Identitäts- und Zugriffsmanagement (IAM) Flashcards
Was ist Identitäts- und Zugriffsmanagement (IAM)?
IAM ist der Prozess zur Verwaltung von Benutzeridentitäten und deren Zugriff auf Systeme und Ressourcen.
Software-Beispiele:
Okta (Cloud, kommerziell, Windows, macOS, Linux) – Starke SSO- und MFA-Funktionen.
Keycloak (Open Source, Windows, macOS, Linux) – Flexibel und selbst hostbar.
Azure AD (Kommerziell, Cloud-basiert, Windows/Linux/macOS) – Integration mit Microsoft-Umgebungen.
Praxisbeispiele:
Ein Unternehmen nutzt Azure AD, um alle Mitarbeiterkonten zentral zu verwalten und ihnen Zugriff auf Office 365 zu ermöglichen.
Ein Online-Shop implementiert Okta, um Kunden eine sichere Anmeldung mit Multi-Faktor-Authentifizierung zu bieten.
Eine Universität setzt Keycloak ein, damit Studierende sich mit einem einzigen Konto für verschiedene Webanwendungen anmelden können.
Was ist Multi-Faktor-Authentifizierung (MFA)?
MFA verlangt von Benutzern mehrere Verifikationsfaktoren (z. B. Passwort + Token), um den Zugriff zu erhalten.
Software-Beispiele:
Duo Security (Kommerziell, Windows, Linux, macOS) – Cloud-basierte MFA-Lösung. Google Authenticator (Open Source, Android, iOS) – Offline nutzbare App für MFA. Microsoft Authenticator (Kommerziell, Windows, Android, iOS) – Gute Integration mit Microsoft 365.
Praxisbeispiele:
Ein Bankkunde meldet sich online an und muss zusätzlich einen Code aus der Google Authenticator App eingeben. Ein Unternehmen nutzt Duo Security, um den Zugriff auf sensible Unternehmensdaten durch einen zweiten Faktor abzusichern. Ein IT-Administrator muss sich auf einem Server anmelden und wird aufgefordert, seine Identität über Microsoft Authenticator zu bestätigen.
Was ist Single Sign-On (SSO)?
Antwort: SSO ermöglicht es Benutzern, mit einer einzigen Anmeldung auf mehrere Dienste zuzugreifen.
Software-Beispiele:
Okta SSO (Kommerziell, Cloud-basiert) – Führender Anbieter für SSO und IAM. JumpCloud (Kommerziell, Windows, macOS, Linux) – Kombiniert SSO mit Device-Management. Shibboleth (Open Source, Windows, Linux) – Open-Source-SSO für Hochschulen und Unternehmen.
Praxisbeispiele:
Ein Mitarbeiter meldet sich einmal bei Okta an und hat danach automatisch Zugriff auf Slack, Google Drive und Salesforce. Eine Hochschule verwendet Shibboleth, sodass Studierende sich mit einer einzigen Anmeldung für Bibliothek, E-Mail und Online-Kurse anmelden können. Eine Firma nutzt JumpCloud, um den Zugriff auf verschiedene Cloud-Anwendungen zu vereinfachen.
Was ist Role-Based Access Control (RBAC)?
RBAC erlaubt oder verweigert den Zugriff basierend auf Benutzerrollen (z. B. Admin, User).
Software-Beispiele:
FreeIPA (Open Source, Linux) – IAM-System mit RBAC und LDAP. Active Directory (Kommerziell, Windows) – Standard in Windows-Umgebungen. AWS IAM (Kommerziell, Cloud-basiert) – Nutzt RBAC zur Zugriffskontrolle in AWS.
Praxisbeispiele:
In einer Firma können nur Entwickler Zugriff auf den Quellcode-Server haben, während Marketing-Mitarbeiter Zugriff auf CRM-Daten haben. Ein Cloud-Anbieter nutzt AWS IAM, um sicherzustellen, dass nur bestimmte Administratoren Serverkonfigurationen ändern können. Ein Krankenhaus nutzt RBAC, um Ärzten Zugriff auf Patientendaten zu geben, während Verwaltungspersonal keinen Zugriff darauf hat.
Was ist Attribute-Based Access Control (ABAC)?
ABAC verwendet Benutzerattribute (z. B. Abteilung, Standort) für Zugriffskontrollen.
Software-Beispiele:
OpenIAM (Open Source, Linux, Windows) – Unterstützt RBAC und ABAC. Google Cloud IAM (Kommerziell, Cloud) – Bietet ABAC für Google-Dienste. Oracle IAM (Kommerziell, Cloud & On-Premises) – Granulare Zugriffskontrolle mit ABAC.
