Berechtigungs- und Identitätsmanagement
10 | 2020

Berechtigungs- und Identitätsmanagement

Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität geben. Im Oktober-Heft zeigt die IT-Administrator Redaktion, wie Zero-Trust-Strategien vom Identity- und Access-Management profitieren und was die quelloffene Software OpenIAM zu bieten hat. Auch erfahren Sie, wie Sie die Zwei-Faktor-Authentifizierung mit FIDO2 und Single-Sign-on mit VMware Workspace One einrichten.
Editorial: Auf ewig erfasst
2008, zur Zeit der Finanzkrise, veröffentlichte ein Programmierer unter dem Pseudonym Satoshi Nakamoto eine Möglichkeit, Informationen dezentral und unveränderbar zu speichern. Die Blockchain war geboren. Seither von Tech-Enthusiasten und Libertären gefeiert, gibt es scheinbar kein Einsatzszenario, für das sich die Technologie nicht in irgendeiner Form eignet. Der Transfer und die Aufbewahrung von Geldwert war lediglich der Anfang. Unternehmensanteile, Grundstücke, Oldtimer, Kunst – alles lässt sich digitalisiert abbilden. Das gilt auch für Identitäten. Und selbstredend gibt es auch für diesen Verwendungszweck längst Projekte.

Aktuell

News

Interview
Eine immer heterogenere IT-Landschaft, mobile Mitarbeiter und zielgerichtete Angriffe machen ein sicheres wie ganzheitliches Identitäts- und Zugriffsmanagement nötig. Martin Kuppinger, Gründer und Principal Analyst bei KuppingerCole, erläutert, worauf es dabei ankommt und welche Fehler Unternehmen vermeiden sollten.

Workshops, Trainings und Intensiv-Seminare
In ganz Deutschland veranstaltet IT-Administrator regelmäßig praxisnahe halbtägige Workshops, ganztägige Trainings und mehrtägige Intensiv-Seminare. In kleinen Gruppen von 10 bis 25 Teilnehmern bringen Ihnen unsere erfahrenen Dozenten dabei aktuelles Know-how näher. In den Intensiv-Seminaren sowie einigen Trainings bietet sich sogar die Möglichkeit, in einer virtuellen Umgebung vor Ort das Präsentierte direkt nachzuvollziehen. Alle Themen, Termine und Anmeldemöglichkeiten finden Sie unter www.it-administrator.de/trainings. Für Abonnenten gelten günstige Vorteilspreise.

Tests

Daccord Microsoft Edition
Je größer das Active Directory und das Filesystem werden, desto schwerer ist es, veraltete oder ungenutzte Benutzer- oder Dienstkonten zu finden sowie die effektiven Rechte im Dateisystem zu ermitteln. Hier setzt die neue Daccord Microsoft Edition an, um die Situation zu analysieren und auf Auffälligkeiten sowie Schwachstellen hinzuweisen. Der IT-Administrator wollte genauer wissen, wie gut der Überblick gelingt.

FirstWare DynamicGroup 2020
Das Windows-AD knüpft Berechtigungen ausschließlich an Gruppen. Die Rechtevergabe im Dateisystem anhand der OUs ist dem Betriebssystem unbekannt, obwohl dies eine sehr hilfreiche Funktion darstellen würde. FirstWare DynamicGroup automatisiert die Verwaltung von Gruppen im Active Directory und sortiert Benutzer dynamisch basiert auf OUs sowie Attributen in Gruppen ein. IT-Administrator hat sich das Tool angesehen und war von seiner Flexibilität begeistert.

C-IAM MY-CAMP
Für die IT-Mannschaft und damit auch für die Sicherheit des Unternehmensnetzwerks ist folgende Frage entscheidend: Wer hat oder hatte wann und wo Zugriff auf Daten und Ressourcen? Ein Werkzeug zum Identity- und Access-Management kann hier helfen. Wir haben uns mit MY-CAMP ein solches modulares System angeschaut. Gut gelöst fanden wir Workflow-Management und Drilldown, vermisst haben wir eine Dokumentation.

Wallix BestSafe 4.0
Das Ziel von Administratoren, Computer sicher zu halten, lässt sich nicht mehr nur mit einem Virenscanner erreichen, da die Entwickler von Malware immer cleverere Methoden verwenden. Mit BestSafe 4.0 von Wallix schauen wir uns ein Tool an, um Applikations- und Benutzerprivilegien zu managen und somit für mehr Sicherheit zu sorgen. Im Test hat uns vor allem das genaue Steuern von Parametern für den Remotezugriff gefallen und dass wir die Regeln für Benutzer und Computer präzise festlegen konnten.

