Ihre HR-Abteilung möchte schnelles und standardisiertes On- und Offboarding für interne und externe Teams? Ihr Helpdesk möchte SSO-Zugang zu allen wichtigen Apps um Anfragen zu Passwort Resets zu verringern? Ihre Fachbereichsleiter wünschen sich unabhängiges Benutzer- und Gruppenmanagement um ihren Mitarbeiterinnen und Mitarbeitern schnell die richtigen Anwendungen zugänglich zu machen? Ihr Compliance Officer fordert Multi-Faktor-Authentifizierung um kritische Systeme zu schützen und weist auf gestiegene gesetzliche Anforderungen an Datenschutz und Sicherheit hin? Gleichzeitig wird ihre IT Infrastruktur aufgrund der Forderung nach Flexibilität (Cloud, BYOD, Virtualisierung) teurer und komplexer und es gilt Kosten zu sparen?
Sie sind nicht allein!
Erfahrene IT-Admins wissen: Open-Source-Tools bieten zahlreiche Möglichkeiten, diese Funktionen ohne Software-Lizenzkosten zu realisieren. Zusätzlich machen diese Datenschutz- und Sicherheitsrichtlinien beherrschbar und transparent, denn sie können unabhängig und flexibel betrieben werden und alle Daten unter eigener Kontrolle halten.
Gleichzeitig gibt es eine bequeme Antwort auf all diese Wünsche: Ein Identity & Access Management (IAM). IAM-Systeme gibt es zahlreich und in verschiedenen teuren Lizenzmodellen.
Wie entscheiden Sie nun, wie Sie in die Umsetzung gehen?
Dieser Leitfaden unterstützt Sie dabei, fundierte Entscheidungen zu treffen, die Zeit und Ressourcen sparen.
Inhaltsverzeichnis
Welche Komponenten passen zu Ihrem Identity & Access Management Vorhaben?
Schritt 1: Informieren Sie sich über Protokolle und Standards
- Single Sign-On (SSO): Erlaubt Benutzern, sich einmalig einzuloggen und auf mehrere Anwendungen zuzugreifen. Nutzt Protokolle wie OAuth2, OpenID Connect und SAML.
- Benutzer- und Gruppenmanagement: Zentralisiertes Verwalten von Benutzern, Gruppen, Geräten und Rollen (z. B. über OpenLDAP).
- Multi-Faktor-Authentifizierung (MFA): Integration von Mechanismen wie SMS, TOTP oder Hardware-Tokens.
Schritt 2: Analysieren Sie Ihre Anforderungen
- Sicherheits- und Compliance-Anforderungen: Benötigen Sie zentralisierte Zugriffsverwaltung, Einhaltung von Standards wie GDPR, ISO 27001 oder BSI Grundschutz?
- Federated Identity: Welche externen Identitätsquellen (z. B. Microsoft Active Directory) müssen Sie integrieren?
- Self-Service-Funktionen: Ermöglichen Sie Benutzern, Passwörter zurückzusetzen oder ihren Namen und ihre Kontaktdaten anzupassen.
- Rollen- und Rechtestruktur: Überlegen Sie, wie komplex Ihre Verwaltungsprozesse sein müssen. Die HR Abteilung und die jeweiligen Teamleads sind hierfür der erste Anlaufpunkt.
- Mandantenfähigkeit (Multi-Tenancy): Ist eine saubere Trennung zwischen Organisationen erforderlich?
- Anzubindende Anwendungen: Welche Anwendungen sollen angebunden werden? Welche Standards und Schnittstellen können dazu genutzt werden?
Schritt 3: Betrieb und Wartung planen
- Skalierbarkeit: Soll das System Cloud-basiert oder On-Premise betrieben werden?
- API-Schutz und Zugangskontrolle: Sichern Sie APIs mit OAuth2-Tokens ab.
- Benutzeranalyse: Nutzen Sie Logs und Berichte, um Aktivitäten und Zugriffe zu analysieren.
Kosten eines Open-Source-Eigenbaus für Identity & Access Management
Obwohl die Open Source Lösungen oft lizenzkostenfrei sind, entstehen durch Implementierung und Betrieb dennoch laufende Kosten und Opportunitätskosten. Diese setzen sich wie folgt zusammen:
- Direkte Kosten:
- Infrastruktur: Serverkosten für On-Premise oder Cloud-Betrieb (z. B. AWS, Azure, Google Cloud).
- Indirekte Kosten: Diese müssen je Komponente gesehen werden, und Wartung und Weiterentwicklung wird einem teilweise „aufgezwungen“, da Komponenten in neuen Versionen erscheinen und Migrationspfade umgesetzt werden müssen, um nicht alten ungewarteten Versionen stehenzubleiben.
