Das Homeoffice-Modell erlebt aufgrund des Abstandsgebots wegen der Corona-Pandemie einen großen Aufschwung. Immer mehr Mitarbeiter arbeiten von externen Standorten aus und loggen sich in Heim- oder öffentliche Netzwerke ein. Doch auch sie benötigen denselben Zugriff auf die Unternehmensressourcen wie im Büro und dieselben Sicherheitsstandards: Verletzungen der Datensicherheit könnten Unternehmen zum Stillstand bringen und das Vertrauen von Mitarbeitern und Kunden dauerhaft zerstören.
Deshalb sind erhebliche Anstrengungen nötig, um alle Geräte vor Schadsoftware und Online-Bedrohungen zu schützen. Durch die Nutzung von Sicherheitsmaßnahmen mit Single Sign On (SSO) und Geräte-/Benutzerauthentifizierung wehren Unternehmen diese Bedrohungen ab, ohne die Produktivität der Benutzer zu beeinträchtigen.
Was ist Single Sign On?
SSO ist eine Anmeldungsmethode für den Zugriff auf unterschiedliche Anwendungen mit ein und denselben Zugangsdaten. Laut Glossar der IT-Expertenplattform Techtarget handelt es sich bei SSO um eine verknüpfte Übereinkunft zur Identitätsverwaltung auf Basis des Open Authorization Frameworks (OAuth). So können alle Account-Daten eines Nutzers für Serviceleistungen von Drittanbietern genutzt werden, ohne vertrauliche Passwortdaten preiszugeben.
OAuth fungiert als Mittler im Auftrag des Nutzers. Das Protokoll stellt einen Zugangs-Token bereit, der die Weitergabe spezifischer Account-Daten gestattet. Wenn ein Nutzer versucht, auf eine Anwendung des Dienstanbieters zuzugreifen, sendet dieser eine Authentifizierungs-Anfrage an den Identity Provider. Der Dienstanbieter prüft die Authentifizierung und gestattet dem Nutzer die Anmeldung oder verweigert diese, wenn der Nutzer nicht erfolgreich authentifiziert wird.
Welche SSO-Konfigurationen gibt es?
• Security Assertion Markup Language (SAML) erleichtert den Austausch der Nutzerauthentifizierung und -autorisierung über sichere Domains. Bei diesem Vorgang erfolgt die Kommunikation zwischen dem Nutzer, dem Dienstanbieter und einem Identity Provider, der ein Benutzerverzeichnis führt.
• Bei Kerberos-basiertem SSO wird ein Ticket Granting Ticket (TGT) mit den Anmeldedaten des Nutzers ausgestellt. Das TGT ruft Servicetickets für Anwendungen ab, auf die der Nutzer zugreifen möchte, ohne dass er jedes Mal seine Anmeldedaten wieder neu eingeben muss.
• Beim Smartcard-SSO verwendet der Nutzer eine Smartcard mit seinen Anmeldedaten. Nach der erstmaligen Verwendung muss er seinen Nutzernamen und sein Passwort nicht erneut eingeben, da diese auf der Smartcard gespeichert sind. Dadurch müssen sich die Nutzer weniger Passwörter und Nutzernamen merken und es kommt zu wesentlich weniger Helpdesk-Anfragen wegen vergessener Anmeldedaten. Zudem wird dadurch der Login bei Anwendungen beschleunigt.
Was ist Authentifizierung?
Authentifizierung bezeichnet den Vorgang, der die Identität eines Systems bzw. einer Person auf sichere Weise prüft und feststellt. Werden beispielsweise ein Nutzername und ein Passwort zur Anmeldung an einem Gerät genutzt, wird beim Authentifizierungsvorgang geprüft, ob der Nutzer tatsächlich die Person ist, die er zu sein behauptet, bevor der Zugang gewährt wird.
Authentifizierungsdienste für die Identitätsprüfung und die Account-Verwaltung vor Ort sind Active Directory (AD) oder Lightweight Directory Access Protocol (LDAP). Angesichts der heutigen modernen Netzwerkumgebungen, in denen immer mehr Nutzer auf Ressourcen in der Cloud zugreifen, veralten diese Dienste recht schnell.
Die Authentifizierungsdienste unterliegen zudem gewissen Beschränkungen:
• Externe Nutzer müssen sich im lokalen Netzwerk (LAN) befinden oder ein Virtual Private Network (VPN) nutzen, um Zugriff auf interne Ressourcen zu erhalten. Dies schränkt die Bedienerfreundlichkeit ein.
