01.12.2021 | Thomas Kessler

Die Schattenseite der Collaboration-Plattformen

IdentityFederation

Wer mit mehreren Partnerfirmen auf unterschiedlichen Collaboration-Plattformen zusammenarbeitet, der kennt sie: plattformspezifische Logins, zunehmend mit einer ebenfalls plattformspezifischen 2-Faktor-Authentifizierung.

Wer für das Identity and Access Management (IAM) einer Firma verantwortlich ist, der fürchtet sie: Collaboration-Accounts, die nach Abschluss der Zusammenarbeit bestehen bleiben, allzu oft auch nach dem Austritt eines Projektbeteiligten aus der Firma.Beide Probleme erscheinen einem wie Überbleibsel aus der Informatiklandschaft der 90er-Jahre, als jede organisationsinterne Fachapplikation ihre eigene Benutzerverwaltung und ihren eigenen Login hatte. Mit der Einführung von internen IAM-Systemen konnten wir dies in den Griff bekommen. Zeichnet sich nun auch für Collaboration-Accounts eine Lösung ab? Wie könnte eine solche aussehen?

Ein IAM-Modell für B2B-Collaboration

Das IAM-Modell für B2B-Collaboration, das im Folgenden skizziert wird, besteht aus zwei Komponenten, die sich gegenseitig ergänzen:

Seitens der Benutzer wird ein Identity Provider (IdP) für Mitarbeitende benötigt, der Assertions zuhanden der externen Collaboration-Plattformen (und anderen Cloud-Services) ausstellt. Dieser IdP ist mit dem internen IAM-System der Organisation verbunden und stellt unter anderem sicher, dass Mitarbeitende nach einem Firmenaustritt keine Assertions mehr erhalten. Der IdP implementiert ausserdem eine 2-Faktor-Authentifizierung der Mitarbeitenden, beispielsweise mittels einer Smartcard oder einer Authenticator-App.

Seitens der Collaboration-Plattform wird ein Registration-Service für Collaboration-Accounts benötigt, der die folgenden Funktionalitäten anbietet:

  • Möglichkeit zur Federation: Für Partnerfirmen beziehungsweise Domains, die über einen IdP verfügen, kann der Registration-Service als Relying Party (OIDC RP oder SAML SP) zu diesem IdP konfiguriert werden. Dies bedeutet, dass beim Einladungsprozess für einen neuen Collaboration-Account von dieser Domain auf eine vom IdP zuverlässig registrierte Identität zugegriffen werden kann und somit ein sowohl effizienter als auch sicherer Prozess möglich ist.
  • Lifecycle-Management für Collaboration-Accounts: Der Registration-Service stellt sicher, dass für jeden Collaboration-Account zu jeder Zeit ein verantwortlicher Administrator nominiert und ein Expiration Date festgelegt ist. Der Registration-Service stellt ausserdem fest, wenn ein Collaboration-Account über lange Zeit nicht mehr benutzt wird oder über keine Zugriffsrechte mehr verfügt. Je nach Situation löst der Registration-Service daraufhin einen zweckmässigen Rezertifizierungs- beziehungsweise Bereinigungsprozess aus.

Das hier vorgestellte IAM-Modell für B2B-Collaboration sieht ausserdem vor, dass auch die Collaboration-Plattform einen Federated Login unterstützt und dass der Einladungsprozess der Collaboration-Plattform über den oben beschriebenen Registration-Service für Collaboration-Accounts geführt werden kann.

Ist dies erfüllt, dann können sich die Benutzer über einen sicheren Single Sign-on und die IAM-Verantwortlichen über eine angemessene Governance aller Benutzerkonten freuen!

Fallback-Lösung für Partnerfirmen ohne eigenen IdP

Selbstverständlich muss die Collaboration-Plattform auch von externen Personen genutzt werden können, deren Organisation nicht über einen eigenen IdP mit 2-Faktor-Authentifizierung verfügt.

Für diesen Fall muss der Registration-Service für Collaboration-Accounts einen eigenen Prozess für die sichere Identifikation des Gegenübers im Rahmen des Einladungsprozesses implementieren, beispielsweise basierend auf einem separat zugestellten Voucher-Einmalpasswort. Ausserdem muss die Collaboration-Plattform eine 2-Faktor-Authentifizierung bereitstellen, die von solchen Collaboration-Accounts genutzt werden kann.

Identity Federation Identity und Access Management (IAM)


Über den Autor
Thomas Kessler
Über den Autor
Thomas Kessler, Partner, Managing Security Consultant