IT Security Januar / Februar 2024
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen Fein-granulare Autorisierung – Warum der Hype?
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie
Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung
Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen
Fein-granulare Autorisierung – Warum der Hype?
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
40 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Fein-granulare Autorisierung<br />
WARUM DER HYPE?<br />
Fein-granulare Autorisierung ist ein aktuelles<br />
Thema im Identity Management,<br />
neben „Self-Sovereign Identity“ und der<br />
EU-Verordnung eIDAS 2.0. Besonders<br />
das 2019 von Google präsentierte<br />
„Zanzibar“-Konzept für ein globales<br />
Autorisierungssystem hat Aufmerksamkeit<br />
erregt. Die Idee, nicht nur Identifikation<br />
und Authentisierung, sondern auch<br />
Autorisierung zu zentralisieren, ist nicht<br />
neu, wie der XACML-Standard der OA-<br />
SIS aus den frühen 2000er Jahren zeigt.<br />
Dennoch hat sich das Konzept der feingranularen<br />
Autorisierung bisher nicht<br />
vollständig durchgesetzt.<br />
IGA:<br />
Identity Governance<br />
& Administration<br />
IdP:<br />
Identity Provider<br />
Authentication<br />
user<br />
user directory<br />
Single Sign-On<br />
SAML<br />
OICDC/OAuth<br />
Altlasten und Beweggründe<br />
Zwar waren die Gründe für den ausbleibenden<br />
Erfolg vielfältig - dennoch gilt<br />
XACML nicht als „vollkommen gescheitert“.<br />
Die komplexe Umsetzung in reale<br />
Produkte und die mangelnde Agilität<br />
der Software-Entwicklung haben die<br />
Adaption erschwert. Viele Unternehmen<br />
scheuten den Aufwand des Refactorings,<br />
um ihre Bestands-Software auf<br />
das neue Paradigma umzustellen. Im<br />
Jahr 2023 existieren daher immer noch<br />
Anwendungen mit interner Benutzerverwaltung,<br />
während Microsoft mittlerweile<br />
veraltete Technologien wie NTLM<br />
aus seinen Produkten entfernt. Die Migration<br />
etablierter On-Premises Anwendungen<br />
in die Cloud zwingt Unternehmen,<br />
alte Strukturen zu überdenken und<br />
den Mehrwert moderner Sicherheitsverfahren<br />
zu bewerten, wobei die Benutzer-<br />
und Rechteverwaltung eine entscheidende<br />
Rolle spielt.<br />
Bisherige Entwicklung<br />
In den 2000er Jahren führte der Aufstieg<br />
von Web-Anwendungen und der<br />
Rückgang der Three-Tier-Applikationsarchitektur<br />
zu einem Wildwuchs von Benutzerkonten<br />
und Passwörtern in Web-<br />
Apps. Unternehmen setzten auf Web-<br />
SSO-Systeme, um dem entgegenzuwirken.<br />
Allerdings führten unschöne<br />
Begleiterscheinungen wie das Scraping<br />
von Credentials und die unverschlüsselte<br />
Übertragung per HTTP zu mittlerweile<br />
allseits bekannten Problemen. Die<br />
Nutzung von Tokens statt Credentials,<br />
bekannt aus dem AD mit Kerberos, wurde<br />
im späteren Verlauf bevorzugt. Doch<br />
viele Web-Applikationen befanden sich<br />
nicht im eigenen Rechenzentrum oder<br />
Application<br />
Identity Data<br />
Application<br />
Identity Data<br />
Bild 1:<br />
Auslagerung<br />
von Benutzerinformationen<br />
in einen IdP<br />
„line of sight“ zum AD-Controller, weshalb<br />
Kerberos keine Option war. Das<br />
weit unterstützte SAML-Protokoll etablierte<br />
sich als Lösung für die Föderation,<br />
besonders durch die Adaption von<br />
SAML 2.0 im Microsoft Active Directory<br />
Federation Server 2.0. Seither erfreute<br />
sich SAML 2.0 großer Beliebtheit für<br />
Web-Anwendungen, stößt jedoch mit<br />
dem Aufkommen mobiler Geräte und<br />
Apps an seine Grenzen: Die Verwendung<br />
von Cookies und die hohen Ressourcenanforderungen<br />
des Protokolls<br />
erschwerten die mobile Nutzung.<br />
Ja/Nein Entscheidung<br />
Das SAML-Protokoll ermöglicht zwar die<br />
Ersetzung lokaler Anmeldungen durch<br />
die Anmeldung an einem eigenen Identity<br />
Provider (IdP), wodurch nur Token,<br />
nicht jedoch Kennwörter, an die Anwendung<br />
übertragen werden. Jedoch fehlt<br />
SAML die Möglichkeit, fein abgestufte<br />
Berechtigungen jenseits des einfachen<br />
„Ja/Nein“ zum Zugriff zu verwalten.<br />
SAML-basierte Föderationen dienen<br />
heutzutage häufig als Gatekeeper, können<br />
jedoch komplexe Berechtigungsabfragen<br />
nur umständlich abbilden.<br />
Die Herausforderungen von Mobil-<br />
Apps wurden durch Protokolle wie<br />
OAuth 2.0 und Open ID Connect<br />
(OIDC) angegangen, die auch die lästige<br />
wiederholte Registrierung bei neuen<br />
Diensten entschärfen. Die flexiblere<br />
Nutzung über verschiedene Flows ist<br />
ein weiterer Vorteil dieser Protokolle.<br />
Identifikation – Authentisierung –<br />
Autorisierung?<br />
Die Zentralisierung von Benutzeridentifikation<br />
und Authentifizierung durch einen<br />
IdP gilt als gelöst, dank passender<br />
<strong>Januar</strong>/<strong>Februar</strong> <strong>2024</strong> | www.it-daily.net