Identitäten in der und für die Cloud

Identity und Access Management auf Cloud-Basis ist eine ziemlich junge Service-Kategorie. Die existierenden Lösungen überzeugen aber in einigen Punkten durchaus.

Artikel erschienen in Swiss IT Magazine 2009/10

     

Eine der grössten Herausforderungen beim Cloud Computing ist die Sicherheit – und dabei besonders die Fähigkeit, Benutzer zuverlässig zu authentifizieren und zu autorisieren. Schon unternehmensintern wird dieses Problem oft unzureichend gelöst, beim Cloud Computing wird es mit einer wachsenden Zahl externer Service-Provider noch komplexer.


Deshalb ist es nicht überraschend, dass es immer mehr Cloud-basierende Produkte und Online-Dienste gibt, die sich dieser Herausforderung annehmen. Noch handelt es sich vor allem um Punktlösungen von Start-ups und kleineren Anbietern. Das ist typisch für neue Märkte. Gerade deshalb gilt es auch genau abzuwägen, ob die Vorteile überwiegen, oder ob es sich um eine Sackgasse handelt. Dabei spielt auch eine Rolle, ob man eine Herausforderung wie das Single-Sign-on bei mehreren Cloud-Providern eher taktisch oder strategisch lösen möchte. Wer schnelle Lösungen benötigt, findet im heutigen Angebot schon Ansätze. Wer dagegen einen strategisch validen Ansatz für das Identity und Access Management einer «Cloud-IT» sucht, sollte sich noch nicht zu grosse Hoffnungen machen.


Für diesen Artikel wurden drei Lösungen getestet, die unterschiedliche Herausforderungen adressieren – Provisioning, Single Sign-on und starke Authentifizierung. Es ist also kein Vergleichstest im engeren Sinne. Im Blickfeld steht vielmehr die aktuelle Reife von Cloud-basierenden Lösungen für IAM.



Provisioning als Managed Service

Fischer International ist mit seinen Identity as a Service Solutions insofern ein Exot, als jene vor allem auf das Management interner IT-Infrastrukturen abzielen, aber eben als Managed Services angeboten werden. Es werden aber auch schon SaaS-Lösungen wie Salesforce.com unterstützt.


Fischer bietet eine umfassende Funktionalität an, die den gängigen intern installierten Provisioning-Lösungen weitgehend entspricht. Benutzerkonten und Kennwörter können synchronisiert werden, das Rollenmanagement wird ebenso unterstützt wie Segregation-of-Duties-Richtlinien und privilegierte Benutzerkonten können ebenfalls spezifisch verwaltet werden. Im Gegensatz zu den gängigen «Identity Manager»-Produkten des Herstellers laufen die Identity as a Service Solutions aber bei Fischer. Lokal wird nur ein Gateway für die sichere Kommunikation mit den Zielsystemen installiert.


Die Lösung ist einfach in der Bedienung, auch wenn man die administrativen Schnittstellen noch besser gestalten könnte. Klar ist bei einer auf Mandantenfähigkeit ausgelegten Lösung allerdings, dass die Anpassungsmöglichkeiten über die Standardfunktionalität hinaus eher gering sind. Die Grundfunktionen dürften aber für die meisten Anforderungen typischer KMU ausreichen. Zudem ist die Anbindung gängiger Zielsysteme einfach.


Die Identity as a Service Solutions sind durchaus eine ernstzunehmende Alternative zu gängigen, intern installierten Provisioning-Lösungen. Projekte lassen sich auf dieser Basis schneller umsetzen – und soweit die Einschränkungen bezüglich der Integration und Anpassbarkeit keine zwingenden Ausschlussgründe sind, hat ein Cloud-basierendes Provisioning durchaus seinen Reiz, gerade für Unternehmen mit einer überschaubaren Komplexität der IT-Infrastruktur.


Single-Sign-On für die Cloud

Die zweite Lösung im Test stammt von TriCipher und wird unter der Marke myOneLogin vermarktet. TriCipher selbst bietet On-Premise-Lösungen für eine starke Authentifizierung an, mit besonderen Stärken beim sicheren Umgang mit Soft-Tokens. Der Cloud-basierende Dienst MyOneLogin verbindet Single-Sign-on für Cloud-Services mit einer starken Authentifizierung.


Das Single-Sign-on unterstützt laut Hersteller über 1500 Anwendungen, wobei viele davon kundenspezifisch sind. Aber auch die gängigen Cloud-Dienste wie Google Apps oder Salesforce.com werden unterstützt. Die Authentifizierung kann gegen unterschiedliche Verzeichnisse durchgeführt werden, bis hin zum unternehmensinternen Active Directory. Unterstützt werden aber auch externe Identity-Provider wie Google und in Zukunft auch Information Cards und das «Geneva»-Framework von Microsoft.


