Identity and Access Management (IAM)
IAM beschreibt Konzepte und Praktiken zur Verwaltung digitaler Identitäten, Authentifizierung und Zugriffssteuerung über Systeme hinweg.
Klassifikation
- KomplexitätHoch
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeReif
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Single Point of Failure bei unzureichender Redundanz des IAM-Systems.
- Fehlkonfigurierte Policies führen zu Überprivilegierung.
- Daten- und Privatsphäre-Risiken bei ungeschützter Identitätsdatenhaltung.
- Durchsetzung des Least-Privilege-Prinzips und zeitlich begrenzte Berechtigungen.
- Automatisiertes Provisioning und Deprovisioning via verknüpfter Quellen.
- Regelmäßige Zugriffskontrollen und Rollenanpassungen durch Reviews.
I/O & Ressourcen
- Verzeichnisdienstdaten (LDAP/AD)
- Anwendungs- und Rollenmodell
- Authentifizierungs- und Autorisierungsprotokolle
- Provisionierte Nutzerkonten und zugewiesene Berechtigungen
- Audit- und Compliance-Reports
- SSO- und Token-Management für Anwendungen
Beschreibung
Identity and Access Management (IAM) ist ein konzeptioneller Rahmen zur zentralisierten Verwaltung digitaler Identitäten, Authentifizierung und Zugangskontrollen. Er definiert Prozesse, Rollen, Richtlinien und technische Mechanismen für Provisioning, Single Sign-On, Autorisierung und Auditierung, um Sicherheit und Compliance in verteilten IT-Landschaften sicherzustellen.
✔Vorteile
- Verbesserte Sicherheit durch zentrale Richtlinien und Kontrolle.
- Erhöhte Effizienz beim Provisioning und Onboarding.
- Bessere Nachweisbarkeit und Compliance-Fähigkeit.
✖Limitationen
- Hoher Implementierungsaufwand bei heterogenen Legacy-Systemen.
- Abhängigkeit von korrekter Rollen- und Policy-Modellierung.
- Betriebliche Komplexität durch Token-/Session-Management.
Trade-offs
Metriken
- Zeit bis zur Bereitstellung (Provisioning Time)
Durchschnittliche Zeit vom HR-Auslöser bis zur vollständigen Konto- und Rechtezuweisung.
- Fehlgeschlagene Anmeldeversuche pro Nutzer
Anzahl fehlerhafter Authentifizierungsversuche in definiertem Zeitraum zur Erkennung von Angriffen.
- Häufigkeit privilegierter Zugriffskontrollen (Review Frequency)
Intervall, in dem privilegierte Accounts geprüft und bestätigt werden.
Beispiele & Implementierungen
Keycloak als unternehmensweiter Identitäts-Provider
Open-Source-Deployment mit OIDC/SAML-Unterstützung, SSO und Benutzerverzeichnis-Integration.
AWS IAM für Cloud-Ressourcensteuerung
Fein granularer Zugriff auf Cloud-Ressourcen mittels Rollen, Richtlinien und temporären Credentials.
Unternehmensweite SSO-Einführung mit Azure AD
Zentrale Identitätsverwaltung und SSO-Integration für SaaS-Applikationen und interne Systeme.
Implementierungsschritte
Analyse der vorhandenen Identitätsquellen und Anwendungen.
Definition von Rollen, Policies und Governance-Prozessen.
Auswahl und Konfiguration einer IAM-Plattform inkl. Integrationen.
Test, Rollout und Etablierung von Betriebs- und Auditprozessen.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Hartkodierte Berechtigungslogik in Anwendungen statt zentraler Policies.
- Veraltete Verzeichnisprotokolle ohne modernes Provisioning-API.
- Unzureichende Automatisierung für Deprovisioning-Prozesse.
Bekannte Engpässe
Beispiele für Missbrauch
- Vergabe von Administratorrechten als Standardrolle für Produktivität.
- Speicherung von Credentials in unverschlüsselten Systemen.
- Nichtbeachtung von Audit-Logs bei sicherheitsrelevanten Ereignissen.
Typische Fallen
- Unterschätzung des Integrationsaufwands mit Legacy-Systemen.
- Fehlende Redundanz und Backup-Strategien für IAM-Kernelemente.
- Komplexe Rollenmodelle ohne dokumentierte Entscheidungsregeln.
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Vorhandene Legacy-Verzeichnisse mit eingeschränkter API-Unterstützung.
- • Regulatorische Vorgaben zum Datenschutz und zur Aufbewahrung von Logs.
- • Limitierte Ressourcen für Betrieb und Monitoring in kleinen Teams.