Verbundidentität ist eine Methode, bei der die Identity eines Benutzers über mehrere getrennte Identity-Management-Systeme hinweg verknüpft wird. Dadurch können Benutzer schnell zwischen den verschiedenen Systemen wechseln, ohne dass bei der Sicherheit Abstriche gemacht werden müssen. Der Ansatz, bei dem mit Verbundidentitäten gearbeitet wird, wird als Identitätsverbund bezeichnet.

Verwendung von SSO-Techniken

Ein durchschnittlicher Mitarbeiter muss 191 Passwörter verwalten und aktualisieren – und gleichzeitig wichtige Aufgaben erledigen, das Familienleben meistern und Finanzen schützen. Die Wiederverwendung von Passwörtern scheint ziemlich harmlos und eventuell sogar hilfreich. Fakt ist jedoch, dass dadurch erhebliche Sicherheitsrisiken entstehen.

Hier kommen SSO-Techniken (Single Sign-On) ins Spiel. Wenn eine Identity verifiziert wurde, kann der Benutzer von einem System zum nächsten wechseln, ohne sich jedes Mal erneut anmelden zu müssen.

Verbundidentitäts-Management unterstützt SSO, geht jedoch noch einen Schritt weiter.

Unternehmen, die in Identitätsverbund-Lösungen investieren, stimmen einer Reihe von gemeinsamen Grundsätzen zu. Damit wird gewährleistet, dass Benutzer schnell zwischen den verschiedenen Systemen wechseln können, ohne die Sicherheit zu gefährden.

Verbundidentität und Authentifizierung

Ihre digitale Identität (Identity) besteht aus Attributen, die Sie in der digitalen Umgebung eindeutig definieren. Beim Identitätsverbund-Ansatz sprechen sich mehrere Entitäten über die Definition und Verwendung dieser Attribute ab. Durch diese Vereinbarungen können Sie sich an einer Stelle anmelden und dann zu einer anderen Ressource wechseln, ohne sich erneut anmelden zu müssen.

Der Begriff Identitätsverbund ist ein generischer Begriff und kann auf mehrere Arten von Unternehmen, Plattformen und Protokollen angewendet werden. Unternehmen, die Identitätsverbund-Produkte anbieten, nutzen Technologien, die andere verstehen und nutzen können. Dadurch können Plattformen kommunizieren und Identities gemeinsam nutzen, ohne eine weitere Anmeldung zu verlangen.

Identitätsverbund-Systeme müssen sieben sogenannte Laws of Identity einhalten:

1. Benutzerkontrolle und Consent: Benutzer gewähren die Berechtigung, Daten weiterzugeben und haben zumindest teilweise Einfluss darauf, wie diese Weitergabe erfolgen darf.

2. Minimale Offenlegung: Die kleinstmögliche Menge an personenbezogenen Informationen wird weitergegeben. Diese Daten werden sicher gespeichert und schnell gelöscht.

3. Rechtfertigung: Nur Parteien, die einen Bedarf nachweisen können, dürfen darauf zugreifen.

4. Ausgerichtete Identity: Der Schutz der Identity steht an erster Stelle, daher sollten Benutzern zur Datenweitergabe private Identifikatoren zugewiesen werden. Dadurch können Unternehmen nicht zusammenarbeiten, um einen permanenten Blick auf Personen zu erhalten, die mehrere Plattformen nutzen.

5. Wettbewerb: Es sollten viele Identity-Anbieter unterstützt werden, da Wettbewerb zu besserer Leistung führt.

6. Menschliche Integration: Eine echte Person ist in den Prozess involviert, um das Risiko von Hacks zwischen Computern zu reduzieren.

7. Konsistenz: Der Benutzer profitiert von einer einfachen, konsistenten User Experience auf allen Plattformen.

Machen Sie sich mit diesen Konzepten vertraut, um das Prinzip der Verbundidentität besser zu verstehen. Praktisch jeder Benutzer hat diesen Prozess inzwischen schon mindestens einmal verwendet. Wenn Sie sich bei Google angemeldet haben und anschließend zu einer Website mit geschützten Informationen gewechselt sind, ohne sich erneut anmelden zu müssen, sind Sie dem Prinzip der Verbundidentität begegnet. 

Wie funktioniert die Authentifizierung im Identitätsverbund?

Verbundidentitäts-Management ist von starken Vereinbarungen abhängig. Identity-Anbieter und Service Provider definieren genau, welche Attribute (z. B. Ihr Standort oder Ihre Telefonnummer) Ihre digitale Identität ausmachen. Sobald diese Eigenschaften (die Anmeldedaten) verifiziert wurden, sind Sie für mehrere Plattform authentifiziert.

Zu den gängigen Technologien beim Verbundidentitäts-Management gehören:

• Security Assertion Markup Language (SAML)
• OAuth 
• OpenID

Unternehmen können auch Sicherheitstoken wie JWT (JSON Web Token) und SAML-Assertions verwenden, um Berechtigungen von einer Plattform auf eine andere weiterzugeben.

Ein Beispiel hierfür ist der Verbundidentitätsprozess von Google mit OAuth. Um dieses System zu verwenden, müssen Entwickler wie folgt vorgehen:

1. OAuth-Anmeldedaten von der Google-API abrufen. Wählen Sie Daten (z. B. eine Kunden-ID und ein Kundengeheimnis), das Google und Ihr Unternehmen kennen.

2. Einen Zugriffstoken vom Google Authorization Server abrufen. Benutzer benötigen einen Token von Google, um ihre Web-Abfrage abzuschließen und Zugriff zu erhalten.

