Identitäts- und Zugriffsmanagement leicht gemacht

Identitäts- und Zugriffsmanagement für Ihre digitale Marke

Veröffentlicht am 21 Jan 2025 von Gabriel Tanguay

Kunden, Lieferanten, Mitarbeitende und Partner - sie alle müssen zur richtigen Zeit sicher und effizient auf die benötigten Daten zugreifen können. Sie können dies selbst umsetzen oder diese Kernkompetenz an einen vertrauenswürdigen Partner delegieren. Wichtig ist, dass Sie dies als kritischen Aspekt Ihres Geschäfts erkennen, denn es kann erhebliche Auswirkungen auf Ihren Geschäftserfolg und Ihre Reputation haben.

Identitäts- vs. Zugriffsmanagement

Die Identitätsverifizierung ist ein Prozess, der die Identität eines Nutzers Ihres Systems überprüft. Dabei werden verschiedene Eigenschaften der Benutzeridentität verifiziert - wie Name, E-Mail-Adresse oder Telefonnummer - um sicherzustellen, dass die Person tatsächlich diejenige ist, die sie vorgibt zu sein. Dieser Prozess ist wichtig, weil er betrügerischen Aktivitäten wie Identitätsdiebstahl vorbeugt und letztlich den richtigen Personen den richtigen Zugriff zuweist.

Zugriffsmanagement ist der Prozess der Verwaltung des Zugangs zu einem System oder einer Ressource. Es umfasst die Gewährung oder Verweigerung des Zugriffs für bestimmte Benutzer oder Gruppen basierend auf deren Rollen, Berechtigungen, Abonnements oder anderen Kriterien. Dieser Prozess ist wichtig und fast immer geschäftskritisch für Organisationen im digitalen Raum, da er sicherstellt, dass nur autorisierte Benutzer Zugang zum System oder zu Ressourcen haben und dass ihnen die angemessene Zugriffsebene gewährt wird.

Bei der Registrierung auf einer digitalen Plattform müssen Sie sich identifizieren und authentifizieren können. Der Plattformbetreiber muss zunächst sicherstellen, dass Sie eindeutig identifiziert werden können - traditionell durch Verifizierung Ihrer E-Mail-Adresse und eines Passworts. In den letzten Jahren sind Mehrfaktor-Authentifizierung, digitale Schlüssel, Biometrie und andere Methoden bei Plattformbetreibern immer beliebter geworden, um ihre Nutzer zu identifizieren. Sobald Sie eine Identität haben, gewährt Ihnen die Plattform Zugriff auf die Ressourcen, die Sie benötigen.

Als Unternehmen möchten Sie neuen Nutzern die Registrierung so einfach wie möglich machen. Dazu können Sie ihnen ermöglichen, sich über bekannte Identitätsanbieter wie Google, Microsoft, LinkedIn, Apple, GitHub usw. zu identifizieren. Doch hier liegt die Herausforderung: Sie möchten das Zugriffsmanagement nicht an einen Drittanbieter delegieren.

Die Kontrolle über die Zugriffsverwaltung und die Autorisierung zum Zugang zu Ressourcen zu behalten, ist ein kritischer Aspekt Ihres Geschäfts im digitalen Raum.

Typische Fallen bei der Delegation des Zugriffsmanagements

Google Firebase bietet an, alle Kontakte zwischen Ihrer Plattform und Ihren Nutzern zu verwalten, und ermöglicht es Ihnen, Zugriffsmanagement und Benachrichtigungen über seinen Technologie-Stack zu konfigurieren. Wenn Sie dieses Zugriffsmanagement an Firebase delegieren, können Sie die Leistungsfähigkeit seines Feature-Stacks nutzen - darunter Zwei-Faktor-Authentifizierung, Verschlüsselung und Datenschutz - um die Sicherheit der Daten Ihrer Nutzer zu gewährleisten und unbefugten Zugriff zu verhindern. Andererseits müssen Sie sich fragen: Wem gehört der Kontakt zu Ihren Nutzern wirklich? Google oder Ihnen?

Für Ihre Organisation müssen Sie eine Abwägung zwischen Vorteilen und Nachteilen treffen. Zwischen vermeintlich kostenlosen Funktionen und der Delegation eines gewissen Masses an Kontrolle an einen Drittanbieter.

Die Kontrolle über Ihre Kunden behalten

Vielleicht entscheiden Sie sich dafür, die Kontrolle über Ihre Kunden und deren Daten zu behalten, indem Sie externe Identitätsanbieter nutzen und gleichzeitig Ihr eigenes Zugriffsmanagement sicherstellen. Die zwei praktischen Lösungen sind eigene Implementierungen - mit eigenem Code oder einem Framework - sowie selbst gehostete Enterprise-Open-Source-Lösungen, die Sie selbst betreiben können.

