Federated Identity Management (FIM)

Unter einer Federated Identity versteht man eine Identität, die sich über mehrere Systeme erstreckt. Um Autorisierungen und Zugriff zu effektivieren und die Sicherheit zu erhöhen, sind verschiedene Methoden bekannt, die sich im Identity and Access Management einordnen lassen. Die Autorisierung von Nutzern erfolgt heute häufig in Clouds – das hat verschiedene Vorteile für die Sicherheit und die Anwenderfreundlichkeit.

Eine bekannte und nutzerfreundliche Art des Identitäts- und Autorisierungsmanagements ist das FIM – Federated Identity Management, das neben SSO genutzt wird, um Autorisierungen in einem Netzwerk bereitzustellen. Wie funktioniert die Authentifizierung der User in einer Federation? Und welche Unterschiede gibt es zwischen FIM und SSO?

Was ist Federated Identity Management?

In einer Föderation werden Zugriffsrechte organisationsübergreifend zwischen den Teilnehmern und Nutzern verwaltet. Dabei geht es um Berechtigungen für die Nutzung von Diensten, Applikationen oder Daten innerhalb einer Federation – einem Netzwerk von Nutzern, Identity Providern und Serviceanbietern sowie einer verifizierenden Stelle, der Federated Application. Die Aufgaben des FIM bestehen in diesem Netzwerk darin, Nutzer zuverlässig und einfach zu authentifizieren.

Was ist eine Federation?

Eine Federation bezeichnet ein Netzwerk aus Service Providern und Identity Providern, das es sich zur Aufgabe gemacht hat, gemeinsame Lösungen und Standards für die Identifikation und Autorisierung von Nutzern anzuwenden. Als Werkzeug der Autorisierung nutzt diese Föderation einen bestimmten Mechanismus – die “Federated Application”.

Stellt ein Nutzer eine Anfrage für die Nutzung von einem Service bei einem Service Provider, kann dieser auf die Identifizierung des Identity Providers vertrauen. Die Föderation ist etwa mit einem Verbund von Unternehmen (Service Providern) in einem Gebäude (Federation) zu vergleichen, das einen Sicherheitsdienst (Federated Application) damit beauftragt hat, Personen am Eingang zu überprüfen und entsprechend der Anfrage und Rolle der Nutzer in die richtige Etage zu verweisen.

Der Sicherheitsdienst prüft dafür die Identitäten der Nutzer an zentralen Stellen (den Identity Providern) und erteilt entsprechend Zugang zu den erforderlichen Gebäuden.

Vorteile von FIM

Benutzerfreundlichkeit

Ist die Authentifizierung einmal erfolgt, steht eine Vielzahl von Möglichkeiten zur Verfügung – ganz ohne erneute Benutzernamen und Passworteingabe. Daten der Nutzer werden zentral verwaltet und zur Identifikation als Token hinterlegt. Dieser Token ist der Schlüssel im Netzwerk. Das erspart Usern den Aufwand, sich zu viele Passwörter zu merken und minimiert auch das Risiko, dass sich diese für die Vereinfachung zu schwache Passwörter suchen.

Wirtschaftlichkeit

In einer Federation des FIM können auch Unternehmen auf geteilte Ressourcen oder Apps zugreifen – das ermöglicht ein gutes Wirtschaften, spart Ressourcen und Kosten.

Sicherheitsstandards in Föderation

Die Suche nach gemeinsamen Standards und nach Akteuren, die sich in der Federation vertrauen, führt zu hohen Sicherheitsstandards. Experten werten die Authentifizierung des FIM im Vergleich zu Einzellösungen als sicherer.

Federated Identity System zentralisiert

Verwaltungsakte oder Änderungen am System sind im Vergleich zu einzelnen Logins einfacher zu vollziehen. So müsste beispielsweise um einen Zugang hinzuzufügen, dieser nur in die Föderation aufgenommen werden – die User werden dann automatisch mit Token identifiziert und können diesen nutzen. Auch die Übertragung des gesamten Systems oder Integration eines anderen Systems sind dank guter Federated Identity Systeme umsetzbar.

Wie funktioniert FIM?

Die Anfrage eines Users bei einem Service Provider ist ein möglicher Anfang der Abläufe in einer Föderation und bietet darum auch gute Voraussetzungen, um die Funktionen der FIM zu erklären.

1. User beantragt Zugang zu Service Provider (z. B. einer Web-Application)

2. User hat keine aktive Session, keine Cookies zur Identifikation
Zunächst prüft der Service Provider ob der Nutzer sich schon eingeloggt hat und autorisiert wurde. Ist dies noch nicht erfolgt, wird die Anfrage weitergeleitet.

3. Service Provider hat Vertrauensbeziehung zu Identity Provider
Service Provider und Identity Provider befinden sich in einer Federation, die zur Prüfung der Identifikation und Authentication der internen und externen Nutzer errichtet wurde.

4. Anfrage wird zu Identity Provider weitergeleitet (Authentication, Authorization, SSO)
Die Aufgaben der Identitiy Provider sind die sichere Bereitstellung von Tokens nach der Authentication und Authorization der Nutzer. Die Provider werden auch mit der Aufgabe des „Secure Token Service“ in Verbindung gebracht.
Die Identity Provider sind in der Lage, in verschiedenen Sprachen mit den einzelnen Servern in der Federation zu kommunizieren und verschiedene Sicherheitsprotokolle zu nutzen. Diese müssen vorher mit den Mitgliedern der Föderation ausgehandelt werden.

5. Log-in Request wird an Federation Source / Federation Apllication weitergeleitet
In FIM-Systemen werden die Aufgaben der Verifizierung von einer Federation Source übernommen. Die Identity Provider verfügen nicht über die Daten zur Authentifizierung – diese fragt die Richtigkeit der Log-in Daten an entsprechender Stelle ab.
Es können mehrere Anbieter in der Föderation für die Identitätsprüfung bereitstehen – diese haben untereinander keinen Zugang zu vertraulichen Daten. Die Federation Application prüft, ob Identity Provider ein Teil des Netzwerkes sind und ob User die entsprechenden Berechtigungen haben.
Im Beispiel mit dem Security-Dienst am Einlass würde dieser bei einem externen Unternehmen anrufen, wenn er bezweifelt, dass der neue Hausmeister zum genannten Unternehmen gehört.

6. User erhält nach erfolgreichem Sign-On ein Token zur Identifizierung
Tokens sind mit Eintrittskarten vergleichbar. Die Gültigkeit der Tokens kann individuell festgelegt werden. Auch die Bereitstellung eines SSO-Verfahrens (Single Sign-On) kann zum Service der Identity Provider gehören – grundlegend unterscheiden sich FIM und SSO jedoch.

7. User kann die freigeschalteten Angebote nutzen
Die Nutzung erfolgt nach den Einstellungen des Netzwerks. Nutzer loggen sich entweder manuell aus oder die Token erlöschen nach einer bestimmten Dauer der Nutzung oder mit dem Schließen des Browsers und dem Beenden der Session.

FIM (Federated Identity Management) und SSO (Single Sign-On) – Unterschiede

SSO wird oft in einem Atemzug mit FIM und Federted Identity Services genannt. Doch gibt es einige Unterschiede zwischen den Systemen.

Die Verbindung zwischen SSO und FIM wird hergestellt, da das Single Sign-On als Modus des Log-ins innerhalb der Föderation gewählt werden kann: So erhält der User vom FIM-System ein Token, dass für einen SSO-Service innerhalb des Netzwerks der Anbieter genutzt werden kann. Auch für User gibt es kaum einen Unterschied – die Aufgaben von FIM und SSO – nämlich die Authentifizierung – sind identisch.

Der Unterschied zwischen FIM und SSO besteht jedoch in der Methode der Authentifizierung. Im FIM erfolgt die Authentication zentral, während im SSO die Re-Authentifizierung immer separat erfolgt (SAML oder ähnlichen Standard).

Das führt auch dazu, dass Nutzer im SSO bei verbundenen, authentifizierten Services angemeldet bleiben, wenn sie sich bei einem Anbieter ausloggen. Im FIM loggen sie sich einheitlich aus, der Token erlischt. Denken wir an den Vergleich zwischen FIM und dem Haus mit einheitlichem Sicherheitsdienst: Wirft der Sicherheitsdienst Sie aus dem Gebäude oder sie melden sich nach Ihrem Besuch ab, besteht kein Zutritt mehr zu den einzelnen Räumen des Gebäudes.