Maßgeschneiderte IT-Sicherheit durch Modularität und Open Source

In unserer digitalen Welt gehören Daten zu den wertvollsten und zu den schützenswertesten Gütern, insbesondere, wenn es sich dabei um personenbezogene Daten handelt. Folglich ist für sämtliche Organisationen, die Daten vorhalten und verwalten, ein maßgeschneidertes IT-Sicherheitskonzept unerlässlich. Solch spezielle Anforderungen können in vielen Fällen nicht mit dem Funktionalitätsspektrum einer Standardlösung erfüllt werden. Ein individuell angepasstes Identitäts- und Zugriffsmanagementsystem sollte daher essenzieller Bestandteil eines umfassenden IT-Sicherheitskonzeptes sein.

Mit einem IAM-System ist es möglich, eine zentrale Nutzerverwaltung automatisiert zu befüllen. Nutzer*innen können so auf alle Systeme ihrer Organisation zugreifen, für deren Nutzung sie durch die ihnen über das System zugewiesene Rolle vorgesehen sind. Für den Zugriff ist dank Single Sign-On eine einmalige Anmeldung bei Arbeitsbeginn ausreichend. Mit demselben System lassen sich auch Accounts für weitere Personen sowie Accounts für Systeme und Anwendungen, die sich authentifizieren müssen, verwalten.

Die DAASI International beschäftigt sich seit ihrer Gründung mit digitalem Identitätsmanagement und entwickelt Technologien und Konzepte für höhere Datensicherheit sowie für mehr Effizienz bei der Datenverwaltung. Inspiriert durch die langjährige Erfahrung, entwickele sie schließlich die Open-Source-Lösung didmos, ein flexibles IAM-Framework, welches stetig und analog den Bedürfnissen einer wachsenden Zahl von Kunden weiterentwickelt wird.

didmos wurde als “Toolkit“ konzipiert, um individuelle und auch sehr spezielle Anforderungen erfüllen zu können. Das Design umfasst sechs Module, welche zusammen eine hochskalierbare und zugleich leistungsfähige IAM-Komplettlösung bilden. Einzelne Module können zudem sehr gut mit anderen Open-Source-Produkten kombiniert werden. Nachfolgend stellen wir Ihnen einige unserer gängigsten Kombinationslösungen vor:

didmos Authenticator und Corteza für Single Sign-On

Corteza ist eine digitale Arbeitsplattform, die mit ihren integrierten Anwendungen wie CRM, Kunden-Servicedesk und Messaging für firmeninterne Kommunikation, die wichtigsten Business-Funktionalitäten abdeckt. Der didmos Authenticator ist eine Authentifizierungskomponente, die auf das Open-Source-Produkt SATOSA aufbaut. Corteza kann mit dem didmos Authenticator kombiniert werden, um z. B. organisationsübergreifenden Ressourcenzugang zu ermöglichen. So können die Ressourcen eines Großunternehmens digital verknüpft werden, selbst bei einem globalen Netz aus verschiedenen Niederlassungen. Mitarbeiter*innen müssen sich in der Folge nur noch einmalig authentifizieren und erhalten damit Zugriff auf das gesamte Firmennetzwerk. Da der didmos Authenticator sowohl den SAML-Standard als auch den OIDC-Standard implementiert, ist er mit sämtlichen standardkonformen Anwendungen kombinierbar.

didmos ETL und midPoint für saubere Datenmigration

Fehlt bei älteren oder historisch gewachsenen IT-Lösungen nur eine bestimmte Funktion, kann diese häufig nur durch die Ergänzung eines zweiten Systems realisiert werden. Effizienter ist eine modulare Lösung, bei der nur Teile eines Systems für mehr Funktionalität ergänzt werden. So haben wir bereits eine Kombination aus der IdM-Komplettlösung midPoint und unserem didmos ETL Flow eingesetzt. Letzteres ergänzt midPoint um wichtige Funktionen in den Bereichen Extraktion von Quelldaten und Datentransformierung bzw. -harmonisierung. In Fällen, wo ein veraltetes System ersetzt werden soll, kann so eine lückenlose und geordnete Datenmigration gewährleistet werden; hierbei lässt sich komfortabel konfigurieren, wie die gleichen Identitäten aus verschiedenen Quellsystemen gefunden werden können und welche Attribute aus welchen Quellen bezogen werden sollen.

didmos und Gluu für mehr Performanz

Aufgrund der hohen Leistungsfähigkeit beider Produkte ist die Kombination von mit didmos LUI implementierten Webportalen, dem didmos Provisioner und der Access-Management-Lösung Gluu ein gute Wahl, wenn die Ansprüche an die Performanz besonders hoch sind. In einem groß angelegten Projekt für und mit der European Space Agency (ESA) konnte so eine hochperformante IAM-Lösung erfolgreich umgesetzt werden.