Vorteile der Kontrolle über Ihre Kunden

Wenn Sie die Kontrolle über den Kontakt mit Ihren Kunden behalten, können Sie alle ein- und ausgehenden Signale überwachen. So stellen Sie sicher, dass sich Ihre Kunden stets in einer sicheren und vertrauenswürdigen Umgebung befinden, und verbessern Ihr Kundenverständnis erheblich. Die Kontrolle über das digitale Erlebnis Ihrer Kunden ermöglicht es Ihnen, eine erstklassige Erfahrung innerhalb des Ökosystems Ihrer digitalen Produkte zu gewährleisten.

Warum wir Keycloak selbst betreiben statt eines fremden SaaS

Bei Luzid setzen wir genau dieses Prinzip für unsere eigene Plattform um - und für Kunden, die ihre Identitätsschicht selbst kontrollieren wollen. Wir haben die naheliegenden fremden SaaS-Optionen geprüft - Auth0, Okta, Microsoft Entra, Google Firebase Auth - und alle aus demselben Grund verworfen: Jede dieser Lösungen stellt die Kundenbeziehung und die Zugriffsentscheidungs-Ebene unter die Bedingungen eines fremden Unternehmens und unter die Reichweite einer fremden Rechtsordnung. Die Kosten dieser Delegation sind selten offensichtlich - bis Sie wechseln wollen, eine Preisstufe geändert wird oder ein Audit fragt, wer Ihre Nutzerliste lesen kann.

Wir haben uns für Keycloak entschieden, das Open-Source-IAM-Projekt, das ursprünglich von Red Hat entwickelt wurde und heute unter der Cloud Native Computing Foundation organisiert ist. Drei Punkte haben den Ausschlag gegeben:

  • Es ist Open Source. Keine Lizenz-Zähler, keine Pro-Nutzer-Preise, keine überraschenden Tarifänderungen. Wir können den Code lesen, prüfen und im Notfall selbst korrigieren.
  • Es läuft auf unserer Infrastruktur. Identitätsdaten liegen in unseren eigenen Datenbanken, auf unseren eigenen Servern, unter derselben Rechtsordnung wie der Rest des Stacks. Es gibt keinen Dritten im Authentifizierungspfad.
  • Es ist eine seriöse Standards-Implementierung. OpenID Connect, OAuth 2.0, SAML 2.0, FAPI - alles sauber umgesetzt. Wir können jeden konformen Identitätsanbieter für Social Login einbinden (Google, Microsoft, GitHub), ohne ihm die Kontrolle über die Zugriffsentscheidung selbst zu überlassen.

Keycloak selbst zu betreiben bedeutet auch, es zu betreiben: patchen, sichern, tunen. Für uns ist das ein Feature, kein Bug. Wir betreiben den Rest unseres Stacks ohnehin nach demselben Muster, und die operative Disziplin, die in den Betrieb unserer eigenen Datenbank fliesst, deckt auch unsere eigene Authentifizierung ab. Für Kunden, die ihre Kundenbeziehung selbst besitzen wollen, haben wir damit ein Deployment-Muster, das wir schnell replizieren können - statt eines SaaS-Accounts, den wir in ihrem Namen mieten würden.

Besitzen Sie Ihre Kunden, besitzen Sie Ihre digitale Marke

Evaluieren Sie, an wie viele externe Partner Sie das Zugriffsmanagement für Ihre Kunden und Partner delegiert haben, in welchen Ländern diese ansässig sind und welche Nutzungsbedingungen gelten. Stellen Sie sicher, dass Sie die geltenden Vorschriften einhalten und Ihren Kunden und Partnern das gleiche Zugriffsniveau bieten können.

Stellen Sie sicher, dass Sie die richtigen Werkzeuge und Prozesse für die Zugriffsverwaltung Ihrer Kunden und Partner einsetzen - einschliesslich starker Passwörter, Mehrfaktor-Authentifizierung und regelmässiger Sicherheitsaudits. Die Kontrolle zu behalten ermöglicht es Ihnen, das Zugriffsmanagement zu Ihrem Vorteil zu nutzen.

von

Gabriel Tanguay

Gabriel Tanguay

Software Engineering Berater

Wollen Sie Ihre Kunden wirklich selbst besitzen?

Melden Sie sich bei uns. Wir helfen Ihnen, eine Identitätsschicht einzurichten, bei der die Kundenbeziehung - und die Zugriffsentscheidungen - bei Ihnen bleiben. Antwort innerhalb eines Werktags.

Sprechen Sie mit uns