Bei der Konfiguration gibt es eine Reihe interessanter Funktionen. So können Federation-Beziehungen flexibel konfiguriert werden. Dabei lässt sich auch steuern, welche Applikationen (Service Provider) über welche Verzeichnisse (Identity Provider) authentifiziert werden müssen.


Die Nutzung ist ausgesprochen einfach. Benutzer müssen beim ersten Zugriff über eine Self-Service-Anwendung ihre Authentifizierungsschnittstelle einrichten. Dazu gehören spezifische Informationen wie ein Bild und ein Text, um Phishing-Attacken zu verhindern. Anschliessend kann eine Authentifizierung einfach durch Eingabe von Benutzername und Kennwort durchgeführt werden.



Starke Authentifizierung

Während der Fokus bei MyOneLogin auf dem Single-Sign-on liegt, kommt die Multifactor Corporation mit ihrer Lösung SecureAuth aus dem Bereich der starken Authentifizierung. SecureAuth ist sowohl als On-Premise-Lösung in Form einer Appliance als auch als Cloud-Service verfügbar. Allerdings wird über das Portal auch hier ein -Single-Sign-on ermöglicht. Im Gegensatz zu MyOneLogin liegt der Fokus aber nicht darauf, eine möglichst grosse Zahl von Cloud-Applikationen standardisiert zu unterstützen. Single-Sign-on gibt es nur für eine Gruppe von Anwendungen – neben der VPN-Authentifizierung gehören dazu auch Webanwendungen auf Basis von Microsoft-Technologien wie ASP-.NET-Applikationen.


Während MyOneLogin primär auf die externen Applikationen ausgerichtet ist, geht es bei SecureAuth um eine generelle Lösung für die starke Authentifizierung an Webanwendungen. Im Ergebnis überlappen sich die Anwendungsbereiche der Produkte erheblich – und die Deployment-Ansätze unterscheiden sich auch nicht so stark voneinander, wenn man die On-Premise-Lösungen von TriCipher mit einbezieht.


Die Schnittstellen von SecureAuth sind dabei deutlich mehr auf den unternehmensinternen Einsatz im Sinn eines Portals für den Zugriff auf unterschiedliche Anwendungen ausgelegt, während MyOneLogin die Nutzung von externen SaaS-Anwendungen im Blickpunkt hat.


Achtung USA!

Da es sich bei allen drei Lösungen um Ansätze von US-Anbietern handelt, gibt es zwei nicht zu unterschätzende Probleme. Eines ist die bei praktisch allen IAM-Cloud-Services noch fehlende Lokalisierung, also die Unterstützung beispielsweise einer deutschen oder französischen Benutzeroberfläche. Das zweite ist, dass das Hosting der Dienste in der Regel ausschliesslich in den USA erfolgt und es damit rechtliche Probleme geben kann – das gilt insbesondere für die EU, deren Datenschutzrichtlinien teilweise im Widerspruch zu den US-Regelungen stehen. Allerdings gibt es zumindest teilweise auch die Option, dass man die Lösungen auf eigenen Servern installieren kann. Alternativ ist es bei den meisten Anbietern und Angeboten auch denkbar, dass ein lokaler Service Provider die Dienste anbietet und sie in der Schweiz oder in der EU hostet.



Braucht es IAM aus der Cloud?

Auch wenn es inzwischen viele interessante Angebote gibt, stellt sich doch auch die Frage, ob man solche Lösungen wirklich braucht. Statt mit Provisioning aus der Cloud von Fischer kann man auch mit einer internen Provisioning-Lösung arbeiten, statt eines Cloud-basierenden Single-Sign-on könnte man auch die eigenen Lösungen verwenden. Hier muss man genau abwägen, ob die externen Angebote wirklich den Nutzen bringen, den sie versprechen.


Dabei ist der Ansatz von Fischer ein Sonderfall, weil man bisher typischerweise intern gelöste Herausforderungen über eine externe Lösung abdeckt – und damit den Projektaufwand, reduzieren kann, wenn auch um den Preis einer geringeren Flexibilität. Dennoch kann das für viele Unternehmen Sinn machen, vor allem wenn die Lösung von einem europäischen Hoster oder aus einem europäischen Rechenzentrum heraus angeboten wird.