• Bei Verwendung eines AD-Plugins können Nutzer ihre Passwörter nur dann ändern, wenn AD erreichbar ist. Dies führt zu Verwirrungen und verursacht kostspielige Helpdesk-Anfragen, wenn die Nutzer ihre Passwörter vergessen.
• Mit AD bzw. LDAP ist es extrem schwierig, eine Multi-Faktor-Authentifizierung zu realisieren, die Sicherheitsprotokolle optimiert.
• Immer mehr Unternehmen steigen von Windows-PCs auf Macs um. Die Nutzung von AD als primärer Identity Provider schränkt dabei die Verwaltungsfunktionen für den Mac ein. Somit müssen Zusatzprodukte anderer Anbieter eingesetzt werden. Dies erhöht die Komplexität der Nutzerverwaltung und verursacht Mehrkosten.
• IT-Administratoren können keine Befehle und Skripte in Form von Richtliniendokumenten bereitstellen. Fehlen solche Richtliniendokumente, können Einstellungen nicht beim Computer bzw. Nutzer angewendet werden. Die beste Lösung, um diese Beschränkungen zu umgehen, sind Cloud-Identity-Provider.
Was ist eine cloudbasierte Identität?
Mithilfe cloudbasierter Identitäten kann die IT-Abteilung Nutzer, Gruppen und Passwörter zentral verwalten und auf Unternehmensanwendungen und Cloud-Ressourcen zugreifen. Cloud-Identity-Provider etwa von Microsoft, Google, Okta oder IBM ermöglichen allen Mitarbeitern – extern und vor Ort – mithilfe von SAML und OAuth sicheren Zugriff auf die Ressourcen, die sie für produktives Arbeiten benötigen.
Die Anzahl der verfügbaren Cloud-Identity-Anbieter ist also groß. Unternehmen müssen im ersten Schritt die Authentifizierungs- und Identity-Management-Lösung finden, in die sich die meisten oder gar alle Anbieter integrieren lassen.
Vorteile einer Authentifizierungs- und Identity-Management-Lösung
• Einfache Account-Erstellung
Mac-Accounts können mithilfe von Okta, Microsoft Azure, Google Cloud, IBM Cloud, Ping Federate und One Login erstellt werden. Dies erhöht die Bedienerfreundlichkeit bei der Anmeldung und ermöglicht der IT-Abteilung die Verwaltung eines gut organisierten Mac-Bestands.
• Sichere Registrierung
Ein modernes Authentifizierungsverfahren erfasst und überwacht, wo, wann und wer auf welche Geräte zugreift. So kann sichergestellt werden, dass der richtige Nutzer angemeldet ist, bevor vertrauliche Daten bereitgestellt werden.
• Vermeidung gemeinsamer Administrator-Accounts
Durch die Einrichtung mehrerer Accounts für IT-Administratoren werden Berechtigungen vom Cloud-Identity-Provider übernommen. Dadurch wird die Verwendung eines gemeinsam genutzten Accounts vermieden.
• Durchsetzen von Passwortrichtlinien
Die Administratoren können Passwortrichtlinien zentral über den Identity-Provider durchsetzen. So bleiben die Einheitlichkeit und die Sicherheit bei allen Nutzern gewahrt.
• Passwortsynchronisierung
Nutzername und Passwort für den Mac werden mit den Anmeldedaten von Azure, Okta und Ping Federate synchronisiert. Auf diese Weise wird lediglich eine Identität für den Zugriff auf alle erforderlichen Ressourcen genutzt.
Durch die Integration von Cloud-Identity-Providern in eine Authentifizierungs- und Identity-Management-Lösung können IT-Administratoren Nutzerpasswörter und den Zugriff auf Unternehmensanwendungen ferngesteuert verwalten. Der Mitarbeiter nutzt für alle Zwecke denselben Nutzernamen und dasselbe Passwort. Dies sorgt für maximale Usability und bietet dennoch höchste Sicherheit der Accounts – egal, ob das Team im Büro, Home Office oder Lieblingscafé arbeitet.
Wichtige Dienste per Zwei-Faktor-Authentifizierung schützen
Autor: Oliver Hillegaart
Oliver Hillegaart ist Regional Sales Manager DACH bei Jamf. Dort unterstützt er IT-Administratoren bei der sicheren Verwaltung von Apple-Geräten – und sorgt so dafür, dass Datensicherheit und die Zufriedenheit der Mitarbeiter mit ihren mobilen Geräten Hand in Hand gehen.