identitäten in IT-Systemen. SCIM wurde entwickelt, um die Verwaltung von Benutzeridentitäten in verschiedenen Anwendungen und Diensten zu vereinfachen. Dieser Standard ermöglicht die Automatisierung der Benutzerverwaltung über verschiedene Domänen hinweg, was besonders in grossen Organisationen und in der Cloud-Computing-Umgebung von Vorteil ist. Grundkonzepte SCIM konzentriert sich auf die Verwaltung von Identitäten, einschliesslich Benutzern und Gruppen, in verteilten Systemen. SCIM ist ein offener Standard, der von der Internet Engineering Task Force (IETF) entwickelt wurde. Dadurch wird die Interoperabilität zwischen verschiedenen Systemen und Anbietern erleichtert. Ziele SCIM soll die Verwaltung von Benutzerkonten, deren Erstellung, Aktualisierung und Löschung in verschiedenen Anwendungen und Diensten vereinfachen. Der Standard wurde entwickelt, um sicherzustellen, dass verschiedene Systeme und Anbieter nahtlos zusammenarbeiten können, was die Integration von Anwendungen und die gemeinsame Nutzung von Benutzerdaten erleichtert. SCIM ermöglicht die Automatisierung von Identitätsverwaltungsaufgaben, was die Effizienz steigert und menschliche Fehler minimiert. Kernkonzepte SCIM definiert verschiedene Objekte, darunter Benutzer (User), Gruppen (Group) und Ressourcen (Resource). Benutzer und Gruppen sind die Hauptakteure in der Identitätsverwaltung. SCIM verwendet spezifische Endpunkte (Endpoints), um auf Benutzerdaten und Gruppendaten zuzugreifen. Dies erfolgt normalerweise über HTTP(S). SCIM unterstützt die CRUD-Operationen (Create, Read, Update, Delete) für Benutzer und Gruppen, was die Verwaltung von Identitäten erleichtert. Schema SCIM verwendet ein spezifisches JSON-Schema zur Definition der Datenstruktur für Benutzer und Gruppen. Dies erleichtert die Interoperabilität zwischen verschiedenen Systemen. Authentifizierung und Autorisierung Die Sicherheit und der Schutz von Benutzerdaten sind in SCIM von entscheidender Bedeutung. Die Authentifizierung und Autorisierung werden oft über OAuth oder andere Authentifizierungsmethoden sichergestellt. Verbreitung SCIM wird in verschiedenen Szenarien eingesetzt, darunter in Unternehmen zur Vereinfachung der Benutzerverwaltung, in Identity-as-a-Service (IDaaS)-Plattformen und in Cloud-Diensten zur Verwaltung von Benutzeridentitäten. Vorteile SCIM automatisiert die Identitätsverwaltung, wodurch administrative Aufwände reduziert werden. Durch die Automatisierung werden menschliche Fehler minimiert. SCIM ermöglicht die nahtlose Integration von Anwendungen und Diensten. SCIM ist skalierbar und eignet sich für Organisationen jeder Grösse.

Was ist Identity-as-a-Service (IDaaS)?

