Einfach. Sicher. Gegen Geldautomatensprengungen.

Single-Sign-on für Alle!

Identity- und Access-Management als geschäftskritische Faktoren

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Der Bereich Identity und Access Management gewinnt im Zuge der Digitalisierung an Bedeutung. Ein Kundenprojekt für eine Single-Sign-on-Lösung verdeutlicht, wie auch komplexe Anforderungen erfolgreich bewältigt werden können.

Zugangssicherung durch Identity- und Access-Management

Customer Identity und Access Management zur Sicherung digitaler Zugriffe werden immer wichtiger für Banken

Partner des Bank Blogs

Berg Lund & Company ist Partner des Bank Blogs

Als im Juni 2016 die Anforderungen des bei uns anstehenden Projekts „Kundenportal“ bekannt wurden, staunten wir nicht schlecht: Innerhalb der nächsten sechs Monate sollte ein neuer Kundenzugang realisiert werden, der mehrere Altsysteme integrieren und darüber hinaus die Möglichkeit bieten sollte, von jedem Arbeitsplatz nach einmaliger Anmeldung auf sämtliche verknüpfte Datenbanken zugreifen zu können.

Zwei Softwarelösungen des Dienstleisters ForgeRock – OpenAM und OpenDJ – ermöglichten die budget- und termingerechte Umsetzung der Kundenwünsche. OpenAM ist ein Werkzeug zur Zugangsverwaltung und hält für den Authentifizierungsprozess mehr als zwanzig fertige Module bereit, die kombiniert und produktspezifisch angepasst werden können. So konnten wir schon in der ersten Projektphase externe Benutzer für bereits vorhandene Datenbanken authentifizieren.

Die Sicherheitsüberprüfung wurde von einem externen Dienstleister durchgeführt; hier wurden alle Sicherheitsanforderungen des Kunden erfüllt und so stand dem anvisierten Starttermin für den neuen Kundenzugang nichts mehr im Wege.

„ForgeRock.“- „Wer?“

In der Reihe der „Big Player“ der Softwareentwickler taucht die Firma ForgeRock nicht auf. Der geringe Bekanntheitsgrad der Firma wird stets in Kundengesprächen deutlich, wenn wir erklären, welchen Stellenwert und welche Relevanz ihre Produkte und Dienstleistungen für die adesso AG einnehmen.

Als 2010 Oracle den Konkurrenten Sun Microsystems übernahm, entschieden einige der Sun-Entwickler, den Open-Source-Leitgedanken der Firma weiterzuverfolgen und gründeten in Norwegen ForgeRock. Mittlerweile beschäftigt die Firma  mehr als 400 Mitarbeiter und sie betreut 600 Kunden, die zu gleichen Teilen aus Europa und den USA stammen.

Standards setzen

Der realisierte Standard ermöglicht Mitarbeitergruppen den Zugriff auf den internen Datenpool einer Firma – auch ohne die Eingabe eines zusätzlichen Passwortes. Die Authentifizierung der Benutzer erfolgt nun während des Windows-Login und reicht aus, um anschließend weitere fachspezifische Applikationen verwenden zu können.

Durch die Verwendung von Standards konnte somit innerhalb kürzester Zeit eine Single-Sign-on (SSO) Lösung umgesetzt werden. Wie bereits erwähnt spielt der Speicherort der aktuellen Nutzerdaten hierbei keine Rolle. Da verschiedene Datenpools (Proprietäre User Datenbank, ADFS) in zahlreichen Varianten angebunden werden können, erfolgte in diesem Projekt eine schnelle, sichere und robuste Realisierung der Anforderungen.

Damit folgt unser Ansatz der von Ian Sorbe, dem Head of Product Technology & Secruity HSBC auf dem Identity Summit 2017 in Düsseldorf ausgegebenen Leitlinie:

  • „Strong desire to USE these“
  • „Zero desire to CODE there“

Er bezog sich damit auf die weit verbreitete Vorstellung vieler Kunden, ihre IAM-Komponenten aus einem verständlicherweise starken Sicherheitsbedürfnis heraus selbst implementieren zu müssen. Doch besteht das Kerngeschäft eines Branchenriesen wie HSBC nicht in der Programmierung von sicheren IAM-Komponenten, sondern in deren Nutzung – was wiederum die Relevanz von Produkten externer Dienstleister wie ForgeRock erhöht.

Indem wir auf Standards setzen, können wir natürlich auch in Zukunft die Wünsche unseres Kunden zeitnah realisieren und weitere Drittanbieter besser in die vorhandene Architektur integrieren.

Standards weiterdenken

Durch den Einsatz von Standardsoftware wird die Umsetzung der Anforderungen beschleunigt. Technische Fragen aber machen nicht den Hauptteil der Arbeit an Identity und Access Management Projekten aus. Er besteht vielmehr darin, die Geschäftsprozesse zu beschreiben und zu modellieren. Dieser Schritt kostet selbstverständlich Zeit und benötigt eine frühzeitige Abstimmung auf das ausgewählte Produkt.

Bis Ende 2017 soll die alte Datenbank von einer völlig neuen Nutzer- und Rechteverwaltung abgelöst werden. Diese soll so unterschiedliche Eigenschaften wie Self-Services, die Synchronisation unterschiedlicher Datenpools über sogenannte Konnektoren und eine integrierte Workflow-Engine zusammenbringen.

OpenIDM bietet die Möglichkeit, unterschiedliche Nutzerprofile und die damit verbundenen Prozesse vollständig zu verwalten. Mit Hilfe selbstgeschriebener Skripts können etwa das Erstellen und Aktualisieren von Benutzerprofilen unkompliziert und schnell umgesetzt werden.

Die Rechteverwaltung ist über die Beziehung einzelner Objekte zueinander organisiert. Für Benutzer, Benutzergruppen und die verknüpften Accounts wird automatisch eine bestimmte Anzahl an Restschnittstellen generiert, die bereits während der Entwicklung getestet werden können. Eine individuelle Definition zusätzlicher Restendpunkte ist ebenfalls möglich.

Da das Programm nicht nur Personen, sondern auch Dingen eine Identität zuweisen kann, ist es möglich, einem Firmenauto eine bestimmte Mitarbeitergruppe zuzuordnen. Statt wie bisher für nur einen einzelnen Mitarbeiter, der etwa im Krankheitsfalle als Fahrer verhindert sein kann, wird das Fahrrecht automatisch für eine Vertretung freigeschaltet: „Identity for everyone and everything.“

Und in Zukunft?

Wie die Bereiche Cloud-Speicher, IoT oder biometrische Sicherheit in den letzten Jahren bewiesen haben, entwickelt sich das Feld des Identity- und Access-Management stetig weiter. Für manche Kunden ist bei der Zwei-Wege-Authentifizierung beispielsweise eine verfeinerte Fingerabdruck- oder Spracherkennung von größtem Interesse. Da in jüngster Zeit Produkte wie Alexa (Amazon) oder Siri (Apple) bei der Softwaresteuerung eine Verschiebung hin zu verbalen Befehlen ausgelöst haben, werden Fragen einer veränderten Nutzerinteraktion auch in Zukunft aktuell bleiben.

Customer Identity Management Plattform

ForgeRock bietet eine Customer Identity Management Plattform auf Open Source Basis

Dementsprechend stellte ForgeRock auf dem diesjährigen Identity Summit bereits eine Demo für Amazons Alexa vor. Ein weiterer zukünftiger Anwendungsfall für ForgeRock Produkte entsteht durch eine neue EU-Richtlinie. Die Richtlinie PSD2 sieht vor, dass Banken ihre Schnittstellen (API) auch Drittanbietern zur Verfügung stellen müssen. Diese Anforderungen lassen sich komfortabel und sicher mit OpenIG umsetzen.

Schlussgedanke

Ich bin davon überzeugt, dass die adesso AG mit der ForgeRock-Partnerschaft den richtigen Weg in die Zukunft eingeschlagen hat, da wir uns im Bereich des Identity- und Access-Management nun besser positionieren können. Wir werden viele Kunden auch langfristig davon überzeugen können, dass die adesso AG kompetente Identity- und Access-Management-Lösungen anbietet und mit hoher IT-Fachkompetenz umsetzen kann.

Partner des Bank Blog - adesso

Partner des Bank Blog – adesso


Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.

Über den Autor

Julian Steffen

Julian Steffen ist Software Engineer bei der adesso AG und wird seit Januar 2017 in der Line of Business Banking am Standort Stuttgart eingesetzt. Seine Kernkompetenzen liegen in den Bereichen DevOps sowie Identity- und Access-Management. Im Jahr 2011 schloss er sein Studium der Informatik an der Hochschule Trier erfolgreich ab, wo er im Anschluss als Bachelor of Science als Informatikdozent tätig war. Daneben baute er seine Selbstständigkeit im IT-Bereich aus. Nach einem längeren Auslandsaufenthalt war er für die Firma ITBox in Trier tätig.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren