4. April 2024
Identity Orchestration ist eine Softwarelösung, mit der sich verteilte Identity und Access Management-Systeme (IAM) von mehreren Identitätsanbietern in reibungslose Workflows integrieren lassen.
Angesichts der digitalen Transformation setzen Organisationen zunehmend auf Software-as-a-Service-Lösungen (SaaS), wechseln zu hybriden Multicloud-Umgebungen und fördern die Remote-Arbeit. Moderne IT-Ökosysteme von Unternehmen basieren auf einer Vielzahl von Cloud-basierten und lokalen Apps und Assets verschiedener Anbieter, die von Mitarbeitern und Auftragnehmern bis hin zu Partnern und Kunden von verschiedenen Benutzern genutzt werden.
Laut einem Bericht verwendet die durchschnittliche Unternehmensabteilung 87 verschiedene SaaS-Apps.1 Diese Apps verfügen oft über eigene Identitätssysteme, die sich möglicherweise nicht einfach untereinander integrieren lassen. Infolgedessen haben viele Unternehmen mit fragmentierten Identitätssystemen und umständlichen Benutzererfahrungen zu kämpfen.
So könnte ein Mitarbeiter beispielsweise separate Konten für das Ticket-Management-System und das CRM-Portal (Customer Relationship Management) des Unternehmens haben. Dies kann eine einfache Aufgabe, wie die Abwicklung von Kundenservice-Tickets, erschweren. Der Benutzer muss mit verschiedenen digitalen Identitäten jonglieren, um Ticketdetails von einem System und relevante Kundendaten von einem anderen zu erhalten.
Mittlerweile haben IT- und Cybersicherheits-Teams Schwierigkeiten, die Benutzeraktivitäten zu verfolgen und einheitliche Richtlinien für die Zugriffskontrolle im gesamten Netzwerk durchzusetzen. Im vorangegangenen Beispiel kann es passieren, dass der Mitarbeiter über mehr Berechtigungen verfügt, als er im Projektmanagement-System benötigt, während seine CRM-Berechtigungen zu niedrig sind, um auf die Datensätze der Kunden zuzugreifen, die er betreut.
Identity Orchestration-Software hilft bei der Optimierung des Identity und Access Managements, indem sie verschiedene Identitäts- und Authentifizierungsdienste in zusammenhängende, automatisierte Workflows einbindet.
Alle Identitätstools eines Unternehmens sind mit der Orchestrierungssoftware integriert, die Verbindungen zwischen ihnen herstellt und verwaltet. Diese Funktion ermöglicht es dem Unternehmen, eine benutzerdefinierte IAM-Architektur aufzubauen, wie z. B. herstellerunabhängige Single Sign-On (SSO)-Systeme, ohne bestehende Systeme zu ersetzen oder umzurüsten.
Wie im vorherigen Beispiel kann das Unternehmen eine Identity Orchestration-Plattform verwenden, um die Konten der Mitarbeiter in den Ticket-Management- und CRM-Systemen mit einer SSO-Plattform zu verbinden und alles mit einem zentralen Benutzerverzeichnis zu verknüpfen. Benutzer können sich so einmal beim SSO anmelden, um auf beide Apps zuzugreifen, und das zentrale Verzeichnis überprüft automatisch ihre Identität und erteilt die richtigen Zugriffsberechtigungen für jeden Dienst.
Verstärken Sie Ihre Sicherheitsintelligenz
Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.
In der Informationstechnologie ist Orchestrierung der Prozess der Verbindung und Koordination unterschiedlicher Tools, um komplexe, mehrstufige Workflows zu automatisieren. Im Bereich der Sicherheitsorchestrierung könnte ein Unternehmen beispielsweise ein sicheres E-Mail-Gateway, eine Bedrohungsdatenplattform und eine Anti-Malware-Software miteinander verknüpfen, um einen automatisierten Phishing-Erkennungs- und Reaktions-Workflow zu erstellen.
Identity Orchestration verbindet und koordiniert die Funktionen verteilter Identitätstools, um einheitliche, optimierte Identitäts-Workflows zu erstellen.
Identitätstools sind Werkzeuge, die eine Organisation zur Definition, Verwaltung und Sicherung von Benutzeridentitäten verwendet, wie z. B. Identitätsprüfungssysteme und Plattformen für Identity und Access Management von Kunden.