Praxis

Sicheres Unified Communications (2)
Seitens der Anbieter kommen in Sachen Unified Communications meist nur bunte Features zur Sprache. Unter dem Radar bleiben jedoch eine steigende Komplexität, eine Vergrößerung der IT-Umgebung gegenüber reinen Telekommunikationssystemen und damit eine größere Zahl an Angriffsvektoren. Im ersten Teil unserer Workshopserie haben wir grundlegende Security-Aspekte beleuchtet. Im zweiten Teil wenden wir uns den spezifischen Maßnahmen zu.

Softwareverteilung organisieren
Softwareverteilung ist für viele IT-Organisationen aufgrund der Komplexität und des hohen manuellen Aufwands bis heute ein Ärgernis. Dabei zeigt sich in der Praxis, dass sich dieses Ärgernis nur selten durch die Entscheidung für ein bestimmtes Produkt oder ein Image-Format verringert. Vielmehr gilt es, den Prozess der Softwareverteilung zu analysieren und die richtige Vorgehensweise für die eigene Umgebung zu definieren.

Neuerungen in Windows 10 2004 und 2009
Das Funktionsupdate Windows 10 2004 steht seit Mai 2020 zur Verfügung. Der offizielle Name lautet Windows 10 Mai 2020. Das Update enthält auch sämtliche Features und Fixes, die in früheren kumulativen Updates für Windows 10 Version 1909 enthalten sind. Wir zeigen, welche Neuerungen Sie erwarten, und geben außerdem einen Ausblick auf das im Herbst verfügbare Windows 10 2009.

Kubernetes einrichten und betreiben (2)
Nachdem der erste Workshopteil mit einer Installation von Microk8s die Grundprinzipien von Kubernetes dargelegt hat, stellen wir im zweiten Teil nun eine professionelle Distribution vor: OKD, die freie Open-Source-Variante von Red Hats OpenShift. Im Gegensatz zu einer simplen Distribution wie Microk8s hat der Administrator hiermit weniger Arbeit. Er muss sich nicht um die Deklaration der Services und Routen für Container kümmern und auch der Datenschutz und die Ausfallsicherheit sind an Bord.

Newslettersystem richtig auswählen
Die Wahl einer Newslettersoftware ist keine alleinige Domäne der IT mehr. Im
besten Fall sind Marketing- und Vertriebsabteilung sowie Datenschützer mit im Boot. Denn längst ist die Materie komplex geworden – DMARC, DSGVO und A/B-Tests sind nur einige Stichworte. Erfahren Sie, welche hauptsächlichen Kriterien die Auswahl eines Versandsystems bestimmen sollten.

Webseiten mit AWS Lambda überwachen
Mit Lambda verspricht AWS eine Code-Plattform, die genau mit der Größe der Arbeitslast skaliert. Wir zeigen, wie Sie mit AWS Lambda starten und eine Funktion verwenden, um eine Webseite ohne den Einsatz eines Servers zu überwachen. Weiterhin erfahren Sie, wie sich das interne Netzwerk richtig aufbauen lässt, damit eine Lambda-Funktion mit internen nichtöffentlichen AWS-Ressourcen kommunizieren kann.

Open-Source-Tipp
Mit der steigenden Anzahl von produktiven Anwendungen, die in Containern ausgeführt werden, rückt das Thema Sicherheit weiter in den Fokus. Mithilfe von SELinux erhält ein Container nur auf ganz bestimmte Ressourcen Zugriff. Das Tool udica hilft dabei, die SELinux-Policy an die eigenen Bedürfnisse anzupassen. Wie Sie dieses Werkzeug am einfachsten einsetzen, zeigt Ihnen unser Open-Source-Tipp.

Security-Tipp
Die Branchengrößen Google und Facebook haben Single Sign-on im Web mit OAuth2 beziehungsweise OpenID salonfähig gemacht und sind heute unter den größten Anbietern zu finden. Möchten Sie jedoch die Daten Ihrer Kunden oder Mitarbeiter nicht in die Hände der großen Player legen, ermöglicht Ihnen die von Red Hat entwickelte Software Keycloak den eigenen Betrieb und die Option, bestehende Kerberos- oder LDAP-Konten einzubinden.

Tipps, Tricks und Tools
In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Schwerpunkt

Identity- und Access-Management mit OpenIAM
Identity- und Access-Management spielt in vielen Unternehmen eine zentrale Rolle. Denn in modernen IT-Infrastrukturen mit lokalen Ressourcen, zahlreichen Anwendungen und Clouddiensten verursacht die händische Benutzerverwaltung einen erheblichen Aufwand und ist zudem fehleranfällig. In diesem Umfeld existieren neben einer Vielzahl kommerzieller Angebote seit geraumer Zeit auch diverse Open-Source-Werkzeuge wie OpenIAM. Wir zeigen, wie OpenIAM die zentrale Benutzerverwaltung umsetzt.