- Initiale Implementierung – diese fallen bei mehreren Lösungen auch mehrfach an: Zeitaufwand abhängig von Teamgröße und Erfahrung. Dazu zählen:
- Anforderungsaufnahme und Planung.
- Einrichtung von Verzeichnisdiensten, Authentifizierungsservern und SSO-Integration.
- Tests und Dokumentation.
- Regelmäßige Wartung: z. B. für Updates, Benutzerverwaltung und Sicherheitsüberwachung.
- Weiterentwicklung und Anpassungen: Jährlich, um neue Anwendungen zu integrieren oder Zugriffsrichtlinien anzupassen.
- Initiale Implementierung – diese fallen bei mehreren Lösungen auch mehrfach an: Zeitaufwand abhängig von Teamgröße und Erfahrung. Dazu zählen:
- Zusätzliche Kosten:
- Einmalige Schulungen: Einmalige Kosten, um Ihr Team im Umgang mit den Tools und der Wartung zu schulen.
- Regelmäßige Schulungen um sicherzustellen, dass Ihrem Team bewusst ist, dass es die alleinige Verantwortung für Support, Updates, Weiterentwicklung und Sicherheit des Identitätsmanagements trägt.
- Support: Externer Support, falls benötigt.
- Opportunitätskosten: Ihr IT-Admin Team ist stark in die Verwaltung und Anpassung des Identity & Access Management Systems eingebunden. In einer Selbstbaulösung sehen wir oft, dass IT-Admins vielfach auch fachliche Administrationsaufgaben übernehmen müssen, da die Systeme zu komplex für nicht-IT-Personal sind. Damit einher geht ein hoher Kommunikationsaufwand zwischen fachlicher und IT-Administration. Bedenken Sie, welche anderen strategischen Ziele Ihr Unternehmen stattdessen umsetzen könnte.
Fazit
Ein Eigenbau eines Identity & Access Management Systems mit Open-Source-Komponenten kann sich nur unter ganz spezifischen Rahmenbedingungen lohnen. Dafür benötigen Sie:
- Tiefes technisches Know-how in Ihrem IT-Team sowie erfahrene Mitarbeitende, die langfristig ausreichende Kapazitäten für das Projekt einplanen können,
- Statische und klar definierte Anforderungen, die sich über Jahre hinweg nicht wesentlich ändern, denn nur so vermeiden sie kommunikativen Overhead,
- Ein langfristig stabiles Personalbudget, um Betrieb, Wartung und Weiterentwicklung ohne externe Unterstützung sicherzustellen,
- Ein Risikomanagementplan, denn ohne einen Anbieter sind IT-Administratoren allein für Sicherheit, Ausfallzeiten und Fehler verantwortlich, ohne externe Unterstützung.
Eigenbau bedeutet auch, dass Sie die volle Verantwortung für Support, Updates, Weiterentwicklung und Sicherheit tragen. Selbst mit diesen Voraussetzungen ist der Aufwand erheblich – und die Einsparungen durch fehlende Lizenzkosten werden oft durch hohe interne Betriebs- und Entwicklungskosten aufgezehrt.
Warum nicht beides?
Mit einer Lösung wie Univention Nubus bekommen Sie die Sicherheit und Flexibilität von Open Source und sparen gleichzeitig Zeit und Ressourcen, da Nubus als IAM bereits auf einer erprobten und flexiblen Plattform aufbaut. Nubus bietet Ihnen:
- Maximale Flexibilität und Anpassbarkeit an Ihre spezifischen Anforderungen,
- Transparenz und Unabhängigkeit, durch den Einsatz von Open-Source-Standards,
- Skalierbarkeit für wachsende Organisationen,
- und eine signifikante Entlastung Ihres IT-Teams, da viele Funktionen und Applikationen bereits integriert und einsatzbereit sind.
Ein weiterer Vorteil von Univention Nubus ist die Flexibilität bei der Bereitstellung. Sie können Nubus entweder direkt auf der Univention UCS Appliance oder in modernen Umgebungen wie Kubernetes betreiben. Dadurch bleiben Sie unabhängig von spezifischer Hardware und können das System nahtlos in Ihre bestehende Infrastruktur integrieren – On-Premise oder in der Cloud.
Statt selbst Zeit und Geld in die Entwicklung und Wartung einer Eigenbau-Lösung zu investieren, profitieren Sie mit Univention Nubus von einer bewährten Plattform, die Ihre Anforderungen effizient und kostensparend erfüllt.
Wenn Sie mehr über Univention Nubus und die Vorteile für Ihr Unternehmen erfahren möchten, beraten wir Sie gerne. Gemeinsam finden wir die optimale Lösung, um Ihre Identitäts- und Zugriffsverwaltung zukunftssicher zu gestalten.
Bildquelle: Icon erstellt von zero_wing von flaticon.com