Praxisbeispiele:
Ein System erlaubt nur Mitarbeitern mit der Eigenschaft "Standort = Deutschland" den Zugriff auf sensible Kundendaten. In Google Cloud IAM können nur Administratoren mit der Eigenschaft „Sicherheitsfreigabe = Hoch“ sensible Systemkonfigurationen ändern. Eine Bank nutzt Oracle IAM, um Zugriffsrechte je nach Abteilung und Sicherheitsfreigabe automatisch anzupassen.
Was ist ein Verzeichnisdienst?
Ein Verzeichnisdienst speichert und verwaltet Benutzer- und Geräteinformationen.
Software-Beispiele:
Active Directory (AD) (Kommerziell, Windows) – Marktführer für Unternehmen. OpenLDAP (Open Source, Linux, macOS, Windows) – Leichtgewichtiger, offener Verzeichnisdienst. FreeIPA (Open Source, Linux) – Integriert LDAP, Kerberos und RBAC.
Praxisbeispiele:
Eine Firma nutzt Active Directory, um Mitarbeiter-Konten zentral zu verwalten und Berechtigungen festzulegen. Ein Linux-Rechenzentrum setzt OpenLDAP ein, um Server und Benutzerzugriffe zu verwalten. Eine Universität nutzt FreeIPA, um Studenten- und Mitarbeiterkonten in einer zentralen Datenbank zu speichern.
Was ist Active Directory (AD)?
AD ist Microsofts Verzeichnisdienst zur zentralen Benutzer- und Geräteverwaltung.
Software-Beispiele:
Microsoft Active Directory (AD) (Kommerziell, Windows) – Marktführer für Unternehmensnetzwerke. Azure Active Directory (Azure AD) (Kommerziell, Cloud) – Erweiterung von AD für Cloud-Dienste. Samba AD (Open Source, Linux) – Open-Source-Alternative für Windows AD.
Praxisbeispiele:
Ein Unternehmen verwaltet alle Computer und Benutzerkonten über Active Directory. Ein neuer Mitarbeiter wird automatisch in AD hinzugefügt und erhält sofort Zugang zu den benötigten IT-Diensten. Die IT-Abteilung nutzt Azure AD, um externe Partner mit Gastzugängen auszustatten.
Was ist Lightweight Directory Access Protocol (LDAP)?
LDAP ist ein Protokoll zur Abfrage und Verwaltung von Verzeichnisdiensten.
Software-Beispiele:
OpenLDAP (Open Source, Windows, Linux, macOS) – Leistungsfähiger Open-Source-Verzeichnisdienst. Microsoft Active Directory (AD) (Kommerziell, Windows) – Unterstützt LDAP zur Authentifizierung. 389 Directory Server (Open Source, Linux) – LDAP-Server mit hoher Skalierbarkeit.
Praxisbeispiele:
Ein Unternehmen nutzt LDAP, um sich mit verschiedenen Webanwendungen zu verbinden. Ein VPN-Dienst authentifiziert Benutzer über LDAP statt einer lokalen Benutzerverwaltung. Ein IT-Administrator fragt Benutzerrechte über ein LDAP-Interface ab.
Was ist eine Identitätsföderation?
Eine Föderation ermöglicht die Nutzung einer Identität über mehrere Systeme hinweg (z. B. Google-Konto für verschiedene Dienste).
Software-Beispiele:
Shibboleth (Open Source, Windows, Linux) – Weit verbreitet für Hochschulen und Unternehmen. Microsoft Entra ID (ehemals Azure AD B2B) (Kommerziell, Cloud) – Für Föderation mit Partnerunternehmen. Google Workspace Federation (Kommerziell, Cloud) – Erlaubt SSO mit externen Identitätsanbietern.
Praxisbeispiele:
Ein Student kann sich mit seinem Uni-Account auch bei Partneruniversitäten anmelden. Ein Unternehmen verwendet SAML, um Mitarbeitern die Anmeldung bei verschiedenen Cloud-Diensten zu ermöglichen. Eine Behörde nutzt OpenID Connect, damit Bürger sich mit einer zentralen Identität für verschiedene Dienste registrieren können.
Was ist OAuth 2.0?
OAuth 2.0 ist ein offenes Protokoll zur sicheren API-Authentifizierung.
Software-Beispiele:
Auth0 (Kommerziell, Cloud) – Führend bei OAuth-gestützter Authentifizierung. Keycloak (Open Source, Windows, Linux) – Unterstützt OAuth 2.0 für API-Zugriffskontrolle. Okta (Kommerziell, Cloud) – Starke OAuth- und SSO-Unterstützung.
Praxisbeispiele:
Ein Benutzer meldet sich mit seinem Google-Konto bei einer Drittanbieter-App an. Eine Website nutzt OAuth 2.0, um den Zugriff auf Benutzerprofile zu steuern. Eine Bank implementiert OAuth, um sichere API-Zugriffe für mobile Apps zu ermöglichen.
