Die Verwaltung unzähliger Apps, Benutzer und Lizenzen ist schwierig. Deshalb erhalten Sie hier einen Überblick über die wichtigsten Identity and Access Management (IAM) -Technologien — SSO, SCIM und SAML — und erläutern deren Rollen, Synergien und Herausforderungen.

Es ist wichtig, einige grundlegende Konzepte im Zusammenhang mit IAM wie SSO, SCIM und SAML zu verstehen, bevor Sie sich eingehender mit der Einrichtung eines Systems befassen, das für Ihr Unternehmen geeignet ist. Hier ist ein Überblick über die drei Technologien:

Einmaliges Anmelden (SSO) ist ein Dienst zur Benutzerauthentifizierung, der die Verwendung eines Satzes von Anmeldeinformationen für den Zugriff auf mehrere Anwendungen ermöglicht, sodass Sie sich nicht mehrere Passwörter merken müssen und das Risiko eines Passwortdiebstahls verringert wird.

System für domänenübergreifendes Identitätsmanagement (SCIM) ist ein Protokoll für die automatische Bereitstellung und Deprovisionierung von Benutzeridentitäten über verschiedene Systeme und Anwendungen hinweg. Dadurch können Unternehmen Zeit und Ressourcen sparen, da sie nicht mehr manuell vorgehen müssen Verwaltung von Benutzeridentitäten und Zugriffen in jedem System. SCIM ändert automatisch die Profile und Rechte eines Benutzers an Statusänderungen und stellt so sicher, dass die Daten geschützt sind und der Zugriff mit den geringsten Rechten durchgesetzt wird. Beispielsweise verlässt ein Mitarbeiter ein Unternehmen, was ein Offboarding auslöst, sodass SCIM verwendet wird, um dem Benutzer automatisch die Zugriffsrechte zu entziehen, sodass er keine Rechte mehr hat, auf Apps und Daten zuzugreifen. SCIM ist auch wichtig für die allgemeine Zugriffssteuerung.

Security Assertion Markup Language (SAML) ist ein XML-basierter Standard, der den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen verschiedenen Systemen ermöglicht. SAML ermöglicht den Zugriff auf eine Anwendung nur, wenn sich der Benutzer korrekt authentifiziert. Dies kann verwendet werden, um SSO sowie andere Sicherheitsfunktionen wie die Mehrfaktorauthentifizierung zu implementieren.

Lassen Sie uns etwas tiefer in jeden von ihnen eintauchen und auch darauf, wie sie sich miteinander vergleichen.

SCIM gegen SAML

Beide SCIM (System für domänenübergreifendes Identitätsmanagement) und SAML (Security Assertion Markup Language) sind nützliche Protokolle im Identitätsmanagement-Ökosystem. SCIM und SAML verfolgen das gemeinsame Ziel, die Sicherheit zu erhöhen und die Verwaltung von Benutzerzugriffen und -rechten zu optimieren. Die Protokolle unterscheiden sich jedoch in ihren Anwendungen. SCIM konzentriert sich hauptsächlich auf die Verwaltung und Verwaltung von Benutzeridentitätsinformationen systemübergreifend, wohingegen SAML darauf ausgelegt ist, Authentifizierung und Single Sign-On (SSO) über verschiedene Domänen hinweg zu erleichtern. Zusammen schaffen sie ein sicheres und effizientes Online-Identitätsmanagementsystem, das Zugriffsrechte am wenigsten privilegiert durchsetzt.

Gibt es Synergien zwischen SCIM und SAML?

SCIM und SAML können als ergänzende Protokolle verwendet werden, um ein ganzheitliches Konzept zu erreichen Identitäts- und Zugriffsmanagement: SAML authentifiziert Benutzer, und SCIM stellt Benutzer und Lizenzen bereit und entsperrt sie. Sie arbeiten zusammen, um sich gegenseitig in einem Identitäts- und Zugriffsverwaltungssystem zu ergänzen. Während SAML Benutzer authentifiziert, stellt SCIM sicher, dass es sich bei diesen Benutzern um aktuelle Mitarbeiter handelt und dass ihre Rechte ihren Rollen und Abteilungen angemessen entsprechen.

Was ist Benutzerbereitstellung und Deprovisionierung?

Benutzerkonten innerhalb eines Systems können erstellt, aktualisiert und gelöscht werden. Dieser Vorgang wird als Bereitstellung bezeichnet. Wenn Bereitstellungsereignisse eintreten, müssen sie über mehrere Anwendungen und Systeme hinweg synchronisiert werden. Zum Beispiel teilt das HR-System dem IAM mit, wann und in welchem Team der neue Benutzer beitreten wird, was sich auf die Einrichtung des Benutzerprofils auswirkt. Oft wirkt sich die Kontobereitstellung auf Benutzergruppen und Gruppenmitgliedschaften aus. Das Ziel ist ein automatisierter Bereitstellungsprozess, der aber auch manuell durchgeführt werden kann. Manuelles Provisioning kann in kleineren Unternehmen oder dort eingesetzt werden, wo On-Boardings und Off-Boards nicht sehr zahlreich sind. Im Idealfall werden die Bereitstellung und Aufhebung der Bereitstellung automatisiert, um sicherzustellen, dass die Authentifizierung und die Rechte der Mitarbeiter schnell und genau am Arbeitsplatz zum Tragen kommen.

