Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Föderiertes Identitätsmanagement | Ping Identity
Basiswissen über Identität
Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Föderiertes Identitätsmanagement

 

Das föderierte Identitätsmanagement (FIM) ist ein System, über das Nutzer aus verschiedenen Unternehmen mit einem einzigen Satz von Anmeldeinformationen auf die gleichen Netzwerke, Anwendungen und Ressourcen zugreifen können. Jedes Unternehmen hat seine eigenen Systeme für das Identitätsmanagement, die jeweils mit dem Identitätsanbieter (IdP) eines Drittanbieters verbunden sind. Dieser speichert die Anmeldedaten der Benutzer und sorgt für ihre unternehmensübergreifende Authentifizierung. 

 

Wenn die Domänen der Unternehmen in einem Verbund, d.h. föderiert sind, kann ein Benutzer nach der Authentifizierung bei einer der Domänen auf die Ressourcen in der anderen Domäne zugreifen, ohne sich erneut anmelden zu müssen. Wenn ein Unternehmen seinen Benutzern beispielsweise per Mausklick Zugriff auf Anwendungen von Drittanbietern wie Salesforce, Workday oder Zoom bieten möchte, braucht es eine FIM-Lösung. Genau genommen ermöglicht das föderierte Identitätsmanagement das Single Sign-on (SSO) über Unternehmensgrenzen hinweg.

 

Der Unterschied zwischen SSO und FIM


Das SSO unterscheidet sich vom FIM in folgenden Punkten:

 

  • SSO ermöglicht den Zugriff auf Anwendungen und Ressourcen mit nur einem Klick innerhalb eines Unternehmens. 

  • Das FIM bietet mit einem Klick den Zugriff auf Anwendungen in mehreren Unternehmen gleichzeitig.


Werfen wir einen Blick auf die SSO-Erfahrung der Benutzer bei der Acme Bank. Im folgenden Beispiel können sich Bankkunden auf der Website der Bank anmelden und eine Reihe von Vorgängen ausführen, wie z. B. ihren Kontostand abfragen oder Geld von einem Konto zu einem anderen überweisen. Obwohl es sich bei diesen Dienstleistungen eigentlich um separate Anwendungen handelt, die von der Bank hinter den Kulissen verwaltet werden, erhalten die Kunden mithilfe des SSO eine nahtlose Online-Erfahrung.

A diagram depicts a flow from the user to SSO and then to capabilities at Acme Bank including check savings balance transfer money and check checking balance

Mit dem FIM melden sich die Bankkunden nach wie vor bei der Website der Bank an und erledigen dort eine Vielzahl von Aufgaben, können aber auch auf extern verwaltete Dienste zugreifen. Nutzer können Schecks bestellen, mit Zelle Geld an andere Nutzer senden und einen Kredit beantragen – alles, ohne sich erneut authentifizieren zu müssen.

 

A diagram depicts a flow from the user to FIM to Acme Bank and then to capabilities including order checks send money and apply for loan

Wie funktioniert das FIM?

 

Wie bei den meisten Lösungen für das Identitäts- und Zugriffsmanagement kann auch das FIM auf viele unterschiedliche Weisen implementiert werden. Normalerweise fungiert ein Unternehmen als IdP und speichert die Informationen der Benutzeridentität, wie in diesem Diagramm dargestellt. In diesem Szenario baut der IdP außerdem vertrauenswürdige Beziehungen zu Dienstanbietern (SP) auf, die sich außerhalb des Unternehmens befinden, so dass die Benutzer nahtlosen Zugriff auf SP-Anwendungen und -Ressourcen erhalten.

 

Das funktioniert so:

A diagram depicts IdPinitiated Federated SSO with a sixstep sequence illustrating a typical federated SSO use case The steps are as follows 1 User requests access to an app through the IdP 2 On first signon IdP requests credentials 3 IdP checks credentials against identity directory 4 Encrypted assertion authenticating the user is passed to the SP 5 SP accepts assertion and directs user to the app and 6 With the assertion user can now access any SP in the trusted group without login

 

  1. Ein Benutzer versucht durch Klicken auf die Anwendung eines Drittanbieters zuzugreifen, die sich außerhalb der Unternehmensdomäne befindet.

     

  2. Wenn er sich zum ersten Mal bei diesem System anmeldet, wird der IdP seine Anmeldedaten abfragen.

     

  3. Der IdP prüft, ob die eingegebenen Anmeldedaten mit den Anmeldedaten im Identitätsverzeichnis übereinstimmen.

     

  4. Der IdP sendet eine verschlüsselte Assertion an den SP und bestätigt damit, dass der Benutzer derjenige ist, der er vorgibt zu sein.

     

  5. Der SP akzeptiert die Assertion und leitet den Benutzer zu den jeweiligen Anwendungen oder Diensten weiter.

     

  6. Der Benutzer kann nun auf jede Anwendung oder jeden Dienst in der vertrauenswürdigen Gruppe zugreifen, ohne sich erneut authentifizieren zu müssen.

Verwandte Ressourcen

Funktionalität

Single Sign-on-Lösung

   

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.