Was ist Kerberos?
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets verwendet, um sichere Anmeldungen ohne wiederholte Passwortabfragen zu ermöglichen.
Software-Beispiele:
Microsoft Active Directory (AD) (Kommerziell, Windows) – Nutzt Kerberos als primäres Authentifizierungsprotokoll. MIT Kerberos (Open Source, Linux, Windows) – Referenzimplementierung von Kerberos. Heimdal Kerberos (Open Source, Linux, macOS, Windows) – Alternative Kerberos-Implementierung mit erhöhter Sicherheit.
Praxisbeispiele:
Ein Benutzer meldet sich an seinem Windows-PC an und erhält ein Kerberos-Ticket, das ihm Zugriff auf Netzwerkressourcen ermöglicht. Ein Unternehmen nutzt Kerberos für den sicheren Zugriff auf interne Webanwendungen ohne erneute Passworteingabe. Eine Universität implementiert Kerberos, um Studierenden Single Sign-On (SSO) für verschiedene Dienste zu ermöglichen.
Was ist eine Smartcard-Authentifizierung?
Eine Authentifizierungsmethode, bei der Benutzer sich mit einer physischen Smartcard und PIN anmelden.
Software-Beispiele:
YubiKey (von Yubico) (Kommerziell, Windows, macOS, Linux) – Hardware-Token mit Smartcard-Funktionalität. Microsoft Windows Smart Card Logon (Kommerziell, Windows) – Integrierte Smartcard-Unterstützung für AD-Authentifizierung. OpenSC (Open Source, Windows, Linux, macOS) – Software zur Verwaltung von Smartcards für sichere Anmeldungen.
Praxisbeispiele:
Ein Bankangestellter nutzt eine Smartcard, um sich an seinem PC anzumelden. Ein Unternehmen verlangt eine Smartcard für VPN-Zugriffe, um zusätzliche Sicherheit zu gewährleisten. Ein Regierungsmitarbeiter verwendet eine Smartcard mit biometrischen Daten für den Zugang zu sensiblen Systemen.
Was ist ein Identity Provider (IdP)?
Ein Dienst, der Benutzeridentitäten verwaltet und Authentifizierungsdienste für Anwendungen bereitstellt.
Software-Beispiele:
Okta (Kommerziell, Cloud) – Cloud-basierter IdP für Unternehmen. Keycloak (Open Source, Windows, Linux) – Selbst gehosteter Open-Source-IdP mit OAuth und SAML. Microsoft Entra ID (ehemals Azure AD) (Kommerziell, Cloud) – Microsofts Identitätsplattform mit IdP-Funktionalität.
Praxisbeispiele:
Ein Unternehmen verwendet Okta, um Mitarbeitern den Zugriff auf SaaS-Anwendungen zu ermöglichen. Eine Universität setzt Keycloak als zentrale IdP-Lösung für Studentenportale ein. Eine Bank integriert Azure AD als IdP, um sichere Logins für mobile Banking-Apps bereitzustellen.
Was ist ein Service Provider (SP) im IAM-Kontext?
Eine Anwendung oder ein System, das sich auf einen Identity Provider (IdP) für die Authentifizierung verlässt.
Software-Beispiele:
Google Workspace (Kommerziell, Cloud) – Kann als Service Provider für SSO genutzt werden. Salesforce (Kommerziell, Cloud) – Nutzt IdPs für Identitätsmanagement. Nextcloud (Open Source, Windows, Linux) – Kann als SP mit SAML und OAuth fungieren.
Praxisbeispiele:
Ein Mitarbeiter meldet sich mit Azure AD bei Google Workspace an. Ein Unternehmen verwendet Okta als IdP, um den Zugriff auf Salesforce zu steuern. Eine Hochschule erlaubt Studenten, sich mit ihren Uni-Accounts bei Nextcloud anzumelden.
Was ist Just-in-Time Provisioning?
Ein Verfahren, bei dem Benutzerkonten bei der ersten Anmeldung automatisch erstellt werden.
Software-Beispiele:
Okta (Kommerziell, Cloud) – Unterstützt Just-in-Time Provisioning über SAML/OAuth. Keycloak (Open Source, Windows, Linux) – Kann Benutzerkonten dynamisch erstellen. Google Cloud Identity (Kommerziell, Cloud) – Automatische Benutzerprovisionierung für GCP-Dienste.
Praxisbeispiele:
Ein neuer Mitarbeiter erhält sofort ein Google Workspace-Konto bei der ersten Anmeldung. Ein externer Berater bekommt automatisch Zugriff auf Salesforce, wenn er sich mit seinem Unternehmens-SSO anmeldet. Eine Organisation nutzt Keycloak, um Benutzer aus verschiedenen Partnerunternehmen dynamisch anzulegen.