Vorteile der automatisierten Bereitstellung und Deprovisionierung:

• Onboarding und Offboarding von Mitarbeitern: Weisen Sie Benutzerkonten und Zugriffsrechte schnell auf der Grundlage von Rollen zu oder entziehen Sie sie.
• Anwendungs- und dienstübergreifende Benutzerverwaltung: Automatisiertes Provisioning optimiert die Benutzerverwaltung.
• Sicherheit: Die Automatisierung der Bereitstellung stellt sicher, dass der Zugriff mit den geringsten Rechten durchgesetzt wird, und verhindert Zombie-Konten, indem ausscheidende Mitarbeiter ausgewiesen werden.
• Einhaltung: Für Zertifizierungen wie ISO 27001 Für SOC 2 ist ein automatisierter Prozess hilfreich, der auch spätere Zugriffsprüfungen vereinfacht.

SCIM und SAML zusammen verwenden

Unternehmen, die sicherstellen müssen, dass die Zugriffskontrolle durchgesetzt wird und die am wenigsten privilegierten Zugriffsrechte angewendet werden, sollten möglicherweise sowohl SCIM als auch SAML implementieren. Ein kleineres Unternehmen kann sich jedoch dafür entscheiden, zunächst SAML SSO zu implementieren, um die Produktivität zu optimieren und den Zugriff zu sichern.

SAML erfordert jedoch häufig die manuelle Verwaltung von Benutzerberechtigungen und das Offboarden/Löschen von Benutzerkonten, wenn Mitarbeiter das Unternehmen verlassen oder in andere Abteilungen wechseln. Später sorgt das zusätzliche SCIM-Provisioning für eine vollständige Automatisierung und Transparenz der Zugriffe und Berechtigungen aller Beteiligten.

Einige Herausforderungen von SCIM und SAML

SSO-Nachteile:

• Preis: Die sogenannte SSO-Aufgabe, die von Anbietern aufgezwungen wird, die oft mehr für SSO-Funktionen verlangen und kleinere Unternehmen belasten.
• Komplexe Implementierung: Die Einrichtung von SSO kann komplex sein und erfordert spezielle Kenntnisse.

SAML-Nachteile:

• Komplexität: Die Implementierung und Optimierung von SAML kann komplex sein und erfordert Spezialwissen.
• Kompatibilitätsprobleme: SAML ist nicht mit allen Diensten oder Anwendungen kompatibel.
• Einschränkungen für Mobilgeräte: SAML wurde nicht für mobile Apps entwickelt, was zu Implementierungsproblemen führen kann.
• Komplexität der einmaligen Abmeldung (SLO): Die Implementierung von SLO mit SAML kann komplex sein und funktioniert möglicherweise nicht immer zuverlässig.

SCIM-Nachteile:

• SCIM Tax: SCIM-Funktionen sind oft nur in höherstufigen, teureren Versionen von Identitätsmanagement-Tools verfügbar.
• Abhängigkeit von SSO: SCIM erfordert häufig SSO, um zu funktionieren, was die Implementierung komplexer und kostengünstiger macht.

Insgesamt ist die Bereitstellung über SCIM und SSO oft mit einem mehr als erheblichen Preis und einer schwierigen Implementierung verbunden. Bei Tools wie Okta können die Kosten pro Benutzer zwischen 15€ und 18€ pro Monat liegen, und es fallen zusätzliche Kosten an, die Tausende von Euro an die Anbieter zahlen müssen, um die Stufe für das SSO zu erhalten. Die Suche nach Alternativen zu Okta wird schnell zu einer Priorität, wenn mittelständische Unternehmen anfangen, hohe fünfstellige Summen für ihr IAM-System zu zahlen (lesen Sie weiter, um Welches IAM-Tool könnte eine bessere Lösung sein als Okta).

Alternative zur SCIM-Bereitstellung

Vor allem kleine und mittlere Unternehmen mit nur wenigen hundert Benutzern haben oft Schwierigkeiten, SCIM und SAML effizient zu nutzen. Alternativen wie Okta bieten diesen Service an, allerdings mit einem erheblichen Preis und einer komplexen Implementierung. Corma ist eine Alternative zur SCIM-Implementierung für die Bereitstellung und Aufhebung der Bereitstellung von Benutzerkonten. Corma stellt Benutzer automatisch bereit für mehrere hundert Anwendungen und verbindet sich mit Identitätsanbietern wie Google Workspace, Microsoft 365 und Okta.

Corma kann Zugriffsanfragen und Genehmigungen für SaaS-Apps über Slack bearbeiten. Mit einem benutzerdefinierten Workflow-Builder ist es einfach, ein System für benutzerdefinierte Genehmigungsabläufe einzurichten, die auf Benutzern und Apps basieren. Corma verwendet dazu APIs: SaaS-Apps können bei Bedarf einfach hinzugefügt werden.

Corma bietet eine Plug-and-Play-Lösung für Unternehmen, die keine Unternehmen sind und eine Vielzahl von SaaS-Anwendungen verwenden. Es ist auch nützlich für größere Unternehmen, die auf SCIM angewiesen sind, aber mit einer großen Anzahl von Anwendungen zu kämpfen haben, die SCIM nicht unterstützen.