Identitäts-Workflows sind die Prozesse, mit denen Benutzer durch die Identitätstools navigieren. Beispiele für Identitäts-Workflows umfassen Benutzeranmeldungen, Onboarding und Kontobereitstellung.
Identitäts-Tools lassen sich nicht immer leicht integrieren, insbesondere wenn Unternehmen mit SaaS-Tools arbeiten, die in verschiedenen Clouds gehostet werden, oder wenn sie versuchen, Lücken zwischen lokalen und cloudbasierten Systemen zu schließen. Plattformen zur Identity Orchestration können diese Tools miteinander verbinden, auch wenn sie nicht für eine Integration vorgesehen sind.
Identity Orchestration-Plattformen agieren als zentrale Steuerungsebene für alle Identitätssysteme in einem Netzwerk. Jedes Identitätstool lässt sich in die Orchestrierungsplattform integrieren und schafft so eine umfassende Identitätsarchitektur, die als Identitätsstruktur bezeichnet wird.
Unternehmen müssen keine dieser Integrationen fest codieren. Stattdessen verwenden Orchestrierungsplattformen eine Mischung aus vorgefertigten Konnektoren, Anwendungsprogrammierschnittstellen (APIs) und gemeinsamen Standards wie SAML und OAuth, um Verbindungen zwischen Tools zu verwalten.
Sobald die Identitätsmanagementsysteme in ein Identity Fabric eingebunden sind, kann das Unternehmen die Orchestrierungsplattform nutzen, um ihre Aktivitäten zu koordinieren und zu steuern, wie sich Benutzer während der Identitäts-Workflows zwischen den Tools bewegen. Entscheidend ist, dass die Orchestrierungsplattform Authentifizierung und Autorisierung von einzelnen Apps entkoppelt, was komplexe Identitäts-Workflows ermöglicht.
Wie bereits erwähnt, kann es sein, dass verschiedene Identitätssysteme nicht miteinander kommunizieren, wenn keine Orchestrierungslösung vorhanden ist. Wenn ein Unternehmen beispielsweise ein CRM-Tool (Customer Relationship Management) und ein DMS (Document Management System) von verschiedenen Anbietern verwendet, verfügt möglicherweise jede App über ein eigenes IAM-System.
Benutzer müssen in jeder App separate Konten führen. Um auf eine der Apps zuzugreifen, melden sich die Benutzer direkt bei diesem Dienst an. Authentifizierung und Autorisierung würden innerhalb des jeweiligen IAM-Systems der einzelnen Apps erfolgen und nicht zwischen den Apps übertragen werden.
Mit einer Orchestrierungslösung sieht die Sache anders aus. Wenn ein Benutzer auf eine der Apps zugreift, wird die Anfrage zuerst über die Orchestrierungslösung geleitet. Die Lösung leitet die Anfrage an den richtigen Identitätsprüfungs- und Zugriffskontrolldienst weiter, der ein zentrales Verzeichnis außerhalb der beiden Apps sein kann.
Sobald der Benutzer durch das zentrale Verzeichnis authentifiziert und autorisiert ist, veranlasst die Orchestrierungsplattform die App, den Benutzer mit den richtigen Berechtigungen einzulassen.
Um die Identity Orchestration in der Praxis umzusetzen, verwenden Unternehmen Identity-Orchestration-Plattformen, um Identity-Workflows zu erstellen. Auch als „User Journeys“ bezeichnet, sind Identitäts-Workflows Prozesse, die festlegen, wie sich ein Benutzer in bestimmten Situationen, z. B. bei der Anmeldung bei einer App, durch die Identitätstools bewegt – und wie diese Tools interagieren.
Workflows können einfach oder relativ komplex sein, mit bedingter Logik und verzweigten Pfaden. Sie können viele verschiedene Systeme beinhalten, darunter auch einige, die nicht unbedingt als Identitätswerkzeuge gelten, wie E-Mail-Dienste und Social-Media-Websites.
Identity Orchestration-Lösungen ermöglichen es Unternehmen, User Journeys zu erstellen, ohne neuen Code schreiben zu müssen. Diese Lösungen bieten visuelle, auf No-Code basierende Drag-and-Drop-Schnittstellen, mit denen Ereignisse definiert, Identitätswerkzeuge verbunden und Benutzerpfade erstellt werden können.
