IT-Sicherheit
Ein Login, die richtigen Rechte, sauber entzogen.
Jede Anwendung mit eigener Benutzerverwaltung ist ein Risiko und ein Zeitfresser. Zentrales Identity- und Access-Management bündelt die Anmeldung, erzwingt starke MFA und sorgt dafür, dass Rechte beim Eintritt entstehen und beim Austritt wirklich verschwinden.
Ein Login, klare Rechte
- SSO statt Passwort-Wildwuchs über viele Tools
- Rechte folgen der Rolle, nicht dem Zuruf
Konten unter Kontrolle
- Eintritt, Wechsel und Austritt sauber automatisiert
- Verwaiste Konten und Schatten-Zugänge verschwinden
MFA, die Versicherer überzeugt
- Phishing-resistente Anmeldung mit Passkeys und YubiKey
- Nachweisbar für NIS2 und Cyberpolice
Selbst-Check
Wann Identitäten zum Sicherheitsthema werden.
Wer darf was, und wer hat es freigegeben? Daran merken Sie, ob ein IAM überfällig ist.
- Jede Anwendung hat ihre eigene Benutzerverwaltung und ihr eigenes Passwort.
- Beim Austritt von Mitarbeitenden bleiben Konten und Zugriffe bestehen.
- Wer worauf Zugriff hat, lässt sich nicht schnell und sauber beantworten.
- MFA fehlt oder gilt nur für einen Teil der Systeme.
- NIS2 oder die Cyberversicherung verlangen starke Authentifizierung und Nachweise.
Lösungsansätze
Drei Wege zur zentralen Identität.
Welche Plattform passt, hängt von Anwendungen, Bestand und Team ab. Häufig bleibt das Verzeichnis bestehen, während eine moderne Identity-Plattform SSO und MFA davorsetzt.
authentik als Plattform
Zentrale Open-Source-Identity-Plattform für SSO, MFA und Self-Service, mit OpenID Connect und SAML. Schlank, modern und selbst gehostet, mit voller Datenhoheit.
Keycloak für Föderation
Etablierte IAM-Plattform für komplexere Föderation, Realms und die Anbindung vieler Anwendungen, wo Reife und ein breites Ökosystem den Ausschlag geben.
Bestand & Verzeichnis
Vorhandenes Active Directory bleibt nutzbar, oder wir lösen es quelloffen mit Samba 4 oder Univention ab. SSO und MFA setzen wir sauber davor.
Weitere Bausteine
IAM ist mehr als ein gemeinsames Passwort.
Single Sign-on (SSO)
Ein Login für viele Anwendungen, über OpenID Connect und SAML angebunden.
Phishing-resistente MFA
Passkeys, WebAuthn und YubiKey statt anfälliger SMS-Codes.
Joiner-Mover-Leaver
Rechte automatisch beim Eintritt, Wechsel und Austritt anpassen.
Rollen & Least Privilege
Zugriff nach Rolle: so viel wie nötig, so wenig wie möglich.
Privileged Access (PAM)
Zeitlich begrenzte Admin-Rechte, Freigaben und optional Session Recording.
Self-Service & Provisioning
Passwort-Reset und Konten-Bereitstellung ohne Ticket-Stau, per SCIM angebunden.
Vorgehen
Von verteilten Konten zur zentralen Identität.
Identitäten & Quellen
Wer existiert wo: AD, LDAP, HR-System, externe Partner und Service-Konten erfassen.
Anwendungen anbinden
Wichtige Anwendungen über OpenID Connect oder SAML an die zentrale Identität koppeln.
MFA & Policies
Starke Authentifizierung und Zugriffsregeln nach Rolle und Risiko festlegen.
Lifecycle automatisieren
Eintritt, Wechsel, Austritt und Provisionierung automatisch abbilden.
Audit & Rezertifizierung
Zugriffe protokollieren und Berechtigungen regelmäßig überprüfen.
Identitäten & Quellen
Wer existiert wo: AD, LDAP, HR-System, externe Partner und Service-Konten erfassen.
Anwendungen anbinden
Wichtige Anwendungen über OpenID Connect oder SAML an die zentrale Identität koppeln.
MFA & Policies
Starke Authentifizierung und Zugriffsregeln nach Rolle und Risiko festlegen.
Lifecycle automatisieren
Eintritt, Wechsel, Austritt und Provisionierung automatisch abbilden.
Audit & Rezertifizierung
Zugriffe protokollieren und Berechtigungen regelmäßig überprüfen.
Technische Bausteine
Womit wir Identität und Zugriff aufbauen.
Eine Auswahl der Bausteine, die wir zum Beispiel einsetzen.
Identity-Plattform
Verzeichnisdienst
Protokolle & Föderation
Starke Authentifizierung
Zugriff & Rollen
Lifecycle & Audit
Aus der Praxis
Wofür eine zentrale Identität im Alltag sorgt.
Onboarding
Neue Mitarbeitende haben am ersten Tag die richtigen Zugänge.
Offboarding
Beim Austritt werden Zugänge über den IAM-Prozess systematisch entzogen, für angebundene Anwendungen unmittelbar.
Partner & Extern
Externe erhalten begrenzten, befristeten Zugriff auf das Nötige.
Admin-Zugriff
Privilegierte Rechte nur auf Zeit und vollständig nachvollziehbar.
AD-Ablösung
Microsoft AD quelloffen mit Samba 4 oder Univention ersetzen.
Bevor das nächste Konto verwaist
Fragen zu Identity & Access.
Antworten auf typische Fragen zu authentik, Keycloak, Active-Directory-Anbindung, MFA, Lebenszyklus und SSO für Cloud und SaaS.
IAM-Konzept besprechenBeide sind quelloffen und stark. authentik ist schlank, modern und bringt Self-Service und MFA komfortabel mit. Keycloak ist sehr reif und spielt seine Stärken bei komplexer Föderation, vielen Realms und großem Ökosystem aus. Welche Plattform passt, entscheidet sich an Ihren Anwendungen, Ihrem Team und dem Bestand. Vorhandenes AD oder LDAP lässt sich in beiden Fällen weiternutzen.
Nein. Das Active Directory kann die führende Identitätsquelle bleiben; SSO und MFA setzen wir davor. Wer bewusst aus der Lizenz- oder Plattformbindung will, kann AD quelloffen mit Samba 4 oder Univention ersetzen. Beides ist möglich, wir entscheiden es anhand Ihrer Anforderungen.
Phishing-resistente Verfahren zuerst: Passkeys, WebAuthn und Hardware-Token wie YubiKey sind deutlich sicherer als TOTP-Apps, und beide klar besser als SMS-Codes. Wir wählen die Methode passend zu Nutzergruppe und Risiko und sorgen dafür, dass sie für Versicherer und NIS2 belegbar ist.
Über einen sauberen Joiner-Mover-Leaver-Prozess: Konten und Rechte entstehen beim Eintritt, ändern sich beim Wechsel und werden beim Austritt automatisch entzogen. Eine regelmäßige Rezertifizierung sorgt dafür, dass niemand stillschweigend Rechte ansammelt, die er nicht mehr braucht.
Ja. Über OpenID Connect und SAML binden wir interne Anwendungen ebenso an wie Cloud-Dienste und SaaS, einschließlich Microsoft 365. So gilt ein Login mit starker MFA über die gesamte Landschaft, statt nur für einen Teil.
Der nächste Schritt
Klären wir, wer bei Ihnen worauf zugreift.
Wir bringen Identitäten, Anwendungen und Berechtigungen in eine zentrale, nachvollziehbare Struktur, mit starker Authentifizierung und automatisiertem Lebenszyklus.