3. Die Zugriffsrechte vergleichen. Benutzer gewähren Zugriff auf Daten. Sie müssen dabei sicherstellen, dass Ihre Abfrage deren Bereitschaft zur Datenweitergabe entspricht.

4. Den Token an die API senden. Benutzer sind bereit, Zugriff zu erhalten, sofern der Token in der Kopfzeile Ihrer HTTP-Autorisierungsanfrage enthalten ist.

Die Benutzer merken von diesem Prozess fast nichts. Sie rufen eine Website auf, die sie besuchen möchten, und sehen einen Bildschirm, auf dem sie zur Anmeldung mit Anmeldedaten aufgefordert werden. Sie klicken auf ein oder zwei Buttons und gelangen auf magische Weise auf die gewünschte Website.

Die Rolle von US-Behörden beim Identitätsverbund

Computer-Entwickler sind der Meinung, dass sie autonom und von politischen sowie externen Einflüssen unabhängig sind. Fakt ist jedoch, dass US-Behörden sich stark für die Funktionsweise von Verbundidentitäten und dafür interessieren, wer die Verantwortung dafür übernimmt.

Dieses Interesse basiert auf der Homeland Security Presidential Directive 12 von 2004. Laut dieser Regierungsdirektive fordern Experten sichere Anmeldedaten für den Zugriff auf Behördenressourcen. Teams wird nahegelegt, ein System aufzubauen, das schnelle Wechsel zwischen Plattformen und Programmen ermöglicht. Geschwindigkeit ist wichtig, aber Sicherheit ist unverzichtbar.

Seit 2004 haben unzählige Unternehmen Vereinbarungen, Protokolle und Programme für Verbundidentitäten entwickelt. Es ist jedoch noch mehr erforderlich.

Derzeit arbeiten das National Cybersecurity Center of Excellence und das National Strategy for Trusted Identities in Cyberspace National Program Office gemeinsam an einem Privacy-Enhanced Identity Federation-Projekt. Nach Abschluss dieses Projekts wird das Team eine Reihe von Standards veröffentlichen, die Unternehmen für Verbundidentitäten verwenden können. Bisher wurde noch kein Veröffentlichungsdatum bekanntgegeben.

Vorteile von Verbundzugriffen

Einige Unternehmen erlauben sichere Anmeldungen, ohne dazu das Verbundidentitätskonzept zu nutzen, während andere noch nicht einmal daran denken, ihre Produkte auf diese Weise zu betreiben. Wer hat Recht?

Zu den Vorteilen von Verbundidentitäten gehören:

• Geringere Kosten. Wenn Sie Verbundprodukte verwenden, müssen Sie keine eigenen SSO-Lösungen aufbauen.
• Verbesserte Effizienz. Mitarbeiter müssen keine Zeit damit verschwenden, sich immer wieder bei Systemen anzumelden.
• Geschützte Daten. Bei Verbundlösungen wird erwartet, dass sie verbesserten Datenschutz und Sicherheit gewährleisten, da jeder Anmeldeprozess eine Schwachstelle für Unternehmen darstellt. Durch die Vereinfachung des Anmeldeprozesses wird das Angriffsrisiko reduziert.

Missverständnisse in Bezug auf Verbundzugriffe

Die Verwendung von Verbundzugriffen ist mit keinen großen Nachteilen verbunden. Es gibt jedoch einige häufige Missverständnisse, zum Beispiel:

• Weniger Kontrolle. Verbundidentitäts-Management-Lösungen wenden konkrete Regeln und Vereinbarungen an. Einige Menschen befürchten, dass sie dadurch Kontrollmöglichkeiten verlieren, doch das ist nicht der Fall. SSO-Anbieter bieten meist verschiedene Konfigurationsoptionen, damit sich Systeme wie erforderlich verhalten können.
• Potenzielle Sicherheitsrisiken. Kein Authentifizierungsprotokoll ist vollständig sicher und einige Verbundprogramme enthalten bekannte Schwachstellen. In den meisten Fällen ist ein Verbundprogramm, das auf etablierten Standards aufbaut, sicherer als fast alle anderen Programme.

Zahlreiche bekannte und vertrauenswürdige Unternehmen, einschließlich Google, Microsoft, Facebook und Yahoo, verwenden Verbundidentitätskonzepte. Wenn diese Unternehmen auf diese Konzepte setzen, kann man davon ausgehen, dass sie sicher und zuverlässig sind. Jedes Unternehmen muss jedoch eigene Bewertungen der Risiken und Vorteile durchführen.

Erfahren Sie, wie Sie mit Unterstützung von Okta feststellen können, ob für Ihr Unternehmen Authentifizierung im Identitätsverbund oder SSO-Authentifizierung die sicherste Lösung ist.

Referenzen

Average Business User Has 191 Passwords, (November 2017), Security.

Federated Identity Management, (2009), David W. Chadwick.

Understanding Federated Identity, (August 2007), Network World.

Using OAuth 2.0 to Access Google APIs, Google Identity Platform.

Identity Federation Governance: Catalyst for the Identity Ecosystem, (2014), Deloitte Development.

Privacy-Enhanced Identity Federation, National Institute of Standards and Technology.

Identity Federation: A Brief Introduction, (September 2018), Medium.

Federated Identity Management Challenges, Identity Management Institute.

Common Federated Identity Protocols: Open ID Connect vs. OAuth vs. SAML 2, Hack EDU.

Economic Tussles in Federated Identity Management, (Oktober 2012), First Monday.

A Study on Threat Model for Federated Identities in Federated Identity Management System, (Juni 2010), 2010 International Symposium on Information Technology.

The Need for a Universal Approach to Identity Management, (Juli 2018), Forbes.

Federated Identity Management Systems: A Privacy-Based Characterization, (September–Oktober 2013), Cornell University.