Identity-as-a-Service (IDaaS) ist ein Konzept und ein Service-Modell im Bereich des Identitäts- und Zugriffsmanagements (IAM), bei dem Unternehmen die Verwaltung von Benutzeridentitäten und Zugriffsrechten an einen externen Dienstleister auslagern. Hier sind einige häufig gestellte Fragen und Antworten zu IDaaS: 1. Was ist Identity-as-a-Service (IDaaS)? Identity-as-a-Service (IDaaS) ist ein cloudbasiertes Dienstleistungsmodell, bei dem Unternehmen die Verwaltung von Benutzeridentitäten, Authentifizierung und Zugriffskontrolle an einen Drittanbieter auslagern. Dieser Dienst ermöglicht es Unternehmen, Identitätsmanagement-Funktionen ohne umfangreiche interne Ressourcen bereitzustellen. 2. Warum ist IDaaS wichtig? IDaaS ist wichtig, da es Unternehmen ermöglicht, komplexe Identitäts- und Zugriffsmanagement-Aufgaben an Experten auszulagern. Dies erhöht die Sicherheit, reduziert die Kosten und ermöglicht es Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren. 3. Welche Funktionen bietet IDaaS in der Regel? IDaaS-Dienste bieten in der Regel Funktionen wie Benutzerverwaltung, Authentifizierung, Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA), Rollenbasierte Zugriffskontrolle (RBAC), Self-Service-Passwortrücksetzung und Berichterstellung. 4. Wie funktioniert IDaaS? IDaaS-Dienste werden in der Regel über das Internet bereitgestellt. Unternehmen abonnieren den Dienst und konfigurieren ihre Benutzerkonten, Sicherheitsrichtlinien und Zugriffsregeln über eine webbasierte Konsole. Benutzer können sich dann über eine sichere Verbindung authentifizieren und auf die benötigten Ressourcen zugreifen. 5. Welche Vorteile bietet IDaaS? Die Vorteile von IDaaS sind unter anderem: Schnelle Implementierung: IDaaS kann schnell eingerichtet werden, ohne umfangreiche interne Infrastrukturinvestitionen. Sicherheit: IDaaS-Anbieter verfügen oft über fortschrittliche Sicherheitsmassnahmen und regelmäßige Updates. Skalierbarkeit: Unternehmen können IDaaS-Ressourcen je nach Bedarf skalieren. Benutzerfreundlichkeit: IDaaS bietet oft eine benutzerfreundliche Oberfläche und eine bessere Benutzererfahrung. 6. Ist IDaaS sicher? Die Sicherheit von IDaaS hängt von der Wahl des Anbieters und der Implementierung ab. Seriöse IDaaS-Anbieter investieren erheblich in Sicherheit und Datenschutz, was es Unternehmen ermöglicht, hochsensible Daten sicher zu verwalten. 7. Welche Unternehmen sollten IDaaS in Betracht ziehen? IDaaS eignet sich für Unternehmen jeder Grösse und Branche, die ihre Identitäts- und Zugriffsmanagementprozesse verbessern und vereinfachen möchten. Besonders Unternehmen, die viele cloudbasierte Anwendungen nutzen, profitieren von IDaaS. 8. Kann IDaaS in bestehende IAM-Systeme integriert werden? Ja, IDaaS kann in bestehende IAM-Systeme integriert werden. Unternehmen können hybride Lösungen implementieren, bei denen einige Identitätsmanagement-Funktionen intern und andere über IDaaS bereitgestellt werden. 9. Welche Trends gibt es im Bereich IDaaS? Aktuelle Trends in IDaaS umfassen die Integration von künstlicher Intelligenz (KI) zur Erkennung von Sicherheitsbedrohungen, erweiterte Authentifizierungsmethoden und die Unterstützung für das Identitätsmanagement von IoT-Geräten. IDaaS ist eine wichtige Technologie für Unternehmen, die ihre Identitäts- und Zugriffsmanagementprozesse verbessern und gleichzeitig die Sicherheit erhöhen möchten. Es ermöglicht eine effiziente, sichere und skalierbare Verwaltung von Benutzeridentitäten und Zugriffsrechten in einer zunehmend digitalen Geschäftswelt.

Talus ersetzt individuelle IAM-Lösung durch CoreOne Plattform

Talus Informatik ersetzte ihre hochindividuelle IAM-Lösung durch die mandantenfähige CoreOne Plattform. Damit konnte das Unternehmen Berechtigungsprozesse standardisieren, automatisieren und die Grundlage für eine skalierbare Weiterentwicklung schaffen.

0+

verwaltete Nutzeridentitäten

0+

Kundenorganisationen auf einer Plattform

0x

skalierbare Plattformarchitektur

Von einer individuellen IAM-Lösung zur mandantenfähigen Plattform

Talus Informatik AG betreibt Identity & Access Management für zahlreiche Kundenorganisationen. Die eingesetzte Lösung wurde über Jahre hinweg stark individualisiert und entfernte sich zunehmend vom ursprünglichen Standardprodukt. Dadurch war sie nur noch eingeschränkt wartbar und verursachte hohe Aufwände bei Erweiterungen und kundenspezifischen Anpassungen.

Vor diesem Hintergrund suchte Talus nach einem neuen Hersteller und Integrator, um die bestehende IAM-Lösung durch eine zukunftsfähige Plattform abzulösen.