Sichere Authentifizierung mit FIDO2
Seit Jahren predigen Sicherheitsforscher, dass Passwörter keine Zukunft haben und als Methode zur Authentifikation verschwinden müssen. Viel Hoffnung lag auf biometrischen Verfahren, zumindest als weiterer Faktor neben dem Passwort. Der bereits 2014 veröffentlichte Standard zu FIDO und FIDO2 erlaubt unter anderem eine passwortlose Authentifikation. Wir stellen Ihnen die Voraussetzungen für einen FIDO2-Einsatz vor und zeigen die Implementierung anhand eines Beispiels.

Single Sign-on mit Workspace ONE von VMware
Single Sign-on vereinfacht nicht nur das Leben der Anwender, es kann auch Kosten reduzieren, indem es beispielsweise das Supportaufkommen verringert. Mit zunehmender Cloudnutzung und gleichzeitiger Verschiebung der IT-Sicherheitsparadigmen rückt Single Sign-on wieder in den Mittelpunkt der Aufmerksamkeit von IT-Verantwortlichen. Wie die einmalige Anmeldung im Umfeld moderner Anwendungen umzusetzen ist, zeigen wir anhand des Clientmanagements mit VMware Workspace ONE von VMware.

Identity Management mit Gluu
Open-Source-Anwendungen für das Identity Access Management bieten oft zahlreiche Funktionen, aber wenig Komfort. Die Authentifizierungssoftware Gluu kombiniert bewährte Open-Source-Lösungen zu einem umfassenden Produkt für das IAM. Der Hersteller verspricht unter anderem eine einfache Bedienung und Unterstützung für Zwei-Faktor-Authentifizierung. Wir haben uns angesehen, wie gut Gluu dieses Versprechen umsetzt.

Zero Trust implementieren (1)
Wann ist eine Benutzeridentität vertrauenswürdig? Eine wichtige Frage, der sich Admins stellen müssen, wenn die Anwender auf Dienste in der Cloud zugreifen. Im Azure AD hält Microsoft Werkzeuge bereit, die es erlauben, den Zugriff zu steuern und zu dokumentieren. "Zero Trust" ist hier ein bekanntes Schlagwort. Wir sehen uns in der zweiteiligen Workshopserie an, worauf es dabei ankommt und wie Identitäten zu schützen sind – ganz egal ob für Standardbenutzer oder für Administratoren.

Zero-Trust-Strategien benötigen ein starkes IAM
Zero Trust ist neben Cloud First und der Arbeit im Home Office wohl das Schlagwort, das IT-Verantwortliche in Unternehmen – abgesehen vom Kostendruck – derzeit am meisten umtreibt. Dabei hängen alle drei Themen unmittelbar zusammen, da es um die Veränderung der Art und Weise geht, wie IT heute und in Zukunft betrieben wird. Welche Rolle das Identitäts- und Access-Management, kurz IAM, dabei spielt, beleuchtet dieser Beitrag.

Rollenbasierte Enterprise-Suchsysteme
Smarte Suchsysteme für den Einsatz in großen Unternehmen analysieren riesige Datenbestände nahezu in Echtzeit. In Sachen Performance sind sie Menschen und herkömmlicher Volltextsuche deutlich überlegen. Gleichzeitig bilden sie im Idealfall Rechte- und Compliance-Szenarien exakt ab und verhindern dadurch unberechtigte Zugriffe auf Informationen. Der Beitrag zeigt unter anderem, warum dabei korrekt gesetzte Rechteprofile so wichtig sind.

Credential Harvesting verhindern
Viele Benutzer speichern ihre Anmeldedaten im Webbrowser, um schnell Zugriff auf ihr E-Mail-Konto, Soziale Medien oder einen Clouddienst zu erhalten. Cyberkriminelle nutzen das aus und versuchen, Benutzernamen und Passwörter zu stehlen – eine Praxis bekannt als "Credential Harvesting". Neben Phishing setzen Kriminelle eine Vielzahl anderer Taktiken ein wie Social Engineering, Malware oder Skimming. Um sich besser vor Angriffen zu schützen, ist es wichtig, die Methoden der Angreifer zu kennen.

Rubriken

Buchbesprechung

Fachartikel online

Aus dem Forschungslabor
Die Stromversorgung in entlegenen Gebieten oder über weite Strecken ist nicht einfach. In der Regel müssen aufwendig zu installierende sowie unschöne Stromleitungen den Energietransport übernehmen. Alternativ bieten sich unterirdische und damit noch schwieriger zu verlegende Erdkabel an. Ein Start-up in Neuseeland möchte Strom künftig drahtlos übertragen.
Sichere Dir jetzt Dein Schnupperabo mit sechs Ausgaben zum Preis von drei!PrintausgabeE-Paper