Ein signifikanter Teil der Unternehmen hat heute offiziell oder faktisch eine "cloud first"-Strategie. Neue Anwendungen werden dabei bevorzugt als Cloud-Dienst in einem as-a-Service-Modell bezogen. Diese Strategien sind inzwischen auch bei KRITIS-relevanten Unternehmen keine Ausnahme mehr.

Die Angst vor den (vermeintlichen und echten) Risiken der Cloud ist Vergangenheit und einem strategischen, risiko-orientierten Ansatz gewichen. Wenn aber immer mehr Anwendungen in die Cloud verlagert werden, stellt sich die Frage, ob nicht auch die Management-Funktionen wie beispielsweise Identity und Access Management (IAM) zu Cloud-Diensten und damit als Identity-as-a-Service (IDaaS) bezogen werden müssen.

IAM trifft hybride IT

Die Aufgabe von IAM ist im Kern einfach zu beschreiben: Sicherstellen, dass jeder berechtigte Benutzer auf alle Dienste, die er benötigt, zugreifen kann - und auf sonst nichts. Dazu gehören natürlich auch die Cloud-Dienste, aber eben auch die bestehende IT, die im eigenen Rechenzentrum betrieben wird oder die per "lift & shift" in eine private Cloud verschoben wurde. Identity und Access Management muss die gesamte hybride IT bedienen, bis hin zum sicheren und kontrollierten Zugriff auf IaaS-Umgebungen, also Plattformen wie AWS oder Microsoft Azure.

Für die meisten Unternehmen wird die hybride IT auch in den kommenden Jahren der Regelfall sein, weil die Umstellung auf SaaS-Lösungen oft dauert und in manchen Fällen auch nicht möglich ist. In vielen Branchen wie dem produzierenden Gewerbe, in der Energiewirtschaft oder in Teilen des Transportwesens wird ohnehin ein Teil der IT immer On-Premises und nicht in der Cloud sein.

Damit muss Identity und Access Management den Spagat schaffen zwischen der Bedienung der traditionellen IT und neuen Diensten aus der Cloud. Die Herausforderung dabei ist einfach zu benennen: Es ist relativ einfach, Cloud-Dienste aus der Cloud heraus zu verwalten, wenn auch mit einigen Tücken. Es ist schon etwas komplexer, Cloud-Dienste über On-Premises-IAM-Lösungen zu verwalten. Und es ist durchaus herausfordernd, die hybride IT über IDaaS-Lösungen zu verwalten.

Identity & Access Management für die hybride IT

Ein zukunftsfähiges IAM muss dafür Lösungen anbieten. Nicht sinnvoll ist es, neben dem (hoffentlich) bestehenden Identity-und-Access-Management-System für die bestehende, interne IT-Landschaft ein weiteres IAM-System für Cloud-Anwendungen aufzubauen. Es kann durchaus weitere Komponenten beispielsweise für Single Sign-On, das aber für alle Anwendungen - auch die On-Premises - geben, aber eben immer mit Fokus auf die Bedienung aller Systeme in der gesamten, hybriden IT-Infrastruktur.

Die Anbieter von "traditionellen" Identity-und-Access-Management-Lösungen, die On-Premises arbeiten, adressieren das mit weiteren Konnektoren zu Zielsystemen in der Cloud wie Azure Active Directory, Salesforce oder SAP SuccessFactors. Anbieter von IDaaS-Lösungen müssen dagegen vor allem den Weg zurück in die On-Premises-Infrastruktur bewältigen, was über Gateways funktionieren kann.

Solche Gateways sollten dann aber als "black box" funktionieren und vollständig über die IDaaS-Lösung gesteuert werden. Leider sind viele der derzeitigen Lösungsansätze eine Kombination aus einem neu entwickelten IDaaS und bestehenden On-Premises-IAM-Lösungen, bei denen beide Systeme zwar integriert sind, aber separat verwaltet werden müssen. Das bedeutet für die Anwenderunternehmen eine verdoppelte Komplexität und kann nicht der richtige Weg sein.

Das integrierte IAM-Zielbild

Bevor man allerdings in eine Diskussion zu Produkten, deren Implementierungen und auch der technischen Architektur geht, lohnt es sich, die oben beschriebene Kernaufgabe von Identity und Access Management als Ausgangspunkt zu nehmen. IAM muss die Fähigkeiten (Capabilities) und Dienste (Services) liefern, die diese Kernaufgabe erfüllen. Wie das umgesetzt wird, leitet sich daraus ab.

Das Konzept der Identity Fabric beschreibt diese Struktur für ein zukunftsfähiges IAM als Satz von Diensten, die in einer geeigneten Architektur bereitgestellt wird. Sowohl die Fähigkeiten als auch die Dienste ergeben sich aus den Anforderungen des Unternehmens und können priorisiert aus einer Referenzarchitektur für Identity und Access Management abgeleitet werden. Technisch kann es auf bestehenden oder neuen Systemen basieren, die diese Fähigkeiten liefern. Allerdings sollte die Architektur dem inzwischen etablierten Architekturansatz einer Microservice-Architektur und eines Deployments in Containern folgen.

Das hat viele Vorteile - beispielsweise bezüglich der Anpassbarkeit - erlaubt aber (richtig gemacht) insbesondere auch eine flexible Bereitstellung von Komponenten in unterschiedlichen Betriebsmodellen, vom eigenen Rechenzentrum bis hin zur mandantenfähigen Public Cloud. Zudem ist eine solche Architektur sowohl in der Lage, ein bestehendes IAM-System zu integrieren und schrittweise zu migrieren, als auch Identity-und-Access-Management-Dienste bereitzustellen, gegen die neue, digitale Dienste arbeiten können.

Wie sieht das neue IAM aus?

Damit stellt sich aber immer noch die Frage, ob ein neues Identity und Access Management benötigt wird. Zunächst ist es wichtig, dass es ein neues Konzept und daraus resultierend eine Architektur für das IAM der Zukunft gibt: Unterstützung für hybride Zielsystemumgebungen, Unterstützung für alle Arten von Nutzern und Identitäten, modular und dennoch integriert, mit einer modernen Softwarearchitektur. Das Betriebsmodell ist dabei keineswegs zwingend eine öffentliche, mandantenfähige Cloud-Lösung. Die flexible Unterstützung von Betriebsmodellen und as-a-service-Konzepten ist aber essentiell.

Die Antwort ist also nicht, einfach auf eine IDaaS-Lösung zu wechseln und zu hoffen, dass dann alles besser wird. Vielmehr muss ein Ansatz erarbeitet werden, der alle Aspekte von Identity und Access Management in einer logischen Architektur vereint. Auf dieser Basis können dann die richtigen Entscheidungen dafür, welche Lösungen man in Zukunft benötigt, getroffen werden und das bestehende IAM schrittweise so umgebaut werden, dass es die veränderten Anforderungen unterstützt.

Klar ist aber: Es ist Zeit, bestehende IAM-Infrastrukturen grundlegend zu überdenken und für neue Betriebsmodelle und Anforderungen fit zu machen. Auch, weil immer mehr Cloud-Dienste verwaltet werden müssen, vor allem aber auch, weil man nur so die heute viel breiteren Anforderungen an das Identity und Access Management bedienen kann. Dabei ist IDaaS, also IAM aus der Cloud, eine naheliegende, aber keineswegs zwingende Option. Der Trend im Markt geht jedoch klar in diese Richtung. (fm)