Identity as a Service

So bringen Sie Ihr IAM in die Cloud

Identity as a Service bietet viele Vorteile im Vergleich zu einem On-Prem IAM. Doch auch bei IDaaS gibt es Aspekte, die Sie beachten sollten.
Von 
CSO | 27. September 2022 06:04 Uhr
Das Identitätsmanagement aus der Cloud bietet Unternehmen viele Vorteile.
Das Identitätsmanagement aus der Cloud bietet Unternehmen viele Vorteile.
Foto: Sergey Nivens - shutterstock.com

Oft haben wir bereits gehört, dass die Identität der neue Perimeter ist. Die Identität steht unbestreitbar im Mittelpunkt von allem, was wir in modernen IT-Systemen tun, und sie ist der Schlüssel für Zero-Trust-Architekturen und eine ordnungsgemäße Zugriffskontrolle.

Zur Verwaltung der digitalen Identitäten kamen lange Zeit On-Premises-Lösungen für das Identity and Access Management (IAM) zum Einsatz. Doch sie stellten sich schnell als kompliziert zu integrieren und zu warten heraus. Auch die Einbindung von Remote-Arbeitsplätzen und die Skalierung fallen mit On-Prem-Lösungen schwer. Deshalb führen immer mehr Unternehmen stattdessen die Cloud-basierte Variante Identity as a Service (IDaaS) ein.

Was ist Identity as a Service?

IDaaS ist ein Managed Service, bei dem Unternehmen ihr IAM an einen externen Dienstleister auslagern. Bis Ende 2022, so prognostiziert das Analystenhaus Gartner, werden 40 Prozent der mittleren und großen Unternehmen ein IDaaS-Angebot anstelle des traditionellen IAM eingeführt haben. Das Unternehmen definiert IDaaS als "vorwiegend Cloud-basierten Service in einem mandantenfähigen oder speziellen gehosteten Bereitstellungsmodell, das grundlegende Features für Identity Governance und Administration (IGA) sowie Zugriffs- und Intelligence-Funktionen für lokale sowie Cloud-basierte Zielsysteme beim Kunden bereitstellt."

Während Unternehmen mit IAM-Lösungen lediglich digitale Identitäten und deren Zugriffsberechtigungen verwalten, gehören laut Gartner zu IDaaS weitere Funktionen.

IDaaS - Vorteile

Für Unternehmen macht IDaaS die Verwaltung von Identitäten einfacher, da sie damit einen großen Teil an externe Anbieter auslagern. Diese stellen ihren Kunden den Dienst über mandantenfähige Cloud-Instanzen bereit. Funktionen wie MFA und SSO sind bereits integriert und Unternehmen müssen keine eigene IAM-Architektur aufbauen.

Weitere Vorteile von IDaaS gegenüber herkömmlichen Identity-Systemen sind:

  • Die Skalierung der Lösungen ist unbegrenzt und kann automatisiert werden.

  • Statt einer unbefristeten Lizenzierung basiert das Abrechnungsmodell auf der Gesamtzahl der Nutzer oder Anwendungen.

  • Unternehmen müssen sich keine Hardware anschaffen, da diese vom Service Provider bereitgestellt und gewartet wird, wodurch sie Kosten und Zeit einsparen.

  • Der Service ist weltweit verfügbar und bietet eine hohe Zuverlässigkeit, wodurch auch Remote-Mitarbeiter eingebunden werden können.

IDaaS - Nachteile

Trotz der genannten Vorteile gibt es einige Aspekte, die Unternehmen beachten sollten, bevor sie über eine IDaaS-Lösung nachdenken. Durch das Outsourcing der Identitätsverwaltung an einen externen Dienstleister, erhält dieser ein gewisses Maß an Kontrolle über den Perimeter. Für einige Unternehmen kann dies ein Sicherheitsrisiko darstellen, da sie Supply-Chain-Angriffe fürchten.

Unbegründet sind diese Sorgen nicht. Schließlich erlittt Okta, ein großer IDaaS-Anbieter, erst in diesem Jahr eine Sicherheitsverletzung, die zwei Unternehmenskunden betraf. Über ein Sub-Unternehmen hatten sich Angreifer Zugriff auf Anwendungen verschafft. Der Anbieter überarbeitet nun sein Audit-Verfahren für die Zusammenarbeit mit Third-Party-Unternehmen.

Darüber hinaus kann es passieren, dass Unternehmen, die eine IDaaS-Lösung in Anspruch nehmen, an Selbstständigkeit einbüßen. Handelt es sich um Standard-Lösungen, sind Nutzer auf die vorgegebenen Berechtigungen und Konnektoren beschränkt, können also nicht immer selbstständig Anpassungen vornehmen.

Auswahl eines IDaaS-Anbieters

Liebäugeln Sie mit einem IDaaS, sollten Sie darauf achten,

  • ob der Dienstleister die Datenschutzbestimmungen erfüllt,

  • welche Zertifizierungen der Anbieter vorweisen kann,

  • welche Service Level Agreements der MSP anbietet und ob Sie diese individuell abstimmen können,

  • mit welchen Herstellern und Sub-Unternehmen der Service Provider zusammenarbeitet und

  • ob es versteckte Gebühren gibt. (ms)

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.

Chris Hughes schreibt für unsere US-Schwesterpublikation CSO Online.