Bei den Single-Sign-On-Lösungen stellt sich dagegen durchaus die Frage des Nutzens. Wer bereits über ein Enterprise-Single-Sign-on verfügt, kann damit auch die externen Dienste abdecken. Eine externe starke Authentifizierung kann durchaus sinnvoll sein, ist aber sicher kein Muss. Interessant sind solche Lösungen vor allem, weil sie eine engere Integration mit Cloud-Diensten über SAML durchführen, also ein «echtes» Single-Sign-on. Ausserdem kann man die Portale so auch für externe Benutzergruppen öffnen.


Inzwischen existieren auch erste «On-Premise»-Provisioning-Lösungen wie der Quest ActiveRoles Server, die Connectoren beispielsweise zu Salesforce.com anbieten und damit dort eine grössere Integrationstiefe liefern. Das wird auch zu einer Herausforderung für Anbieter wie Conformity werden, weil man davon ausgehen kann, dass die Provisioning-Hersteller allgemein relativ schnell entsprechende Connectoren entwickeln werden.


Dennoch haben die Anbieter von Cloud-basierendem IAM auch einen Vorteil: Sie sind auf enge Integration mit Cloud-Diensten spezialisiert und konzentrieren sich auf die enge Einbindung vieler Produkte. Änderungen in den Schnittstellen dieser Dienste werden so für die Benutzer transparent. Deshalb ergibt zum Beispiel ein spezialisiertes Single-Sign-on für Cloud-Dienste oder eine Lösung wie Conformity, die vor das eigene Provisioning-System geschaltet wird, durchaus einen Sinn.


Der Markt beschränkt sich nicht auf die drei betrachteten Produkte. Es gibt noch eine Reihe weiterer Anbieter. Symplified ist ein Unternehmen, das neben Single-Sign-On auch Provisioning-Funktionen und die Autorisierungssteuerung mit einbezieht, wobei letztere ähnlich wie bei heute gängigen Web-Access-Management-Produkten funktioniert. Dabei geht es darum, nicht nur die Authentifizierung zentral zu steuern, sondern auch Autorisierungsentscheidungen zentral treffen zu können. Das ist eine der Herausforderungen, die sich bei rein auf Single-Sign-On ausgerichteten Lösungen heute stellt: Einen Benutzer über den Federation-Standard SAML beispielsweise bei Salesforce.com zu authentifizieren, ist vergleichsweise einfach. Zu steuern, was er dort darf, ist aber deutlich komplexer. Unternehmen wie Symplified, aber zunehmend auch MyOneLogin, versuchen nun, auch diese Problemstellung abzudecken.


In diesem Zusammenhang ist auch Conformity zu erwähnen, ein Start-up, das auf ein umfassendes Provisioning und eine administrative Steuerung von SaaS-Produkten im Zusammenspiel mit internen Provisioning-Lösungen oder auch als reine Cloud-Lösung abzielt. Dabei geht es genau darum, die Berechtigungen von Benutzern innerhalb von SaaS-Lösungen wie Salesforce.com differenziert zu steuern und sich eben nicht nur auf die Authentifizierung zu beschränken.


Einen ganz anderen Ansatz verfolgt Covisint. Das einst als B2B-Marktplatz für die Automobilindustrie und ihre Zulieferer gegründete Portal ist nun Teil von Compuware. Eine wichtige Funktionalität ist die des Federation-Brokers, der die komplexen Beziehungen zwischen einer Vielzahl von Geschäftspartnern verwaltet. Statt jedem Unternehmen das Management der Federation-Vertrauensstellungen zu allen Geschäftspartnern zu überlassen, übernimmt Covisint diese Aufgabe. Die Unternehmen müssen damit nur noch Covisint vertrauen, was die Abwicklung solcher Aufgaben deutlich einfacher macht.


Eher als Produktanbieter agiert dagegen Ping Identity, einer der führenden Federation-Anbieter. Mit Ping FederateExpress wird eine Lösung angeboten, mit der Service Provider einfach ein Single-Sign-On zu anderen SaaS-Angeboten aufsetzen und damit beispielsweise die Portale für ihre Kunden ausstatten können.



Von den getesteten Lösungen gefällt MyOneLogin mit seiner gelungenen Benutzeroberfläche am besten. Der Testsieger wird – was in einem Vergleich von drei nicht direkt kompetitiven Produkten immer schwierig ist – aber die Fischer International Identity as a Service Solution, weil sie den grössten praktischen Nutzwert bietet. Provisioning als externen Service zu nutzen, ist im Vergleich zu den oftmals komplexen Projekten mit den gängigen «On-Premise»-Lösungen eine interessante Option, auch wenn es noch manche offene Frage gibt. Aber gerade dort, wo die Anforderungen nicht zu komplex sind, wird sicher der Blick manches Kunden zukünftig sicher mehr auf solche externen Lösungen richten.





Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER