
01.12.2021
|Thomas Kessler
|Artikel
Wer mit mehreren Partnerfirmen auf unterschiedlichen Collaboration-Plattformen zusammenarbeitet, der kennt sie: plattformspezifische Logins, zunehmend mit einer ebenfalls plattformspezifischen 2-Faktor-Authentifizierung.
Wer für das Identity and Access Management (IAM) einer Firma verantwortlich ist, der fürchtet sie: Collaboration-Accounts, die nach Abschluss der Zusammenarbeit bestehen bleiben, allzu oft auch nach dem Austritt eines Projektbeteiligten aus der Firma.Beide Probleme erscheinen einem wie Überbleibsel aus der Informatiklandschaft der 90er-Jahre, als jede organisationsinterne Fachapplikation ihre eigene Benutzerverwaltung und ihren eigenen Login hatte. Mit der Einführung von internen IAM-Systemen konnten wir dies in den Griff bekommen. Zeichnet sich nun auch für Collaboration-Accounts eine Lösung ab? Wie könnte eine solche aussehen?
Das IAM-Modell für B2B-Collaboration, das im Folgenden skizziert wird, besteht aus zwei Komponenten, die sich gegenseitig ergänzen:
Seitens der Benutzer wird ein Identity Provider (IdP) für Mitarbeitende benötigt, der Assertions zuhanden der externen Collaboration-Plattformen (und anderen Cloud-Services) ausstellt. Dieser IdP ist mit dem internen IAM-System der Organisation verbunden und stellt unter anderem sicher, dass Mitarbeitende nach einem Firmenaustritt keine Assertions mehr erhalten. Der IdP implementiert ausserdem eine 2-Faktor-Authentifizierung der Mitarbeitenden, beispielsweise mittels einer Smartcard oder einer Authenticator-App.
Seitens der Collaboration-Plattform wird ein Registration-Service für Collaboration-Accounts benötigt, der die folgenden Funktionalitäten anbietet:
Das hier vorgestellte IAM-Modell für B2B-Collaboration sieht ausserdem vor, dass auch die Collaboration-Plattform einen Federated Login unterstützt und dass der Einladungsprozess der Collaboration-Plattform über den oben beschriebenen Registration-Service für Collaboration-Accounts geführt werden kann.
Ist dies erfüllt, dann können sich die Benutzer über einen sicheren Single Sign-on und die IAM-Verantwortlichen über eine angemessene Governance aller Benutzerkonten freuen!
Selbstverständlich muss die Collaboration-Plattform auch von externen Personen genutzt werden können, deren Organisation nicht über einen eigenen IdP mit 2-Faktor-Authentifizierung verfügt.
Für diesen Fall muss der Registration-Service für Collaboration-Accounts einen eigenen Prozess für die sichere Identifikation des Gegenübers im Rahmen des Einladungsprozesses implementieren, beispielsweise basierend auf einem separat zugestellten Voucher-Einmalpasswort. Ausserdem muss die Collaboration-Plattform eine 2-Faktor-Authentifizierung bereitstellen, die von solchen Collaboration-Accounts genutzt werden kann.