19. Oktober 2017 von Julian Steffen
Single Sign-on für Alle!
Als im Juni 2016 die Anforderungen des bei uns anstehenden Projekts „Kundenportal“ bekannt wurden, staunten wir nicht schlecht: Innerhalb der nächsten sechs Monate sollte ein neuer Kundenzugang realisiert werden, der mehrere Altsysteme integrieren und darüber hinaus die Möglichkeit bieten sollte, von jedem Arbeitsplatz nach einmaliger Anmeldung auf sämtliche verknüpfte Datenbanken zugreifen zu können.
Zwei Softwarelösungen des Dienstleisters ForgeRock – OpenAM und OpenDJ – ermöglichten die budget- und termingerechte Umsetzung der Kundenwünsche. OpenAM ist ein Werkzeug zur Zugangsverwaltung und hält für den Authentifizierungsprozess mehr als zwanzig fertige Module bereit, die kombiniert und produktspezifisch angepasst werden können. So konnten wir schon in der ersten Projektphase externe Benutzer für bereits vorhandene Datenbanken authentifizieren.
Die Sicherheitsüberprüfung wurde von einem externen Dienstleister durchgeführt; hier wurden alle Sicherheitsanforderungen des Kunden erfüllt und so stand dem anvisierten Starttermin für den neuen Zugang nichts mehr im Wege.
„ForgeRock.“- „Wer?“
In der Reihe der „Big Player“ der Softwareentwickler taucht die Firma ForgeRock nicht auf. Der geringe Bekanntheitsgrad der Firma wird stets in Kundengesprächen deutlich, wenn wir erklären, welchen Stellenwert und welche Relevanz ihre Produkte und Dienstleistungen für adesso einnehmen.
Als 2010 Oracle den Konkurrenten Sun Microsystems übernahm, entschieden einige der Sun-Entwickler, den Open-Source-Leitgedanken der Firma weiterzuverfolgen und gründeten in Norwegen ForgeRock. Mittlerweile beschäftigt die Firma mehr als 400 Mitarbeiter und betreut 600 Kunden, die zu gleichen Teilen aus Europa und den USA stammen.
Standards setzen
Der realisierte Standard ermöglicht Mitarbeitergruppen den Zugriff auf den internen Datenpool einer Firma – auch ohne die Eingabe eines zusätzlichen Passwortes. Die Authentifizierung der Benutzer erfolgt nun während des Windows-Login und reicht aus, um anschließend weitere fachspezifische Applikationen verwenden zu können.
Durch die Verwendung von Standards konnte somit innerhalb kürzester Zeit eine Single-Sign-on-Lösung umgesetzt werden. Wie bereits erwähnt, spielt der Speicherort der aktuellen Nutzerdaten hierbei keine Rolle. Da verschiedene Datenpools (proprietäre Benutzerdatenbank, ADFS) in zahlreichen Varianten angebunden werden können, erfolgte in diesem Projekt eine schnelle, sichere und robuste Realisierung der Anforderungen.
Damit folgt unser Ansatz der von Ian Sorbe (Head of Product Technology & Secruity HSBC) auf dem Identity Summit 2017 in Düsseldorf ausgegebenen Leitlinie:
• „Strong desire to USE these“
• „Zero desire to CODE there“
Er bezog sich damit auf die weit verbreitete Vorstellung vieler Kunden, ihre IAM-Komponenten aus einem verständlicherweise starken Sicherheitsbedürfnis heraus selbst implementieren zu müssen. Doch besteht das Kerngeschäft eines Branchenriesen wie HSBC nicht aus der Programmierung von sicheren IAM-Komponenten, sondern aus deren Nutzung – was wiederum die Relevanz von Produkten externer Dienstleister wie ForgeRock erhöht.
Indem wir auf Standards setzen, können wir natürlich auch in Zukunft die Wünsche unseres Kunden zeitnah realisieren und weitere Drittanbieter besser in die vorhandene Architektur integrieren.
Standards weiterdenken
Durch den Einsatz von Standardsoftware wird die Umsetzung der Anforderungen beschleunigt. Technische Fragen machen aber nicht den Hauptteil der Arbeit an Identity- und Access-Management-Projekten aus. Er besteht vielmehr darin, die Geschäftsprozesse zu beschreiben und zu modellieren. Dieser Schritt kostet selbstverständlich Zeit und benötigt eine frühzeitige Abstimmung auf das ausgewählte Produkt.
Bis Ende 2017 soll die alte Datenbank von einer völlig neuen Nutzer- und Rechteverwaltung abgelöst werden. Diese soll unterschiedliche Eigenschaften wie Self-Services, die Synchronisation unterschiedlicher Datenpools über sogenannte Konnektoren und eine integrierte Workflow-Engine zusammenbringen.
OpenIDM bietet die Möglichkeit, unterschiedliche Nutzerprofile und die damit verbundenen Prozesse vollständig zu verwalten. Mithilfe selbstgeschriebener Skripts können etwa das Erstellen und Aktualisieren von Benutzerprofilen unkompliziert und schnell umgesetzt werden.
Die Rechteverwaltung ist über die Beziehung einzelner Objekte zueinander organisiert. Für Benutzer, Benutzergruppen und die verknüpften Accounts wird automatisch eine bestimmte Anzahl an Restschnittstellen generiert, die bereits während der Entwicklung getestet werden können. Eine individuelle Definition zusätzlicher Restendpunkte ist ebenfalls möglich.
Da das Programm nicht nur Personen, sondern auch Dingen eine Identität zuweisen kann, ist es möglich, einem Firmenauto eine bestimmte Mitarbeitergruppe zuzuordnen. Statt wie bisher für nur einen einzelnen Mitarbeiter, der etwa im Krankheitsfalle als Fahrer verhindert sein kann, wird das Fahrrecht automatisch für eine Vertretung freigeschaltet: „Identity for everyone and everything.“
Und in Zukunft?
Wie die Bereiche Cloud-Speicher, IoT oder biometrische Sicherheit in den letzten Jahren bewiesen haben, entwickelt sich das Feld des Identity und Access Management stetig weiter. Für manche Kunden ist bei der Zwei-Wege-Authentifizierung beispielsweise eine verfeinerte Fingerabdruck- oder Spracherkennung von größtem Interesse. Da in jüngster Zeit Produkte wie Alexa (Amazon) oder Siri (Apple) bei der Softwaresteuerung eine Verschiebung hin zu verbalen Befehlen ausgelöst haben, werden Fragen einer veränderten Nutzerinteraktion auch in Zukunft aktuell bleiben.
Dementsprechend stellte ForgeRock auf dem diesjährigen Identity Summit bereits eine Demo für Amazons Alexa vor. Ein weiterer zukünftiger Anwendungsfall für ForgeRock-Produkte entsteht durch eine neue EU-Richtlinie. Die Richtlinie PSD2 sieht vor, dass Banken ihre Schnittstellen (API) auch Drittanbietern zur Verfügung stellen müssen. Diese Anforderungen lassen sich komfortabel und sicher mit OpenIG umsetzen.
Schlussgedanke
Ich bin davon überzeugt, dass adesso mit der ForgeRock-Partnerschaft den richtigen Weg in die Zukunft eingeschlagen hat, da wir uns im Bereich des Identity und Access Management nun besser positionieren können.
Dieser Beitrag ist auch im „Der Bank Blog“ erschienen.