Wenn wir uns mit dem Thema (Cloud) Identity & Access Management befassen, sprechen wir im Wesentlichen von zwei Anwendungsgebieten:
- Workforce Identity & Access Management – zur Verwaltung von Nutzern in einem Unternehmen, oder wie der Name schon sagt, der Workforce, also den Mitarbeitern.
- Customer Identity & Access Management – zur Verwaltung von Kunden im B2B und B2C und deren Identitäten.
Je nach Setup und Architektur des Identity & Access Managements sind die weiteren Nutzertypen, wie z.B. Partner oder Lieferanten den beiden Anwendungsgebieten zuzuordnen. In den letzten Jahren zeigt sich zudem der Trend, alle Nutzer, also vom Kunden über die Partner bis hin zu den Mitarbeitenden, in einer gemeinsamen Identity & Access Management Plattform zu verwalten. Eine einheitliche Plattform erlaubt dabei eine einfache Integration und ein gutes Zusammenspiel der verschiedenen Nutzer, z.B. können Use Cases, bei denen Kunden gemeinsam mit dem Unternehmen und seinen Partnern an einem gemeinsamen Projekt arbeiten, so einfach abgebildet werden. Identity & Access Management-Plattformen, die als Software-as-a-Service konzipiert und angeboten werden, ermöglichen den Unternehmen schnellen Zugriff auf einen breiten Funktionsumfang, und vermeiden zudem den Aufbau eines operativen IAM-Teams für den (On-Premise) Betrieb. Eine solche Cloud Identity & Access Management Plattform eignet sich, wenn sie die richtigen Funktionen bereitstellt, bestens für den Einsatz als Customer Identity & Access Management oder Workforce Identity & Access Management sowie als einheitliche Plattform für beide Anwendungsgebiete.
Must-have features
Aber was sind die entscheidenden Features die ein Cloud Identity & Access Management mitbringen muss? Grundsätzlich lassen sich die Features die Cloud Identity & Access Management Plattformen bieten, in zwei Kategorien unterteilen:
- Must-Have Features – Funktionen, die ein Cloud Identity & Access Management auf jeden Fall haben muss, um die wichtigsten Anforderungen bei der Verwaltung von Nutzern, der Authentifizierung und Autorisierung zu ermöglichen (vergleichbar mit den Basis- und Leistungsfaktoren im Kano-Modell).
- Should-Have Features – Funktionen, die ein Cloud Identity & Access Management haben sollte. Diese Funktionen sind wichtig, da sie einen Wettbewerbsvorteil, Innovation und einen schnellen Time-to-Market ermöglichen.
Bei den Grundfunktionalitäten, die ein Cloud IAM liefern sollte, sind auf jeden Fall die Standards zu nennen, hier sind in erster Linie OAuth 2.0 (bzw. bald OAuth 2.1) sowie OpenID Connect , wobei jedoch auch SAML 2.0 noch weit verbreitet ist.
Darüber hinaus sind neben einer Nutzerverwaltung auch Funktionen wie ein Single Sign-On und die Authentifizierung grundlegend für jedes IAM. Hinzukommen eine Multi-Faktor-Authentifizierung und durchdachte Autorisierungsfunktionen für hohe Sicherheit sowie Funktionen rund um den Datenschutz, dabei ist insbesondere ein Einwilligungsmanagement (Consent Management) unerlässlich.
Eine wichtige nichtfunktionale Anforderung ist in vielen Fällen der entsprechende Betrieb der Plattform gemäß der EU-Datenschutzgrundverordnung (DSGVO).
Was Sie und Ihre Nutzer eigentlich wollen! – Die Should-Have Features.
Die Must-Have Features sind obligatorisch, sorgen aber nicht für die nötige Differenzierung zum Wettbewerb und sind auch nicht die Grundlage von Innovation oder einer durchgängigen und reibungslosen User Journey. Daher sind die Should-Have Features (vergleichbar zu den Begeisterungsfaktoren im Kano Modell) die essenziellen Funktionen, auf die es bei einem Cloud IAM ankommt.