Um zu verstehen, was Identitäts-Workflows sind, kann es hilfreich sein, sich ein Beispiel anzusehen. Hier ist ein fiktiver Workflow für die Einarbeitung und Anmeldung neuer Mitarbeiter, den ein Unternehmen mithilfe einer Orchestrierungsplattform erstellen kann.
- Zunächst erstellt der neue Mitarbeiter ein Konto in einem Self-Service-HR-Portal. Dadurch wird der Onboarding-Workflow gestartet.
- Die Identity Orchestration Platform löst die Erstellung einer eindeutigen Benutzeridentität für den neuen Mitarbeiter im zentralen Verzeichnisdienst des Unternehmens aus. Der neue Mitarbeiter erhält automatisch eine Reihe von rollenbasierten Zugriffsrechten.
- Die Orchestrierungsplattform richtet dann für den neuen Mitarbeiter Konten für alle relevanten Dienste ein, einschließlich der Apps, die er bei der Arbeit verwenden wird, und Back-Office-Systeme wie die Lohnbuchhaltungssoftware. Diese Konten sind mit der Hauptbenutzeridentität des neuen Mitarbeiters im zentralen Verzeichnis verknüpft.
- Nachdem der Mitarbeiter im System erfasst wurde, kann er sich bei seiner Unternehmens-E-Mail-App anmelden. Anstatt direkt über die E-Mail-App zu gehen, wird die Anmeldeanfrage an die Orchestrierungsplattform gesendet.
- Die Orchestrierungsplattform leitet die Anfrage durch ein Betrugserkennungssystem, das nach Anzeichen für verdächtiges Verhalten sucht. Da sich der neue Mitarbeiter zum ersten Mal in sein E-Mail-Konto einloggt, wird er als Person mit höherem Risiko eingestuft.
- Als Nächstes wird die Anmeldeanforderung an die SSO-Plattform des Unternehmens gesendet. Da der neue Mitarbeiter als ein höheres Risiko eingestuft wurde, wird die adaptive Authentifizierung aktiviert. Der neue Mitarbeiter muss die Multi-Faktor-Authentifizierung (MFA) verwenden, um auf sein Konto zuzugreifen.
- Der neue Mitarbeiter vervollständigt die Authentifizierungsanforderungen und wird vom zentralen Verzeichnis authentifiziert und autorisiert. Die Orchestrierungsplattform leitet diese Informationen an die SSO-Plattform weiter, die dem neuen Mitarbeiter mit den richtigen Berechtigungen Zugriff auf sein E-Mail-Konto und alle anderen Apps hinter dem SSO gewährt.
Auch wenn es hier einige Schritte gibt, läuft alles automatisch im Hintergrund ab, ohne dass der Benutzer etwas davon bemerkt. Die Orchestrierungsplattform überwacht den gesamten Prozess. Außerdem sind zukünftige Anmeldungen noch einfacher. Der Benutzer meldet sich beim SSO an, das ihn nun erkennt und ihm Zugriff auf alle erforderlichen Funktionen gewährt.
Identity Orchestration Plattformen ersetzen keine bestehenden Identitäts-Systeme. Sie schaffen Verbindungen zwischen diesen Systemen und ermöglichen so die Zusammenarbeit verschiedener Apps und Tools, auch wenn diese nicht dafür entwickelt wurden. Diese Funktion kann Unternehmen dabei helfen, einige häufig auftretende Probleme zu lösen.
Viele Unternehmen nutzen mehrere Cloud-Provider und lokale Tools von verschiedenen Anbietern. Wenn diese Systeme nicht integriert sind, verlieren Unternehmen den Überblick über das Benutzerverhalten im gesamten Netzwerk. IT- und Sicherheitsteams können beispielsweise einen einzelnen Benutzer nicht zwischen Microsoft Azure und Amazon Web Services nachverfolgen, da sie für jede Cloud separate Konten verwenden.
Diese fragmentierte Geschäftswelt kann es auch schwierig machen, einheitliche Zugriffsrichtlinien und Sicherheitskontrollen für alle Apps und Assets eines Unternehmens durchzusetzen.
Diese Lücken in der Transparenz und Sicherheit bieten Hackern und böswilligen Insidern die Möglichkeit, unentdeckt Schaden anzurichten. Besonders viel steht auf dem Spiel, wenn es um Identitätssysteme geht, die die Hauptziele von Cyberkriminellen sind. Laut dem X-Force® Threat Intelligence Index nahmen Cyberangriffe mit gestohlenen oder kompromittierten Zugangsdaten zwischen 2022 und 2023 um 71 % zu.
