Bei der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) geht es darum, den richtigen Personen aus den richtigen Gründen Zugriff auf die richtigen Ressourcen zu gewähren. In dieser Reihe wird auf die allgemeinen IAM-Prinzipien und die betroffenen Personen eingegangen. Dazu gehören:
- Unternehmensidentitäten: Die Identitäten, die Sie für Mitarbeiter Ihrer Organisation verwalten. Diese Identitäten werden für die Anmeldung bei Workstations, den Zugriff auf E-Mails oder die Nutzung von Unternehmensanwendungen verwendet. Zu Unternehmensidentitäten können auch Nichtmitarbeiter wie Auftragnehmer oder Partner gehören, die Zugriff auf Unternehmensressourcen benötigen.
- Kundenidentitäten: Die Identitäten, die Sie für Nutzer verwalten, damit diese Ihre Website und kundenseitigen Anwendungen verwenden können.
- Dienstidentitäten: Die Identitäten, die Sie verwalten, um Anwendungen die Interaktion mit anderen Anwendungen oder der zugrunde liegenden Plattform zu ermöglichen.
Möglicherweise müssen Sie Zugriff auf die folgenden Ressourcen gewähren:
- Google-Dienste wie Google Cloud, Google Analytics oder Google Workspace
- Ressourcen in Google Cloud wie Projekte, Cloud Storage-Buckets oder virtuelle Maschinen (VMs)
- Benutzerdefinierte Anwendungen oder Ressourcen, die von solchen Anwendungen verwaltet werden
In den Leitfäden dieser Reihe sind die Erklärungen zu IAM in folgende Teile gegliedert:
- Die Verwaltung von Unternehmens-, Kunden- und Dienstidentitäten bildet die Grundlage von IAM. Diese Themen werden durch die rechteckigen Felder 4, 5 und 6 (grün) dargestellt.
- Die blauen Felder 2 und 3 bauen auf der grundlegenden Identitätsverwaltung auf und stehen für Themen der Zugriffsverwaltung. Zu diesen Themen gehört die Verwaltung des Zugriffs auf Google-Dienste, auf Google Cloud-Ressourcen und auf Ihre benutzerdefinierten Arbeitslasten sowie auf Anwendungen.
- Feld 1 (gelb) gibt die Themen der Zugriffsverwaltung an, die nicht in diesen Leitfäden behandelt werden. Informationen zur Zugriffsverwaltung für Google Workspace, für die Google Marketing Platform und für andere Dienste finden Sie in der jeweiligen Produktdokumentation.
Identitätsverwaltung
Bei der Identitätsverwaltung stehen folgende Vorgänge im Mittelpunkt:
- Identitäten, Nutzer und Gruppen bereitstellen, verwalten, migrieren und deren Bereitstellung aufheben
- Sichere Authentifizierung bei Google-Diensten und Ihren benutzerdefinierten Arbeitslasten ermöglichen
Die Prozesse und Technologien unterscheiden sich je nachdem, ob Sie es mit Unternehmensidentitäten, Anwendungsidentitäten oder Kundenidentitäten zu tun haben.
Unternehmensidentitäten verwalten
Unternehmensidentitäten sind die Identitäten, die Sie für die Mitarbeiter Ihrer Organisation verwalten. Mitarbeiter verwenden diese Identitäten, um sich bei Workstations anzumelden, auf E-Mails zuzugreifen oder Unternehmensanwendungen zu nutzen.
Im Zusammenhang mit der Verwaltung von Unternehmensidentitäten sind folgende Anforderungen typisch:
- Einen zentralen Ort für die organisationsweite Verwaltung von Identitäten unterhalten
- Mitarbeitern ermöglichen, eine einzige Identität und die Einmalanmeldung (SSO) für mehrere Anwendungen in einer hybriden Computing-Umgebung zu verwenden
- Richtlinien wie die Multi-Faktor-Authentifizierung oder Passwortkomplexität für alle Mitarbeiter erzwingen
- Compliancekriterien erfüllen, die unter Umständen für Ihr gesamtes Unternehmen gelten
Google Workspace und Cloud Identity sind Produkte von Google, mit denen Sie diese Anforderungen erfüllen und Identitäten sowie Richtlinien zentral verwalten können.
Wenn Sie Google-Dienste in einem Hybrid- oder Multi-Cloud-Kontext verwenden, müssen Sie zur Erfüllung dieser Anforderungen die IAM-Funktionen von Google möglicherweise in externe Identitätsverwaltungslösungen oder in Identitätsanbieter wie Active Directory einbinden. Im Dokument Referenzarchitekturen wird erläutert, wie Sie mit Google Workspace oder Cloud Identity eine solche Einbindung ausführen.
Einige Ihrer Mitarbeiter nutzen möglicherweise Gmail-Konten oder andere Privatnutzerkonten, um auf Unternehmensressourcen zuzugreifen. Die Verwendung solcher Nutzerkonten entspricht jedoch möglicherweise nicht Ihren speziellen Anforderungen oder Richtlinien. In diesem Fall können Sie diese Nutzer zu Google Workspace oder zu Cloud Identity migrieren. Ausführliche Informationen dazu finden Sie unter Vorhandene Nutzerkonten bewerten und Onboardingpläne bewerten.
Unsere Leitfäden zur Bewertung und Planung unterstützen Sie bei der Einführung von Google Workspace und Cloud Identity. Dort erfahren Sie, wie Sie Ihre Anforderungen ermitteln und die Einführung vornehmen.
Anwendungsidentitäten verwalten
Anwendungsidentitäten sind die Identitäten, die Sie verwalten, um Anwendungen die Interaktion mit anderen Anwendungen oder der zugrunde liegenden Plattform zu ermöglichen.