Einer der wichtigsten Funktionsbereiche ist die Authentifizierung, im speziellen die passwortlose Authentifizierung und die intelligente Multi-Faktor-Authentifizierung. Mit der passwortlosen Authentifizierung schafft man eine schnelle und vor allem komfortable Authentifizierung von Nutzern, die zudem nicht die Schwächen der passwortbasierten Authentifizierung besitzt. Kombiniert mit einer intelligenten Multi-Faktor-Authentifizierung, also dem adaptiven und kontextbezogenen Abfragen einer zusätzlichen Authentifizierung zur Verifizierung der Nutzeridentität, z.B. bei verdächtigem Verhalten und nicht bei jedem Login, kann die Authentifizierung zu einer sicheren und gleichzeitig benutzerfreundlichen User Journey beitragen. Die Authentifizierung darf sich aber nicht nur auf digitale Kanäle beschränken, auch die Authentifizierung und Identifizierung von Nutzern in der realen Welt wird immer wichtiger. Die sogenannte Real World Identification ermöglicht es, Nutzer in der realen Welt, z.B. über NFC, QR-Codes oder andere Verfahren, zu identifizieren und authentifizieren, und so eine Verknüpfung von realer und digitaler Identität zu schaffen. Auf diese Weise wird eine durchgängige Omnichannel Customer Journey möglich, die für viele Unternehmen einen Wettbewerbsvorteil liefern kann, so z.B. einem Retailer, der den Nutzer sowohl im Onlineshop als auch in der Filiale vor Ort erkennt, oder für den Fußball-Fan, der sein Ticket online im Ticketshop kauft und sich am Spieltag im Stadion authentifizieren lässt.
Neben der Authentifizierung sollten aber viele weitere Features Teil eines Cloud IAM sein und die Plattform abrunden, dazu zählen z.B. das Progressive Profiling und das Gruppenmanagement. Durch Progressive Profiling können Nutzerdaten schrittweise und kontextbezogen angereichert und erweitert werden, beispielsweise kann sich ein Nutzer mit nur einer E-Mail für einen Newsletter anmelden, beim Login im Onlineshop wird der Nutzerdatensatz dann aber um Vor- und Nachnamen erweitert. Progressive Profiling ist somit ein wesentlicher Bestandteil des Identity Managements und ermöglicht die Entwicklung von einer schwachen zu einer starken Identität, an deren Ende eine digitale Identitätsprüfung, z.B. mit einem AutoIdent wie dem cidaas ID validator, stehen kann. Die Identitätsprüfung zählt dabei zu einer der innovativsten Funktionen die Teil eines Cloud IAM sind, und ist der Enabler vieler Anwendungsfälle, von der digitalen Vertragsstrecke (z.B. beim Abschluss eines Kreditvertrages) bis hin zur Führerscheinprüfung beim Carsharing. Mit dem Gruppenmanagement lassen sich unterschiedlichste Autorisierungskonzepte und Nutzerbeziehungen abbilden. Eine Gruppe kann zum Beispiel eine Familie sein, die gemeinsam das Angebot eines Streaming-Dienstes nutzt oder an einem Kundenbonusprogramm teilnimmt. Dabei können die Eltern die Kinder zum Familien-Account einladen und ggfs. die Berechtigungen verwalten, z.B. welche Filme die Kinder sehen dürfen. Auch im B2B-Umfeld ist das Gruppenmanagement elementar, so wird eine delegierte Benutzeradministration möglich, wodurch Kunden und Partner in der Lage sind eigene Nutzer verwalten zu können.
Time-to-Market und Innovationsgeist als Enabler im IAM
Bei der Auswahl einer Cloud Identity & Access Management Lösung sind unterschiedliche Aspekte zu berücksichtigen, aber aus der Betrachtung der Must-have und Should-have-Features, wie oben dargestellt, können wir drei entscheidende Kriterien ableiten.
Erstens: Eine feature-complete und flexible Cloud IAM Plattform ist die beste Grundlage und ermöglicht nicht nur die Nutzung der wichtigsten Basisfunktionen, sondern auch die schnelle Nutzung weiterer Funktionen aus dem Should-Have Set, die zu einer wesentlichen Verbesserung der User Experience und zu einem Wettbewerbsvorteil führen.
Zweitens: Time-to-Market ist in bei der heutigen Geschwindigkeit essenziell. Dies reicht von einem umfangreichen Funktionsumfang, bei dem man die benötigten Funktionen nur noch nutzen und nicht selbst implementieren muss, über eine schnelle Anbindung der Plattform in die Applikationslandschaft bis hin zur Flexibilität und Integrationsfähigkeit der Plattform selbst, wobei hier insbesondere umfangreiche (REST) API und Webhooks wichtig sind.
Drittens: Der Innovationsgeist der Plattform und des Teams hinter der Plattform liefert oft den entscheidenden Mehrwert. Wenn eine Plattform schnell neue und auch innovative Features und Ideen liefert, können Unternehmen davon profitieren und sich vom Markt abheben. Daher sollte bei der Auswahl einer Cloud IAM Plattform darauf geachtet werden, dass die Plattform innovative Features, wie z.B. eine Real World Identification anbietet und somit Innovationsgeist demonstriert.
Die drei entscheidenden Kriterien, die ein gutes CIAM beinhalten sollte.
cidaas als führendes europäisches Cloud Identity & Access Management liefert eine out-of-the-box und feature-complete Plattform, die mit vielen innovativen Features und einem sehr guten Time-to-Market überzeugt. Die drei wichtigsten Kriterien, wie oben dargestellt, sind mit cidaas bestens erfüllt und machen cidaas so zur besten Wahl.