Identity and Access Management mit Azure AD

Viele Plattformen, viele Zugänge

Identity & Access Management (Identitäts- und Zugriffsmanagement) für Online-Anwendungen beschreibt unter anderem das Verwalten von Nutzerkonten und Zugriffsberechtigungen. Unser Kunde, der Deutsche Akademische Austauschdienst (DAAD), bietet eine Vielzahl an Online-Diensten, für die Nutzer bislang jeweils einen Account benötigten.

Diese Vielfalt an Nutzerprofilen in zahlreichen Systemen zog stets einen hohen Verwaltungsaufwand mit sich – sowohl für unseren Kunden als auch für seine Nutzer, die nicht zuletzt mehrere Zugangsdaten anlegen mussten, sofern sie mehr als einen DAAD-Online-Dienst nutzten.

Es galt, das Identitäts- und Access-Management zu vereinfachen oder besser gesagt: ein Nutzerprofil für alle DAAD-Plattformen zu schaffen.

Identitätsmanagement: Zentraler Zugang für alle Dienste

Mit der DAAD-ID haben wir eine zentrale Identitäts- und Zugriffslösung für unseren Kunden und seine Nutzer entwickelt: Zukünftig finden Registrierung, Anmeldung und Profilverwaltung an einem Ort statt. Jeder Nutzer hat fortan eine einzige DAAD-Identität, die potentiell Zugriff auf alle DAAD-Angebote bietet. Für den User heißt das in erster Linie eine vereinfachte und unkomplizierte Nutzererfahrung.

Für unseren Kunden bedeutet diese Form des Identitätsmanagement eine effiziente und sichere Lösung, die alle Benutzerdaten zentral in der Cloud bündelt und eine zügige und plattformübergreifende Verwaltung erlaubt. Apropos Cloud:

Identity Mangement mit Azure Active Directory B2C

In der technischen Umsetzung haben wir uns gemeinsam mit unserem Kunden für den cloudbasierten Identitäts- und Zugriffsverwaltungsdienst von Microsoft entschieden: Azure Active Directory B2C.

Azure AD B2C als zentraler Identity Provider bietet ein hohes Maß an Sicherheit und eine für die formulierten Anforderungen sinnvolle Implementierungsmöglichkeit der zahlreichen DAAD-Dienste.

Sicherheit: OAuth und SAML 2.0

Bei dieser sogenannten Einmalanmeldung (Single-Sign-On-Verfahren) werden benutzerspezifische Daten über verschiedene Webservices ausgetauscht, da der Zugang zu einer Ressource (auf Website A) durch einen externen Benutzeraccount (von Website B) ermöglicht wird.

Damit dabei weder die personenbezogenen Daten oder E-Mail-Adresse und Passwort des Nutzers offengelegt oder aber abgegriffen werden können, gewähren wir mit den Protokollen / Frameworks SAML 2.0 und OAuth einen zuverlässigen und sicheren Austausch von entsprechend sensiblen Autorisierungs- und Authentifizierungsdaten. Die Benutzerdaten, die zum Beispiel zwischen Service- und Identity-Provider verifiziert werden, müssen so nicht von den Anwendungen gespeichert werden, sodass diese Verfahren als sehr sicher gelten.

Einmaliges Anmelden durch Single Sign-On (SSO)

In der Praxis müssen sich Nutzer einmalig authentifizieren und können dann nahtlos auf alle mit dem Login verknüpften Konten zugreifen. Mit dem Launch haben wir bestehende Zugangsdaten in die neue DAAD-ID portiert und ebenfalls umgestellt.

Für die Neuregistrierung einer DAAD-ID reichen zunächst wenige Basisdaten wie Vor- und Nachname sowie E-Mail-Adresse. Erst bei der Nutzung weiterer Dienste können ergänzende Angaben bedarfsweise im angeschlossenen Service-Provider gemacht werden.

Das neue Identity-Management-System sorgt damit für eine zentrale Administration von Identitäten und ihre Zugriffsberechtigungen auf unterschiedlichen Plattformen des DAAD.

Durch die bei der Entwicklung bereits berücksichtigten Möglichkeit, beliebig viele Service-Provider zu verknüpfen, wurden bis zum heutigen Zeitpunkt (2024) weitere DAAD-Angebote mit der Single-Sign-On-Lösung verbunden, darunter

 

Wir sind uns sicher, dass die Zukunft weitere Projekte bringen wird, die von diesem Service profitieren. Dieses spannende DAAD-Projekt haben wir gemeinsam mit den geschätzten Kollegen von j&s-soft GmbH und novaCapta Software & Consulting GmbH realisiert.