Gluu diente hierbei als zentraler Identity Provider einer Föderation. Dadurch konnten ein Helpdesk-Portal mit Jira sowie eine Analyse Plattform angebunden und Benutzerdaten weiterhin an zentraler Stelle verwaltet werden.

SCIM und midPoint für eine einfache Integration von Gluu

In Zusammenarbeit mit dem Verlagshaus Cornelsen entwickelte die DAASI International einen SCIM-Konnektor, um Gluu und midPoint zu verbinden. Dadurch kann man Gluu nun direkt von midPoint aus mit Identitätsdaten für die Zugriffskontrolle provisionieren. Da SCIM (System for Cross-Domain Identity Management) immer häufiger als Standard im Bereich des IAM eingesetzt wird, bedeutet diese Entwicklung für midPoint nicht nur eine einfachere Integration mit Gluu, sondern auch mit allen übrigen SCIM-fähigen Anwendungen. Der Konnektor macht aus Gluu und midPoint eine gut integrierte Lösung für IdM und AM.

Shibboleth und privacyIDEA für Single Sign-On mit Multifaktor-Authentifizierung

Die auf dem SAML-Protokoll basierende Software Shibboleth wird üblicherweise zur Realisierung organisationsübergreifender Authentifizierung und Autorisierung verwendet, ermöglicht aber auch Single Sign-On. Shibboleth besticht im Wesentlichen durch zwei Komponenten: den Shibboleth Identity Provider (IdP) und den Shibboleth Service Provider (SP). Der Shibboleth IdP bearbeitet die eingehenden Authentifizierungsanfragen der Benutzer*innen. Heute ist es gängige Praxis, bei einer solchen Authentifizierung mehr als nur einen Faktor abzufragen (z. B. Ein Passwort und ein Token, das über ein Hardwaredevice generiert oder an ein Handy geschickt wird). Hier macht die Kombination mit privacyIDEA viel Sinn. Das Open-Source-Produkt PrivacyIDEA ermöglicht über eine API eine ganze Reihe von zweiten Faktoren, wobei die meisten gängigen Tokens unterstützt werden. Um also mit einem Shibboleth IdP mehrere Faktoren abzufragen und damit einen höheren Sicherheitsgrad zu erreichen, kann dieser mit privacyIDEA verbunden werden.

Die DAASI International bietet in diesem Zusammenhang auch die Kombination von didmos und privacyIDEA mit dem didmos Authenticator als Identity Provider oder die Kombination Gluu und PrivacyIDEA an.

Mix & Match mit Open Source

Das Problem mit einer Lösung nicht alle Anforderungen abdecken zu können trifft vor allem Organisationen mit geringem Budget hart. Modulare Ergänzungen von Open-Source-Komplettlösungen sind deutlich kostengünstiger und durch die einhergehende Senkung des Administrationsaufwands für die Infrastruktur können darüber hinaus Ressourcen geschont und so langfristig Kosten wieder eingespart werden.

Für besonders große Organisationen oder Verbünde sorgt die Kombination zweier oder mehrerer Komplettlösungen hingegen für sehr stabile und beliebig skalierbare Systeme.
Um verschiedene Lösungen so kombinieren zu können, muss Software miteinander kommunizieren. Dies geschieht über standardisierte Protokolle oder eigens entwickelte Konnektoren und/oder Overlays. Proprietäre Lösungen sind häufig recht starr und können aufgrund des geschlossenen Codes oft nur wenig angepasst werden. Manche Hersteller implementieren Standards absichtlich nicht genau, damit Kunden bei Kombinationen auf Software vom selben Hersteller zurückgreifen müssen. Open-Source-Software hingegen beruht meist auf internationalen Standards und kann leicht angepasst werden, was sie um einiges vielseitiger in ihren Kombinationsmöglichkeiten macht.

Mit dieser Strategie folgt DAASI International dem Pfad des Projekts „Identity Ecosystem“, das von Evolveum, dem Unternehmen hinter midPoint, vor längerer Zeit initiiert wurde mit dem Ziel, ein Netzwerk aus einzelnen IAM-bezogenen Lösungen zu schaffen.