IAM

Herausforderungen im IAM Config Management überwinden

Urs Zurbuchen

Mit der Einführung des YAML-basierten Konfigurationsformats eröffnen sich neue Möglichkeiten zur Lösung bislang herausfordernder Szenarien.

Im Einklang mit den Zielen zur Steigerung der Betriebseffizienz von Sicherheitslösungen hat das Konfigurationsmanagement zunehmend an Bedeutung gewonnen. Branchentrends wie deklarative Konfiguration, Config-as-Code und GitOps haben deutlich an Fahrt aufgenommen und erfordern neue Fähigkeiten:

 

  • Automatisierung
    Die Funktionalität zentraler Dienste wie dem Identity- und Access-Management für Kunden muss sich schnell und flexibel an veränderte Anforderungen der Anwendungen anpassen können. Angesichts deren Vielzahl und hoher Änderungsrate ist eine manuelle Konfiguration nicht nur nicht mehr zeitgemäss, sondern auch zu fehleranfällig, insbesondere unter Zeitdruck.

    Die Lösung liegt in der Automatisierung einfacher, vorhersehbarer und sich wiederholender Änderungen, während UI-basierte Arbeiten für Architektur und Lösungsdesign die beste Unterstützung liefern.
     
  • Konfigurationsformat als API
    Automatisierung erfordert ein standardisiertes und stabiles Format für Konfigurationsdateien.
     
  • Integration mit externen Tools
    Um die Vorteile moderner Konfigurationsmanagement-Paradigmen zu realisieren, sind zusätzliche Werkzeuge erforderlich, da UI-basierte Tools nicht für die nötigen operativen Abläufe ausgelegt sind.

    Es ist jedoch in der Regel nicht im besten Interesse der Kunden, wenn ein Produkt alle Tools „out of the box“ bereitstellt. Solche Werkzeuge erzwingen oft bestimmte Arbeitsabläufe, die möglicherweise nicht zu den individuellen Anforderungen passen. Zudem verwenden verschiedene Produkte teilweise inkompatible Ansätze.

    Wir halten es daher für essenziell, nur produktspezifische Werkzeuge bereitzustellen, zum Beispiel zur Validierung automatisierter Konfigurationsänderungen vor der Auslieferung, wo generische Tools an ihre Grenzen stossen.

    Für alle weiteren Anforderungen sind etablierte Standardtools oft die bessere Wahl.

Airlock IAM unterstützt ab Version 8.4 die Automatisierung der Konfiguration und ermöglicht es Kunden, von diesen Vorteilen zu profitieren.

 

Herausfordernde Szenarien

Neben den genannten Vorteilen kann das neue Konfigurationsmodell zwei besonders schwierige Szenarien lösen, mit denen Airlock IAM-Kunden bisher konfrontiert waren:

  1. Gleichzeitige Konfigurationsänderungen durch mehrere Administratoren
    Mit dem aktuellen Config Editor lädt ein Administrator die aktive Konfiguration in seine Sitzung und nimmt Änderungen entsprechend seiner Aufgabe vor. Nach Abschluss der Änderungen muss die Konfiguration aktiviert werden – sie wird damit zur neuen produktiven Version und zur Basis für weitere Anpassungen.

    Aufgrund der Funktionsweise des Config Editors können jedoch zwei parallel arbeitende Administratoren (oft an unterschiedlichen Bereichen der Konfiguration) Konflikte erzeugen: Die spätere Aktivierung kann die vorherigen Änderungen überschreiben.

     
  2. Dedizierte Teams für spezifische Konfigurationsbereiche
    Einige Kunden weisen bestimmten Teams einzelne Aspekte der IAM-Konfiguration zu. Ein häufiges Beispiel ist das Schlüsselmanagement, bei dem ein spezialisiertes Team für alle Verschlüsselungs- und Signaturschlüssel innerhalb der Infrastruktur zuständig ist.

    Derzeit unterstützt Airlock IAM keine entsprechenden Berechtigungen. Es ist z. B. nicht möglich, einem Team, das für Benutzer-Authentifizierung und Self-Service zuständig ist, Änderungen an einem Token-Issuer-Signierschlüssel zu verbieten.
Figure 1: Zentrales Config Repository für die parallele Administration

Zentrales Konfigurations-Repository

Für das erste Szenario empfehlen wir die Nutzung eines zentralen Konfigurations-Repositorys – üblicherweise auf Basis von Git, aber auch andere Systeme sind denkbar.

Jeder Administrator arbeitet mit seinem eigenen, dedizierten Config Editor und lädt die aktuelle Konfiguration über Standardmechanismen, z.B. mit:

git clone https://repository.example.com/project/iam-config

Stellen wir uns vor, Peter soll die Konfiguration anpassen, um eine neue Anwendung zu unterstützen. Nach Abschluss und Validierung seiner Änderungen überträgt er diese ins Repository. Da kein anderer Administrator aktiv war, gibt es keinen Konflikt. Der automatisierte Deployment-Prozess übernimmt die neue Version und verteilt sie an die entsprechenden Airlock IAM-Installationen, die die Konfiguration erkennen und automatisch aktivieren.

Anschliessend soll Sue eine neue Option im Onboarding-Prozess hinzufügen, indem sie Schritte im Self-Registration-Flow ändert. Zur gleichen Zeit behebt Mary ein Problem bei den Benachrichtigungs-E-Mails. Ihre Änderung ist schnell erledigt, sodass sie ihre Anpassung zügig ins Repository überträgt.

Wenn Sue später versucht, ihre Änderungen zu pushen, wird sie über einen Konflikt informiert. Sie muss nun lediglich Marys Version pullen und ihre Änderungen mergen.

git pull
git merge
git push

Dieser Vorgang ist in der Regel einfach und nicht-interaktiv – es sei denn, beide haben dieselbe Einstellung geändert. In solchen Fällen bieten Git-Tools wie WinMerge oder Visual Studio Code benutzerfreundliche Möglichkeiten zur Konfliktlösung.

Figure 2: Mehrere Repositories für unterschiedliche Aspekte

Aufteilen der Konfiguration

Die Lösung des zweiten Szenarios erfordert eine andere Strategie, bei der dennoch Versionskontrolle verwendet wird. Hier werden mehrere Repositories eingesetzt – jeweils eines pro Konfigurationsaspekt.

Authentifizierungs- und Zugriffskontrollmechanismen ermöglichen es, den Zugriff verschiedener Teams gezielt auf ihre jeweiligen Bereiche zu beschränken.

Zwei Voraussetzungen sind dabei unerlässlich:

 

  • Validierung der kombinierten Konfiguration:
    Die Deployment-Pipeline muss die vollständige Konfiguration validieren, nachdem die Einzelteile aus den verschiedenen Repositories zusammengeführt wurden. Insbesondere ist zu überprüfen, dass alle Verweise korrekt aufgelöst werden können.

    Die entsprechende Funktionalität ist im Standardumfang von Airlock IAM enthalten. Verwenden Sie dazu den folgenden Befehl:
iam config validate -f <file>
  • Aufteilung der Konfiguration nach Aspekten: Zunächst ist es notwendig, die zentrale Datei “iam-config.yaml” manuell in mehrere kleinere Dateien aufzuteilen. Best Practices dazu sind nicht Gegenstand dieses Artikels. Eine zentrale Herausforderung besteht darin, dass der Config Editor stets eine einzige, zusammengeführte Konfigurationsdatei ausgibt und vorherige Aufteilungen ignoriert. 

iam-split2files

Beim Präsentieren der neuen Konfigurationsmöglichkeiten stand auch das Airlock Pre-Sales-Team vor der Herausforderung, bestehende Konfigurationsaufteilungen beizubehalten. Zu diesem Zweck wurde ein einfaches Tool entwickelt, das die Aufteilung einer Konfiguration rekonstruieren kann. Es benötigt zwei Eingaben:

  • Ein Verzeichnis mit einer vorherigen, bereits aufgeteilten Version der IAM-Konfiguration.
  • Eine einzelne Datei mit der aktualisierten IAM-Konfiguration.

