Authentifizierung und SAP Single Sign-On

Identitäts- und Zugriffsverwaltung

Damit Unternehmensressourcen (Anwendungen oder Daten) von bestimmten Dingen (Personen oder Systeme) genutzt werden können, ist der Einsatz einer zentralen Identitäts- und Zugriffsverwaltung ratsam. Die Identitäts- und Zugriffsverwaltung, auch Identity and Access Management (IAM), verwaltet den End-to-End-Lebenszyklus von Nutzeridentitäten und -berechtigungen für alle Unternehmensressourcen.

Durch die digitale Transformation werden die Systemumgebungen immer komplexer, so halten beispielweise Multicloud-Hybrid-IT-Umgebungen und Software-as-a-Service (SaaS)-Lösungen weiter Einzug in die Unternehmen. Mobile Applikationen auf mobilen Devices ermöglichen ebenso den Zugriff auf Ressourcen, wie Portale oder schon bestehende On-Premise-Systeme.

Ist die Identitäts- und Zugriffsverwaltung optimal konfiguriert, trägt diese zur Unternehmensproduktivität bei. Durch einheitliche Zugangsvorgänge können zum einen die "Dinge" wie  Personen oder Systeme das reibungslose Funktionieren sicherstellen. Aber auch die Unternehmenssicherheit wird durch eine zentrale Identitäts- und Zugriffsverwaltung erhöht. So können auch die Compliance-bezogene Ziele (z. B. BSI, SOX und DSGVO) durch ein zentrales IAM erreicht werden.

Die wichtigsten Hauptfunktionen eines IAM:

  • Verzeichnisdienste: Eine zentralisierte Verwaltung von Anmeldeinformationen.
  • Zugriffsverwaltung: Verwaltet die Zugriffsrichtlinien, beispielsweise über SSO (Single Sign-On) und MFA (Multifactor Authentication).
  • Single Sign-On (SSO): Funktion zur einmaligen Authentifizierung, um im weiteren Verlauf beim Zugriff auf weitere Anwendungen oder Dienste ohne erneute Eingabe der Login-Daten zugreifen zu können.
  • Multifaktor-Authentifizierung (MFA): Höhere Sicherheit, durch eine verbesserte Authentifizierung durch sekundäre Authentifizierungskontrollen.
  • Identity Governance: Verwaltet den Lebenszyklus von Benutzerkonten und den Berechtigungen.

Benutzerauthentifizierung

Eine der Hauptaufgaben einer zentralen Identitäts- und Zugriffsverwaltung (auch Identity und Access Management (IAM)) besteht in der Verwaltung von Benutzerkonten und Zugriffsrechten in IT-Systemen, sowie die Authentifizierung von Identitäten wie z.B. Benutzer.

Verzeichnisdienste

Der Verzeichnisdienste ist ein Teil eines Identity und Access Management (IAM) und ist für die Verwaltung von Identitäten verantwortlich. Identitäten können z.B. Benutzerobjekte mit Attributen, Rollen und Passwörtern sein. Bei einer Benutzeranmeldung prüft der Verzeichnisdienste in seiner Datenbank, ob die eingegebenen Anmeldedaten wie Benutzernamen und ein Passwort übereinstimmen.

Authentifizierung vs. Autorisierung

Durch Authentifizierung wird bestätigt, dass Benutzer diejenigen sind, die sie zu sein vorgeben. Die Autorisierung erteilt dann die Erlaubnis auf Ressourcen zuzugreifen.

Authentifizierung: Wer bist du?

Autorisierung: Was darfst du?

SAML2

Die Security Assertion Markup Language (SAML) ist eine Methode, um Anwendungen und Diensten mitzuteilen, dass der Anmeldende derjenige ist, der er zu sein behauptet. Durch SAML wird SSO möglich. man kann mit SAML einen Benutzer einmal authentifizieren und diese Authentifizierung dann an mehrere Anwendungen übermitteln. Die aktuellste Version von SAML ist SAML 2.0.

OAuth 2.0

Das OAuth ist ein Autorisierungsprotokoll um einen sicheren Zugang zu ermöglichen ohne die Daten des Nutzers zu gefährden. Der Client hält keine Login-Daten, sondern der Login erfolgt direkt am Autorisierungsserver. Mit dem ausgestellten Access-Token kann der User dann auf berechtigte Ressourcen zugreifen.

  1. Der OAuth-Client leitet den Nutzer an den Autorisierungsserver weiter, um den Zugriff auf die Ressource innerhalb eines bestimmten Umfangs (Scope) anzufordern.

  2. Der Autorisierungsserver führt eine direkte interaktive Anmeldung mit dem Nutzer durch. Der Autorisierungsserver bestätigt, dass der Nutzer für die angegebenen Scopes die Berechtigungen erhält.

  3. Der Autorisierungsserver leitet den Nutzer mit einem einmaligen Autorisierungscode an den OAuth-Clients weiter.

  4. Der OAuth-Client authentifiziert sich bei dem Autorisierungsserver und tauscht den Autorisierungscode gegen ein Zugriffstoken um.

  5. Mit diesem Zugriffstoken fragt der OAuth-Client die Ressource beim Ressourcenserver an.

SAML und OAuth

SAML und OAuth werden gerade in Cloud- oder Web-Anwendungsumgebungen gerne gemeinsam genutzt.

SAML wird in diesem Szenario für SSO genutzt.

OAuth kommt für die Autorisierung und die Authentifizierung zum Einsatz.

Anwendungen mit SAML und OAuth

Wir unterstützen unsere Kunden beim Einsatz von SAML und OAuth in Verbindung mit folgenden Anwendungen:

  • Microsoft Entra ID (Azure AD)
  • Neptune DXP
  • SAP-Server
  • SAP Business Technology Platform
  • SAP Identity Authentication Service (IAS)
  • SAP Identity Provisioning Service (IPS)

Unsere Leistungen

  • Analyse der aktuellen Systemumgebung
  • Konzeption der SOLL-Systemumgebung
  • Umsetzung der Einrichtungen
  • Projektmanagement
  • Managed Services

NEHMEN SIE JETZT KONTAKT MIT UNS AUF!

Wir helfen Ihnen gerne persönlich weiter.

+49 931 730 403 31

vertrieb@fink-its.de

Kontaktanfrage