Identitätsmanagement vom Profi

Lösungen zum Identitätsmanagement gibt es sowohl von kommerziellen Anbietern wie Cisco, als auch von der Open-Source-Gemeinde. Für welchen Anwender kommt am ehesten welche Lösung in Frage? Und wo punktet das Open-Source-Angebot?

Grundsätzlich fällt auf, dass die kommerziellen Angebote einen größeren Funktionsumfang mitbringen. Zu den gebotenen Funktionalitäten mehr weiter unten. Zwar lassen sich diese Funktionen auch mit Open-Source-Software (OSS) abbilden, dann müssen aber verschiedene Anwendungen kombiniert und getrennt voneinander verwaltet werden. Grundsätzlich erfassen IAM-Lösungen immer mehr als nur eine Zugangskontrolle wie ein WLAN-Passwort. Sie verlangen zudem noch gültige Anmeldedaten pro Anwender und können auch die jeweilige Hardware des Nutzers identifizieren. Darüber hinaus können leistungsfähige Lösungen auch weitere Faktoren heranziehen: Kommt der Client per VPN von außen oder greift er über das lokale (W)LAN zu? Ist die Uhrzeit des Anmeldeversuchs außergewöhnlich? Erfolg der Zugriff aus dem Home Office, einer Filiale oder aus dem Hauptsitz des Unternehmens? All diese Angaben steuern dann regelbasiert den individuellen Zugriff. So lässt sich zum Beispiel festlegen, dass Mitarbeiter, die außerhalb der Bürozeiten vom Heimarbeitsplatz aus auf das Netzwerk zugreifen, nur Zugang zu ihren E-Mails haben. Die Fileserver stehen nur bei Anmeldungen aus dem Büronetzwerk zur Verfügung.

IdM-Systeme lassen sich auch mit Firewalls verzahnen

Sieht eine Firewall ungewöhnlichen Netzwerkverkehr von einem Client abgehen, meldet sie dies an die Lösung für die Identitäts- und Zugriffskontrolle, die das Endgerät dann anhand dieser Informationen in Quarantäne schiebt. Bei Wireless-LANs kann auch der Ort zur Zugriffssteuerung dienen: Mitarbeiter in Krankenhäusern können beispielsweise nur von den Arztzimmern aus auf Patientendaten zugreifen. Nicht aber von der Cafeteria aus oder dem Wartebereich. Im Zusammenhang mit WLAN-Zugriffen empfehlen sich IAM-Lösungen, die eine eigene Nutzerverwaltung für Gastzugänge mitbringen. Denn nicht jeder Gast oder Partner, der nur für kurze Zeit Zugriff benötigt, muss auch im Active Directory angelegt werden. Ein spezieller Worksflow ermöglicht einen vom Rest des Hausnetzes getrennten Zugang zum Internet. Die gesetzliche Auflage, die Nutzung des eigenen Internet-Zuganges durch Fremde nachweisen zu können, wird erfüllt.

"Einen deutlichen Unterschied zwischen Open Source und kommerziellem Angebot wie dem von Cisco gibt es in jedem Fall bei der Ersteinrichtung." - Andreas Gulle, Senior Systems Engineer NETFOX AG

Hier ist eine Open-Source-Lösung zeitaufwändiger, da es keine vorgefertigte Installation gibt. Das Anpassen an die eigenen Anforderungen erfordert dann Zeit. Gleichzeitig ist das aber auch ein Vorteil: Wer sich Anpassungen am Quelltext zutraut, kann sich die IDM-Lösung mit Open Source maßschneidern. Im kommerziellen Umfeld gibt es diese Chance nicht. Wenngleich die Anforderung einer solch detaillierten Anpassung sich in den meisten Unternehmen oder Behörden auch nicht ergeben dürfte. Mehr Aufwand verlangen Open-Source-Angebote auch im Betrieb. Denn typischerweise müssen Sicherheits- oder Funktionsupdates von Hand installiert werden. Beziehungsweise müssen Administratoren sich selbst auf dem Laufenden halten, ob es ein Update gibt. Kommerzielle Lösungen haben in aller Regel automatische Updatemechanismen an Bord.

Haben Sie Fragen zu dem Thema Identity- und Access Management?

Netfox Systems Engineer

 

 

 

 

 

 

Lassen Sie sich von uns beraten, kompetent und ausführlich. Ihr Ansprechpartner Andreas Gulle steht Ihnen gerne bei Fragen zum dem Thema Cisco Identity Services Engine (ISE) unter 033203 290600 zur Verfügung. Als zertifizierter Security-Spezialist kennt er sich mit Stärken und Schwächen von Identity Management Systemen bestens aus.

Teilen: