Bauen oder Kaufen? 20 Fragen zum Identitätsmanagement
Identitätsmanagement ist eine Selbstverständlichkeit – das gibt es schon seit den ersten Computern. Wie schwer kann das sein? Schwieriger als Sie denken – machen Sie das Bauen-oder-Kaufen-Quiz!
„Ich bin ein großer Verfechter davon, Experten das tun zu lassen, was sie am besten können. Wenn Sie das Identitätsmanagement falsch angehen, geht es furchtbar schief und Sie kommen auf die Titelseite der Zeitung, weil Sie eine große Anzahl von Personen einer wirklich schlimmen Situation ausgesetzt haben. Ich wollte mich nicht darauf verlassen, dass wir es selbst aufbauen.“
— David Bernick, Harvard Medical School
Warum ein Identitätsmanagement bauen?
Die Identitätsverwaltung ist seit den Anfängen der Computertechnik ein fester Bestandteil der Software: Lochkarten-Batch-Jobs und frühe Timesharing-Systeme wurden durch die Authentifizierung mittels Benutzername/Passwort geschützt. Bei so viel Erfahrung sollte man meinen, dass das Problem der Identitätsverwaltung gelöst ist.
- Vielleicht haben Sie es mit etwas Einfachem zu tun: keine sensiblen Daten oder Datenschutzprobleme, Ihre Sicherheitsanforderungen sind bescheiden, Sie haben nicht viele Benutzer oder nicht viele verschiedene Arten von Benutzern, Sie haben nur ein paar Anwendungen.
- Und Sie sind ein erfahrener Entwickler oder Teil eines hochqualifizierten Teams, das seit Jahren Authentifizierungen für Anwendungen, Websites, APIs und Dienste entwickelt.
- Und Ihr Budget ist bis auf das Minimum geschrumpft. Sie müssen einige Entscheidungen treffen – es scheint naheliegend, das Geld für etwas Strategischeres zu sparen.
Wollen wir mal ehrlich sein: Wenn Sie nur einen oder zwei soziale Anbieter für eine einfache Webanwendung verwenden, ohne selbst eine Benutzername/Passwort-Datenbank oder andere aufwändigere Funktionen zu benötigen, ist es einfach genug, die Dinge selbst in die Hand zu nehmen. Nutzen Sie einfach die grundlegenden Authentifizierungsbibliotheken, die Sie in jedem Open-Source-Framework finden können, und fertig.
Warum Identitätsmanagement kaufen?
Wir hören oft von Entwicklungsteams, die Auth0 in Betracht ziehen:
Wenn Sie kompetent und Ihre Anforderungen einfach sind, scheint es schwer zu rechtfertigen, Geld für Identitätsmanagement auszugeben.
Lassen Sie uns der Sache auf den Grund gehen.
Kompetenz
Sicher, Identitätsmanagement scheint einfach zu sein. Aber ein Scheitern ist erschreckend. Vieles kann schief gehen, und wenn das passiert, ist Ihr Ansehen ernsthaft beschädigt. Angesichts der ständigen Hackversuche und einer nicht enden wollenden Flut von Schwachstellen, die es zu entschärfen gilt: Wissen Sie, was Sie gut genug tun, um Ihre Benutzer und Ihr Unternehmen zu schützen?
Ressourcen
Das Selbermachen ist nicht kostenlos – es gibt Opportunitätskosten für die Bereitstellung von Ressourcen für das Identitätsmanagement. Ist Authentifizierung wirklich das, was Sie tun wollen? Konzentrieren Sie sich auf Ihr Kerngeschäft und schaffen Sie Mehrwert. Sie würden ja auch nicht Ihr eigenes RDBMS schreiben. Identitätsmanagement ist wie ein RDBMS. Warum sollten Sie eine Infrastruktur wie das Identitätsmanagement aufbauen, wenn Sie Geld sinnvoll investieren können, um diese nicht zum Kerngeschäft gehörende Arbeit an Spezialisten zu delegieren? Und angesichts der Kosten eines Identitäts-Hacks, die in die Millionen gehen können: Was ist Ihnen Sicherheit wert? Berücksichtigen Sie diese Faktoren, wenn Sie den ROI des Kaufs von Identitätsmanagement bewerten!
Komplexität
Anwendungen und Produkte fangen oft einfach an. Aber sobald Sie über die erste Version hinausgehen, müssen Sie möglicherweise eine breite Palette von Identitätsanbietern unterstützen. Vielleicht haben Sie Partner. Sie könnten mobile Anwendungen und eine API einführen. Ihre Benutzerbasis wird hoffentlich wachsen. Vielleicht sind Sie in einer stark regulierten Branche tätig, in der Compliance gefordert ist. Es ist nie so einfach, wie es auf den ersten Blick scheint. Die Kosten für die Pflege Ihres eigenen Identitätsmanagements können viel höher sein, als Sie erwarten.
Das Quiz
Einige dieser Fragen haben Sie vielleicht schon beantwortet. Einige könnten irrelevant sein, andere könnten Probleme sein, mit denen Sie bei Ihrer IAM-Implementierung konfrontiert werden. Aber wir möchten Sie bitten, diese Fragen realistisch zu betrachten, ausgehend von Ihrer aktuellen Situation und der Entwicklung, die Sie in den nächsten Monaten und Jahren erwarten. Und klicken Sie auf die Links, um zu verstehen, wie Auth0 diese Fragen des Identitätsmanagements beantwortet und welche Komplexität wir im Rahmen unseres umfassenden Angebots bewältigen.
Nutzer
1. | Haben Sie darüber nachgedacht, wie Sie die Benutzerverwaltung umsetzen wollen? Selbstbedienung oder Admin-verwaltet? Was ist die Benutzererfahrung? |
2. | Haben Sie Benutzer, die sich bei mehr als einem IdP authentifizieren werden? Woher wissen Sie, dass es derselbe Benutzer ist? |
3. | Haben Sie mehrere Anwendungen, die authentifiziert werden müssen? Wenn ja, verwenden sie alle den gleichen Entwicklungsstack? |
„Im Vergleich zu den Kosten und Ressourcen, die für den Aufbau, das Hosting und die Sicherung einer benutzerdefinierten Lösung erforderlich sind, war die Investition in einen Authentifizierungsdienst eines Drittanbieters wie Auth0 eine vernünftige Entscheidung.“ — Cris Concepcion, Safari |
4. | Welche Analysen benötigen Sie für die Kontoerstellung und die Authentifizierungsereignisse? Wie werden Sie diese Daten sammeln, analysieren und visualisieren? |
5. | Wie werden Sie Anomalien in der Benutzerverwaltung und den Authentifizierungsereignissen kennzeichnen und entschärfen? |
Anwendungen
6. | Wie können Sie potentielle Sicherheitsschwachstellen im Auge behalten? Wie gehen Sie mit Verzögerungen von Patches für Bibliotheken um, auf die Sie sich verlassen? |
„Bevor irgendwelche Nachrichtenseiten über die Heartbleed Zero-Day-Schwachstelle im letzten Jahr berichteten, hat Auth0 uns per E-Mail auf die Situation aufmerksam gemacht. Es gab bereits einen Patch, um die Heartbleed-Bedrohung von den Systemen von Auth0 zu eliminieren, gefolgt von einer Bestätigungs-E-Mail, dass Auth0 diesen Patch bereits auf der Schneider Electric-Instanz des Auth0-Dienstes installiert hatte.“ — Stephen Berard, Schneider Electric |
7. | Was ist mit den unvermeidlichen Inkompatibilitäten zwischen Standards und Änderungen bei Attributen und Zulassungen für unterschiedliche soziale IdPs? Implementierungsunterschiede zwischen Unternehmens-IdPs? Für verschiedene Entwicklungsstapel und Authentifizierungsbibliotheken? Wie werden Sie mit all dem umgehen? |
„Ich musste nicht für jeden IdP, mit dem wir uns integrieren mussten, komplizierten Code schreiben. Ich musste nur eine einzige, sehr einfache Sache schreiben, und das war alles, um eine sichere Authentifizierung zu implementieren.“ — David Bernick, Harvard Medical School |
8. | Kann Ihr Betriebsteam die bewährten Verfahren für die sichere Konfiguration der Authentifizierungsinfrastruktur einhalten? Vor Ort und in privaten Cloud-Instanzen? |
9. | Was ist Ihre MFA-Strategie? Wie werden Sie dies über verschiedene Clients hinweg integrieren? Möchten Sie, dass Ihre mobilen Benutzer Touch ID auf ihren IOS-Geräten verwenden, um sich bei Ihren Anwendungen zu authentifizieren? |
10. | Haben Sie die Anforderungen an Skalierbarkeit, Leistung und Replikation/Verfügbarkeit für Ihren Benutzerspeicher berücksichtigt? |
„Auth0 bot die perfekte Kombination aus gebrauchsfertigen Funktionen, Flexibilität und Service auf Unternehmensebene.“ Das Team von Auth0 ist über sich hinausgewachsen, um unseren verrückten Anforderungen an Leistungstests und Fristen gerecht zu werden.“ — AKQA, Marketingpartner für Marks & Spencer |
IdPs und Standards
11. | Wenn Sie alte UN/PW-Datenbanken auf ein moderneres Identitätsmanagement umstellen, wie können Sie dann eine gute Benutzererfahrung ohne Passwortrücksetzungen bieten? |
„Auth0 brachte eine Reihe von gebrauchsfertigen Konnektoren mit, die es Auth0 sehr einfach machten, sich mit unserem CRM-System zu verbinden, um die vorhandene Datenbank als Benutzerspeicher zu nutzen und als Identitätsanbieter zu fungieren.“ — Amol Date, JetPrivilege |
12. | Wie werden Sie neue B2B-Kunden einbinden, die SSO für Ihr Produkt oder Ihren Dienst wünschen? Können Sie mit Partnern zusammenarbeiten, die Active Directory hinter der Firewall verwenden? |
„Wenn wir unsere Anwendung so einrichten, dass sie mit einem Partner integriert werden kann, und dieser Partner dann als Service-Hub für Dutzende von Identitätssystemen fungiert, vereinfacht das die Arbeit für unsere Kernentwicklungsteams und ermöglicht gleichzeitig ein exponentielles Wachstum unseres Kundenstamms.“ — Cris Concepcion, Safari |
13. | Verschiedene SAML IdPs können Claims in vielen Formaten speichern und liefern – haben Sie eine einfache Methode zur Normalisierung von Claims? |
14. | OpenID Connect ist ein beliebter neuer Standard für die Authentifizierung: REST/JSON, Oauth2-basiert, entwicklerfreundlich. Aber der Teufel der Interoperabilität steckt in den Details. Wie werden Sie es über Entwicklungsstapel und Clients hinweg implementieren? |
Sicherheit und Compliance
15. | Identitätssysteme sind ein attraktives Ziel für Angriffe. Haben Sie darüber nachgedacht, Brute-Force-Schutz zu implementieren? DDoS-Prävention und -Minderung auf Endpunkten? |
16. | Sollten Sie den Einsatz von externen Sicherheitsberatern für iunabhängige Penetrationstests, Code-Reviews und Audits sowie Architektur-Reviews zur Validierung von Sicherheit und Best Practices planen? |
17. | Wie werden Sie mit Berichten aus der Sicherheits-Community über Schwachstellen in Ihrer Identitätsimplementierung umgehen? |
„Jede Technologie hat Schwachstellen, und wenn Sie kein öffentliches Verfahren für verantwortungsbewusste Hacker haben, um sie zu melden, werden Sie nur durch Angriffe auf dem Schwarzmarkt davon erfahren.“ — Alex Rice, Facebook, in „HackerOne Connects Hackers With Companies, and Hopes for a Win-Win“, The New York Times, 7. Juni 2015 |
18. | Benötigen Sie eine kontextabhängige erweiterte Authentifizierung? Zum Beispiel - IP-Bereich, oder Active Directory Gruppenmitgliedschaft? Passwortrichtlinien? Oder wäre passwortlose Authentifizierung für Ihre Benutzer sinnvoll? |
Pünktlich, unter dem Budget
19. | Wie viel Personal werden Sie benötigen, einschließlich IT-Ops, Entwicklern und externen Dienstleistungen wie forensisches Fachwissen? Diese Leute sind schwer zu finden und kosten viel Geld. Woher werden Sie dieses Talent nehmen und was wird es kosten? |
„Die Nachfrage nach Sicherheitsexperten steigt, aber das Angebot an Sicherheitsexperten wächst nicht in gleichem Maße mit. Das Ergebnis sind steigende Gehälter.“ — „The 2015 (ISC)2 Global Information Security Workforce Study“, Frost & Sullivan, 16. April 2015 |
20. | Wann wollen Sie in Produktion gehen? Wie viel Zeit / wie viele Iterationen werden für die Implementierung Ihrer IAM-Lösung benötigt? |
„Während andere Anbieter monatelange Implementierungszeiträume angaben, versprach Auth0 einen Zeitrahmen von nur wenigen Wochen.“ — Amol Date, JetPrivilege |
Die Anmeldung für kostenlos
Beginnen Sie noch heute mit der Entwicklung und sichern Sie noch heute Ihre Anwendungen mit der Auth0-Identitätsplattform.