Unternehmen
Talus Informatik AG

Branche
IT-Dienstleister mit rund 150 Mitarbeitenden

Von einer individuellen IAM-Lösung zur mandantenfähigen Plattform

Vor diesem Hintergrund suchte Talus nach einem neuen Hersteller und Integrator, um die bestehende IAM-Lösung durch eine zukunftsfähige Plattform abzulösen.

Dinushan Loganayagam
Talus Informatik AG

Die Zusammenarbeit mit ITSENSE war geprägt von offenem Austausch und hoher Flexibilität. Gemeinsam konnten wir eine IAM-Plattform schaffen, die unsere Anforderungen langfristig erfüllt.

CoreOne als mandantenfähige IAM-Plattform

Talus entschied sich für die Einführung der CoreOne Suite (EIAM) als mandantenfähige IAM-Plattform, um die gewachsene Custom-Lösung durch eine standardisierte und skalierbare Architektur zu ersetzen.

Gemeinsam mit ITSENSE wurde eine Plattform aufgebaut, mit der mehrere Kundenorganisationen zentral verwaltet werden können. Standardisierte Rollenmodelle, automatisierte Genehmigungsprozesse und klar strukturierte Integrationen ermöglichen heute eine effiziente Verwaltung von Identitäten und Zugriffsrechten über zahlreiche Systeme hinweg.

IAM-Plattform für über 120 Organisationen und 6000 Identitäten

Mit der CoreOne Suite betreibt Talus heute eine mandantenfähige IAM-Plattform für über 120 Kundenorganisationen. Rund 6.000 Identitäten werden zentral verwaltet, während automatisierte Berechtigungs- und Genehmigungsprozesse den administrativen Aufwand deutlich reduzieren.

Schrittweise Einführung einer skalierbaren IAM-Plattform

Talus entschied sich bewusst für eine schrittweise Einführung der neuen IAM-Plattform, anstatt eines vollständigen Systemwechsels zu einem festen Zeitpunkt. Die einzelnen Kundenorganisationen wurden sukzessive auf die neue Plattform migriert, wodurch Risiken reduziert und Erfahrungen aus den ersten Implementierungen direkt in weitere Rollouts einfliessen konnten.

Dieses Vorgehen ermöglichte eine stabile Transformation bei gleichzeitig laufendem Betrieb und schuf die Grundlage für eine nachhaltige Skalierung. Auf Basis dieser Strategie erfolgte die Umsetzung in mehreren klar definierten Phasen.

Projektvorgehen & Umsetzung

Die Grundlage wurde in einem vorgelagerten Konzeptionsprojekt geschaffen. Talus und ITSENSE analysierten gemeinsam die bestehende IAM-Landschaft und definierten die Anforderungen.

Ziel war eine standardisierte und gleichzeitig flexible IAM-Architektur, die unterschiedliche Kundenorganisationen abbilden kann. Eine zusätzliche Anforderung war die dezentrale Verwaltung der jeweiligen Accounts der Kunden durch die unterschiedlichen IT-Verantwortlichen.

Definiert wurden:

IAM-Architektur auf Basis der CoreOne Suite
Rollen- und Berechtigungsmodell
Benutzer- und Genehmigungsprozesse
Struktur der mandantenfähigen Plattform
Integrationen bestehender Systeme
Einschränkung der UI-Funktionalitäten durch kundenspezifische Sicherheitsrollen
Versand von Eventbasierten Benachrichtigungen

Die Implementierung erfolgte iterativ über rund ein Jahr, um neue Funktionen kontrolliert zu testen und Risiken zu minimieren. Des Weiteren wurde der Kunde iterativ in die Administration der CoreOne Suite eingeführt. Dadurch wurde ein reibungsloser Übergang in den Betrieb ermöglicht. Zusätzliche wurde den IAM-Verantwortlichen der Talus AG ein breites Toolset an fachspezifischem Wissen übergeben.

Konfigurationen wurden zunächst in einem dedizierten Testsystem umgesetzt, validiert und anschliessend in die Produktivumgebung überführt. So konnte die Plattform kontinuierlich erweitert und gleichzeitig stabil betrieben werden.