Im Zusammenhang mit der Verwaltung von Anwendungsidentitäten sind folgende Anforderungen typisch:
- APIs und Authentifizierungslösungen von Drittanbietern einbinden
- Umgebungsübergreifende Authentifizierung in einem Hybrid- oder Multi-Cloud-Szenario ermöglichen
- Verlust von Anmeldedaten verhindern
Mit Google Cloud können Sie über Google Cloud-Dienstkonten und Kubernetes-Dienstkonten Anwendungsidentitäten verwalten und diese Anforderungen erfüllen. Weitere Informationen zu Dienstkonten und Best Practices für deren Verwendung finden Sie unter Details zu Dienstkonten.
Kundenidentitäten verwalten
Kundenidentitäten sind die Identitäten, die Sie für Nutzer verwalten, damit diese Ihre Website und kundenseitigen Anwendungen verwenden können. Die Verwaltung von Kundenidentitäten und ihres Zugriffs wird auch als Identitäts- und Zugriffsverwaltung für Kunden (Customer Identity and Access Management, CIAM) bezeichnet.
Für die Verwaltung von Kundenidentitäten gelten meist folgende Anforderungen:
- Kunden die Möglichkeit geben, sich für ein neues Konto zu registrieren, und gleichzeitig Schutz vor Missbrauch bieten, beispielsweise das Erstellen von Bot-Konten erkennen und blockieren
- Anmeldung über soziale Netzwerke unterstützen und externe Identitätsanbieter einbinden
- Multi-Faktor-Authentifizierung unterstützen und Anforderungen an die Komplexität von Passwörtern erzwingen
Mit der Identity Platform von Google können Sie Kundenidentitäten verwalten und diese Anforderungen erfüllen. Weitere Informationen zu den Features und zum Einbinden von Identity Platform in Ihre benutzerdefinierten Anwendungen finden Sie in der Dokumentation zur Identity Platform.
Zugriffsverwaltung
Bei der Zugriffsverwaltung stehen folgende Vorgänge im Mittelpunkt:
- Zugriff auf bestimmte Ressourcen für Identitäten gewähren oder entziehen
- Rollen und Berechtigungen verwalten
- Verwaltungsfunktionen an vertrauenswürdige Personen delegieren
- Zugriffssteuerung erzwingen
- Zugriffe von Identitäten prüfen
Zugriff auf Google-Dienste verwalten
Ihre Organisation stützt sich möglicherweise auf eine Kombination von Google-Diensten. Sie verwenden beispielsweise Google Workspace für die Zusammenarbeit, Google Cloud zum Bereitstellen benutzerdefinierter Arbeitslasten und Google Analytics zum Messen des Werbeerfolgs.
Google Workspace oder Cloud Identity bietet die Möglichkeit, zentral festzulegen, welche Unternehmensidentitäten welche Google-Dienste nutzen dürfen. Durch das Einschränken des Zugriffs auf bestimmte Dienste wird eine grundlegende Ebene der Zugriffssteuerung eingerichtet. Sie können dann die Zugriffsverwaltungsfunktionen der einzelnen Dienste verwenden, um eine detailliertere Zugriffssteuerung zu konfigurieren.
Ausführliche Informationen finden Sie unter Zugriff auf Google Workspace und Google-Dienste steuern.
Zugriff auf Google Cloud verwalten
In Google Cloud steht Ihnen IAM zur Verfügung, um für Unternehmensidentitäten den Zugriff auf bestimmte Ressourcen im Detail festzulegen. Mithilfe von IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung implementieren, bei dem Sie diesen Identitäten Zugriffsberechtigungen nur für die von Ihnen angegebenen Ressourcen erteilen.
Weitere Informationen finden Sie in der IAM-Dokumentation.
Zugriff auf Arbeitslasten und Anwendungen verwalten
Ihre benutzerdefinierten Arbeitslasten und Anwendungen können sich je nach Zielgruppe unterscheiden:
- Einige Arbeitslasten sind vielleicht auf Unternehmensnutzer ausgerichtet, z. B. interne Geschäftsanwendungen, Dashboards oder Content-Management-Systeme.
- Andere Anwendungen richten sich möglicherweise an Ihre Kunden, z. B. Ihre Website, ein Self-Service-Portal für Kunden oder Back-Ends für mobile Anwendungen.
Wie Sie den Zugriff richtig verwalten, die Zugriffssteuerung erzwingen und den Zugriff prüfen, hängt von der Zielgruppe und der Art der Anwendungsbereitstellung ab.
Weitere Informationen zum Schützen von Anwendungen und anderen Arbeitslasten für Unternehmensnutzer finden Sie in der IAP-Dokumentation.
Sie können auch den Log-in direkt in Google einbinden oder Standardprotokolle wie OAuth 2.0 oderOpenID Connect verwenden.
Informationen zum Erzwingen des Zugriffs auf APIs finden Sie in der Dokumentation zu Istio und Cloud Endpoints. Sie können beide Produkte verwenden, unabhängig davon, ob sich Ihre Anwendungen an Unternehmensnutzer oder an Endnutzer richten.
Weitere Informationen
- Im Abschnitt Konzepte finden Sie weitere Informationen zu Konzepten und Funktionen der Identitätsverwaltung.
- Im Abschnitt Best Practices finden Sie präskriptive Anleitungen, die Sie bei Ihrer Architektur oder Ihrem Design berücksichtigen sollten
- Im Abschnitt Bewerten und Planen wird beschrieben, wie Sie Ihre Anforderungen bewerten und ein geeignetes Design ermitteln.