Unternehmen können Identitätssilos theoretisch vermeiden, indem sie nur Tools von einem Anbieter oder nur Tools verwenden, die für die Integration konzipiert sind. Das würde jedoch bedeuten, dass die Unternehmen nicht immer die richtigen Tools für die jeweilige Aufgabe auswählen könnte.
Identity Orchestration kann Identitätssilos aufbrechen und die Transparenz wiederherstellen, ohne dass massive Änderungen an den bestehenden Systemen erforderlich sind. Unternehmen können zentralisierte Verzeichnisse erstellen, um eine einzige digitale Identität für jeden Benutzer zu unterstützen. Dies ermöglicht es dem Unternehmen, das Verhalten zu verfolgen und Bedrohungen in Echtzeit über Apps und Assets hinweg zu verfolgen. Unternehmen können Orchestrierung auch nutzen, um einheitliche Zugriffskontrollen im gesamten Netzwerk anzuwenden.
Darüber hinaus können Plattformen zur Identity Orchestration die Verwaltung des Identitätslebenszyklus für alle Arten von Benutzern, einschließlich Mitarbeitern, Kunden und anderen, zentralisieren. Organisationen können Unternehmenssicherheitskontrollen in verbrauchernahe Assets integrieren, ohne die Kundenerfahrung zu stören.
SSO ermöglicht es Benutzern, sich mit denselben Anmeldedaten bei mehreren Systemen anzumelden, aber jede SSO-Plattform ist möglicherweise nicht mit allen Apps und Assets eines Unternehmens kompatibel. Dies liegt daran, dass verschiedene SSOs unterschiedliche Standards wie SAML oder OIDC verwenden können, um Authentifizierungsinformationen zwischen Systemen auszutauschen. Wenn eine App oder ein Asset nicht denselben Standard wie eine bestimmte SSO verwenden kann, kann sie nicht mit dieser SSO kommunizieren.
Plattformen zur Identity Orchestration können SSOs mit Anwendungen verbinden, die nicht nativ integriert sind. Die Apps und das SSO sind nicht direkt miteinander verbunden, sondern nur über die Plattform für die Identity Orchestration. Die Identity Orchestration Platform kümmert sich dann um die Kommunikation zwischen den Systemen, so dass Unternehmen alle ihre Apps und Assets unabhängig von der Kompatibilität unter dieselbe SSO stellen können.
Unternehmen möchten neue Sicherheitsmaßnahmen wie MFA oder passwortlose Authentifizierung häufig auch auf ältere Apps ausweiten. Solche Modernisierungsmaßnahmen können jedoch teuer und zeitaufwändig sein und erfordern häufig einen benutzerdefinierten Code oder einen vollständigen Systemaustausch.
Identity Orchestration kann den Prozess vereinfachen. Unternehmen können die visuellen Schnittstellen von Orchestrierungsplattformen nutzen, um Identitäts-Workflows zu entwerfen, die die neuesten Sicherheitstools in Legacy-Anwendungen integrieren. Dies ermöglicht es einem Unternehmen, cloudbasierte und lokale Ressourcen in einer einzigen Zero-Trust-Architektur zu vereinen.
Unternehmen benötigen Einblick in das Nutzerverhalten, um Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder den Health Insurance Portability and Accountability Act (HIPAA) einzuhalten.
Diese Vorschriften verlangen, dass Unternehmen strenge Zugriffskontrollrichtlinien für sensible Daten wie Kreditkartennummern und Gesundheitsinformationen anwenden und verfolgen, was Benutzer mit diesen Daten tun. Wenn Benutzer mehrere digitale Identitäten haben, kann es schwierig sein, sicherzustellen, dass nur die richtigen Personen aus den richtigen Gründen auf die richtigen Daten zugreifen.
Die Identitätsorchestrierung kann Unternehmen dabei helfen, Compliance-Anforderungen zu erfüllen, indem sie die Verfolgung des Benutzerverhaltens und die Durchsetzung einheitlicher Zugriffsberechtigungen erleichtert. Einige Orchestrierungsplattformen führen auch Protokolle über Identitäts-Workflows, die im Falle einer Prüfung hilfreich sein können.