Umgesetzt wurden unter anderem:

Grundkonfiguration der CoreOne Suite
Anbindung des Active Directories als Quellsystem
Kundenspezifische Personalisierung der Anwenderoberfläche
Aufbau der Mandantenstruktur
Einrichtung von Rollen- und Berechtigungsmodellen
Entwicklung automatisierter Eintritts-, Mutations-, Austritts- und Genehmigungsworkflows
Integration der deklarierten Ziel- und Umsysteme

Ein zentraler Bestandteil war die Integration bestehender Unternehmenssysteme in die neue IAM-Plattform.

Über Konnektoren und Workflow-Anbindungen wurden unter anderem folgende Systeme integriert:

Active Directory
Exchange
Abacus
Innosolve
SeppMail
Ticketing-System

Die Plattform fungiert damit als zentrale Steuerungseinheit für Identitäten und Zugriffsrechte. Benutzerkonten, Rollen und Berechtigungen werden automatisiert über definierte Prozesse erstellt, geändert und entfernt.

Die Plattform wird On-Premise bei Talus betrieben und bildet die zentrale IAM-Infrastruktur für interne Systeme sowie angebundene Kundenorganisationen.

Die mandantenfähige Architektur ermöglicht den Betrieb mehrerer Organisationen auf einer gemeinsamen Plattform bei klarer Trennung von Daten und Prozessen. Zusätzlich wird dadurch die Grundlage für eine bedarfsgerechte Skalierung geschaffen.

Neue Kunden können schneller integriert und Erweiterungen effizient umgesetzt werden – bei gleichzeitig reduziertem Aufwand für individuelle Anpassungen. Durch die während dem Projekt erfolgte Übergabe, kann der Kunde nun die zusätzlichen Integrationen anhand eines standardisierten Vorgehens selbstständig durchführen.

Herausforderungen und Learnings aus dem Projekt

Im Projektverlauf zeigte sich, dass die Anforderungen zu Beginn noch nicht in allen Bereichen klar definiert waren und teilweise erst im laufenden Projekt geschärft werden mussten. Gleichzeitig stellte die technische Komplexität der bestehenden Lösung sowie die begrenzte Verfügbarkeit von Testsystemen zusätzliche Herausforderungen dar, die eine enge Abstimmung und ein iteratives Vorgehen erforderlich machten.

Whitepaper

Erfahre, wie moderne Workflow Engines Berechtigungen, Genehmigungen und Integrationen effizient steuern.

Schrittweise Einführung der neuen IAM-Plattform

Die Einführung erfolgte schrittweise pro Kundenorganisation.

Zunächst wurden drei Kunden gemeinsam mit ITSENSE implementiert. Die restlichen Organisationen werden künftig von Talus eigenständig integriert.

Die Umsetzung erfolgte iterativ mit Test- und Produktionssystemen sowie kontinuierlichen Anpassungen während der Projektlaufzeit.

Willst du erfahren, wie du Identity and Access Management erfolgreich einführst?

Willst du erfahren, wie du Identity and Access Management erfolgreich einführst?

Willst du erfahren, wie du Identity and Access Management erfolgreich einführst?

Willst du erfahren, wie du Identity and Access Management erfolgreich einführst?

Talus ersetzt individuelle IAM-Lösung durch CoreOne Plattform

0+

verwaltete Nutzeridentitäten

0+

Kundenorganisationen auf einer Plattform

0x

skalierbare Plattformarchitektur

Von einer individuellen IAM-Lösung zur mandantenfähigen Plattform​

Von einer individuellen IAM-Lösung zur mandantenfähigen Plattform​

CoreOne als mandantenfähige IAM-Plattform

IAM-Plattform für über 120 Organisationen und 6000 Identitäten

Schrittweise Einführung einer skalierbaren IAM-Plattform

Projektvorgehen & Umsetzung

Herausforderungen und Learnings aus dem Projekt

Reduziere manuellen Aufwand und automatisiere deine IAM-Prozesse.

Schrittweise Einführung der neuen IAM-Plattform

Von einer individuellen IAM-Lösung zur mandantenfähigen Plattform

Von einer individuellen IAM-Lösung zur mandantenfähigen Plattform