Was ist eine Access Control List (ACL)?
Eine Liste, die festlegt, welche Benutzer oder Systeme auf eine Ressource zugreifen dürfen.
Software-Beispiele:
iptables (Open Source, Linux) – Firewall mit ACL-Regeln. Windows NTFS Permissions (Kommerziell, Windows) – Dateisystem mit ACL-Unterstützung. Cisco ASA (Kommerziell, Hardware) – Firewalls mit ACL-Funktionalität.
Praxisbeispiele:
Ein Systemadministrator konfiguriert iptables, um den Zugriff auf einen Webserver zu beschränken. Eine Firma setzt NTFS-ACLs ein, um Datei- und Ordnerzugriff für verschiedene Benutzer zu definieren. Ein Unternehmen nutzt Cisco ASA, um ACL-Regeln für das interne Netzwerk zu verwalten.
Was ist der Unterschied zwischen RBAC und ABAC?
RBAC (Role-Based Access Control): Zugriff basierend auf Benutzerrollen.
ABAC (Attribute-Based Access Control): Zugriff basierend auf Benutzerattributen und Kontext.
Software-Beispiele:
AWS IAM (Kommerziell, Cloud) – Unterstützt sowohl RBAC als auch ABAC. Microsoft Entra ID (Azure AD) (Kommerziell, Cloud) – Nutzt Rollen und Attribute für Berechtigungen. Apache Shiro (Open Source, Java) – Implementiert RBAC und ABAC.
Praxisbeispiele:
Ein Unternehmen vergibt Berechtigungen über RBAC, sodass nur die HR-Abteilung Personalakten einsehen kann. Eine Cloud-Anwendung nutzt ABAC, um den Zugriff basierend auf der Geräte-Standort zu beschränken. Ein Entwickler bekommt nur temporär erhöhte Rechte, wenn er sich über ein vertrauenswürdiges Netzwerk anmeldet.
Was ist eine Identitätsprüfung?
Eine Identitätsprüfung stellt sicher, dass eine Person oder ein System die Identität ist, die sie vorgibt zu sein. Dies kann durch Dokumente, biometrische Daten oder digitale Zertifikate erfolgen.
Software-Beispiele:
Okta (Cloud-basiertes IAM, kommerziell, unterstützt Windows, macOS, Linux) Azure AD (Microsofts Cloud-Verzeichnisdienst, kommerziell, Windows, macOS) Keycloak (Open Source, unterstützt Windows, Linux, macOS)
Praxisbeispiele:
Beim Online-Banking wird die Identität des Nutzers durch eine Kombination aus Passwort und SMS-TAN überprüft. Ein Unternehmen nutzt eine PKI-Infrastruktur, um Mitarbeiter per Smartcard zu authentifizieren. Eine Behörde verlangt eine Gesichtserkennung zur Identitätsverifikation bei Online-Anträgen.
Was ist ein Least Privilege Model?
Das Prinzip der minimalen Rechte (Least Privilege) bedeutet, dass ein Benutzer oder System nur die Berechtigungen erhält, die für die jeweilige Aufgabe unbedingt notwendig sind.
Software-Beispiele:
AWS IAM (Cloud IAM mit granularen Rechten, kommerziell, unterstützt AWS-Umgebungen) FreeIPA (Open Source, Linux-basierte IAM-Lösung) CyberArk (Kommerziell, Passwort- und Privileged-Access-Management für Unternehmen)
Praxisbeispiele:
Ein Mitarbeiter im Kundenservice hat nur Lesezugriff auf Kundendaten, aber keinen Schreibzugriff. Ein Systemadministrator darf nur Server verwalten, für die er verantwortlich ist, nicht das gesamte Netzwerk. Eine Cloud-Anwendung erlaubt Entwicklern Zugriff auf Testsysteme, aber nicht auf Produktionssysteme.
Was ist eine Biometrie-Authentifizierung?
Eine Authentifizierungsmethode, die biologische Merkmale wie Fingerabdruck, Gesichtserkennung oder Iris-Scan nutzt.
Software-Beispiele:
Windows Hello (Biometrische Anmeldung für Windows, kommerziell) Face ID (Apple Gesichtserkennung, kommerziell, nur für Apple-Geräte) Fingerprint GUI (Open Source, Linux-basierte Fingerabdruck-Authentifizierung)
Praxisbeispiele:
Ein Smartphone wird mit Fingerabdruck oder Gesichtserkennung entsperrt. Mitarbeiter eines Unternehmens betreten gesicherte Räume nur mit einem Iris-Scan. Eine Bank nutzt Stimmerkennung zur Authentifizierung ihrer Kunden im Telefonbanking.
