BLOG

IDaaS, alles außer der Verzeichnissynchronisierung

F5 Miniaturansicht
F5
Veröffentlicht am 15. Juni 2017

Zurück in2011 Marc Andreesen hat den berühmten Satz „Software frisst die Welt“ gesagt. Wir haben gesehen, wie dies Früchte trägt, auch wenn ich diese Aussage heute folgendermaßen aktualisieren würde: „SaaS erobert die Welt.“ SaaS und die abonnementbasierte Bereitstellung von Applications sind für die meisten Organisationen zum bevorzugten Verbrauchsmodell geworden. Das Marktanalyseunternehmen IDC prognostiziert, dass nahezu alle Softwareanbieter bis 2018 vollständig auf ein SaaS-Bereitstellungsmodell umgestiegen sein werden.[1] .

Wir lieben unser SaaS. Und was gibt es daran nicht zu mögen? Die Pay-as-you-go-Preise sind geschäftsfreundlich. Es ermöglicht eine schnelle Skalierung (nach oben oder unten), verringert den Platzbedarf der lokalen Infrastruktur, senkt die Kapitalkosten, bla bla bla – wenn Sie diesen Blog lesen, wissen Sie das alles wahrscheinlich schon.

Aber bei SaaS ist das so: Wir müssen trotzdem noch IT-Sicherheitskontrollen implementieren. Während wir uns bei der Sicherung der Plattform auf den Dienstanbieter verlassen, müssen wir selbst dafür sorgen, dass der Zugriff auf unsere über SaaS bereitgestellten Business-Apps gut geschützt ist. Die Gefahr kompromittierter Konten ist wohl das größte Sicherheitsrisiko bei der Einführung öffentlicher Cloud-SaaS-Angebote. Wir können es nicht dulden, dass unsere Mitarbeiter schwache oder gemeinsam genutzte Passwörter für diese Apps verwenden. Und Haftnotizen auf den Schreibtischen der Benutzer bringen uns zum Schaudern. Allerdings machen strenge Kennwortrichtlinien es den Mitarbeitern schwer, insbesondere wenn sie die Kennwörter regelmäßig ändern müssen.

Wir benötigen eine Identitäts- und Zugriffsverwaltung für Cloud-Apps, die strenge Richtlinien ermöglicht, ohne den Benutzern oder dem IT-Personal einen Verwaltungsaufwand aufzubürden. Und natürlich möchten wir dies in einem Identity-as-a-Service-Modell (IDaaS) bereitstellen. Es gibt heute einige gute IDaaS-Angebote auf dem Markt, etwa die von Ping Identity und Okta. Diese Lösungen bieten SSO und SAML-basierte Föderation für Cloud-basierte Apps. Ihre Mitarbeiter authentifizieren sich einfach gegenüber IDaaS und haben nahtlosen Zugriff auf alle ihre Cloud-Apps. Einfacher, unkomplizierter und sicherer Zugriff auf die benötigten Cloud-Apps.

Klingt toll, oder? Kopieren oder synchronisieren Sie einfach Ihr lokales Benutzerverzeichnis auf die Plattform des IDaaS-Anbieters, konfigurieren Sie einige SAML-fähige SaaS- Applications und schon können Sie mit der Föderation beginnen. Warte, was? Mein Verzeichnis in die Cloud kopieren? Lassen Sie mich darüber nachdenken …

Wir alle möchten die Einfachheit und Sicherheitsvorteile von SSO für Cloud und SaaS, aber Kopien des Unternehmensverzeichnisses auf der Plattform eines Drittanbieters sind nicht jedermanns Sache. Ich bin zwar davon überzeugt, dass Dienstanbieter die Sicherheit ernst nehmen. Aufgrund der vertraulichen Daten, die sie hosten, können sie jedoch auch häufig zum Ziel von Angriffen werden. Aus Sicherheitsgründen ist die Begrenzung des Risikos in der Cloud einfach sinnvoll.

Die Berichte über das Ende des lokalen Verzeichnisses waren stark übertrieben. Bei F5 haben wir Kunden, die ihre Verzeichnisse einfach nicht der öffentlichen Cloud zugänglich machen möchten. Es gibt jedoch eine Möglichkeit, alle Vorteile von IDaaS zu nutzen, ohne Ihr Verzeichnis in die IDaaS-Plattform einfügen zu müssen – die sogenannte SAML-Identitätsverkettung. Hier kann der IDaaS-Föderationsidentitätsanbieter (IdP) zu einem lokalen IdP wie F5 BIG-IP APM umleiten, der sicheren Zugriff auf das lokale Unternehmensverzeichnis hat. Mitarbeiter können transparent über das lokale Verzeichnis authentifiziert werden und die entsprechende SAML-Assertion kann für föderiertes SSO für SaaS-Apps an IDaaS zurückgesendet werden.

Dieses IdP-Verkettungsmodell ermöglicht zudem die Ausweitung lokaler Zugriffsrichtlinien auf Cloud- Applications. Darüber hinaus können eine Multi-Faktor-Authentifizierung (MFA) und ein kontextbasierter Richtlinienzugriff für Apps hinzugefügt werden. Ziemlich cool, oder?

Wenn Sie die Implementierung von IDaaS in Erwägung ziehen, aber Bedenken hinsichtlich der Freigabe Ihres Unternehmensverzeichnisses in der Cloud haben, kann die IdP-Verkettung Ihre Bedenken ausräumen. Die meisten marktführenden IDaaS-Anbieter unterstützen IdP-Verkettung und F5 BIG-IP APM hat Erfahrung in der Zusammenarbeit mit nahezu allen von ihnen. Machen Sie weiter und nutzen Sie IDaaS ohne Angst ...

[1] IDC-Prognose für weltweite und regionale öffentliche IT-Cloud-Dienste, 2015–2019