Das Tool aktualisiert das Verzeichnis anhand der neuen Konfiguration, wobei bestehende Dateizuordnungen beibehalten werden. Die Aufteilung erfolgt so, dass das Zusammenfügen der einzelnen Dateien exakt die ursprüngliche Gesamtdatei ergibt.

Sie finden iam-split2files auf GitHub.

Airlock Consulting

Wenn wir Ihr Interesse geweckt haben und Sie die Möglichkeiten des neuen Konfigurationsmodells weiter erkunden oder massgeschneiderte Beratung zur Implementierung in Ihrem Umfeld erhalten möchten, steht Ihnen unser Consulting-Team gerne zur Seite.

Weitere interessante Artikel
IAM

Passkeys im Realitätscheck – 4 Mythen auf dem Prüfstand

Was können Passkeys wirklich? Wir prüfen vier gängige Mythen – und geben Orientierung für Unternehmen, die die Technologie strategisch bewerten… Artikel lesen
von Marc Bütikofer · 23.05.2025
IAM

Sechs entscheidende Tipps für cIAM-Käufer

Sechs Tipps für ein erfolgreiches CIAM-Projekt: Erfahren Sie, worauf es bei der Auswahl und Einführung einer Customer Identity and Access… Artikel lesen
von Michaela Zellnig · 28.04.2025
IAM

Effiziente Identitätsprüfung: So funktioniert sicheres und schnelles Onboarding

Identity Proofing bietet eine sichere, moderne Lösung für schnelles Onboarding – und Airlock IAM macht die Integration einfach Wir zeigen Ihnen, wie. Artikel lesen
von Michaela Zellnig · 11.03.2025
Zur Artikelübersicht

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Diese Website verwendet Cookies
Diese Website nutzt Tracking- und Targeting-Technologien (z. B. Cookies). Es werden für den Betrieb der Seite notwendige Cookies gesetzt. Darüber hinaus verwenden wir Technologien, um die Zugriffe auf unsere Website zu analysieren sowie Inhalte und Anzeigen zu personalisieren. Indem Sie „Alle akzeptieren“ klicken, erklären Sie sich mit der Verwendung der oben genannten Technologien und Cookies einverstanden (jederzeit widerruflich). Unter „Einstellungen“ können Sie Ihre Einstellungen ändern und die Datenverarbeitung ablehnen.
Notwendige Cookies ermöglichen es Ihnen, sich auf unserer Website zu bewegen und deren grundsätzliche Funktionalität bereitzustellen. Ohne diese Cookies können wesentliche Funktionen nicht bereitgestellt werden.Statistik Cookies werden eingesetzt, um die Nutzung unserer Website statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebotes für Sie auszuwerten.Marketing Cookies können von uns oder unseren Werbepartnern auf unserer Website bereitgestellt werden, um ein Profil Ihrer Interessen zu erstellen und Ihnen relevante Inhalte auf unserer und auf Websites Dritter zu zeigen. Um Ihnen relevante Inhalte auf Websites Dritter zu präsentieren, teilen wir diese Informationen mit Dritten, z.B. mit Werbeplattformen und sozialen Netzwerken.
←  Zurück
ImpressumDatenschutz

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: Die Puzzleteile moderner Authentifizierung

Beim Identitätsmanagement verhält es sich wie bei einem Puzzle: Man muss das Gesamtbild verstehen, die relevanten Puzzleteile identifizieren und sie in der richtigen Reihenfolge zusammensetzen. Dieses Whitepaper zeigt, wie das gelingt.

Whitepaper anfordern

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern