SID Identity-Access-Management

    D0081-R01 | Infrastrukturdienst in der Domäne Infrastruktur

    Kurzbeschreibung

    Dieser Dienst stellt Funktionalität zur Verwaltung und (De-)Provisionierung von Identitätsinformationen bereit. Ziel ist ein IAM-System mit einer zentralen und mehreren nachgelagerten Instanzen. Dieses soll u.a. die Durchsetzung zentraler Sicherheits-Policies sowie eine zentrale, behördenübergreifende Sperrung von Identitäten (Emergency Exit) ermöglichen. Kernfunktionalitäten einer logischen Autorisierungskomponente bzw. eines Policy Decision Point (PDP) im Rahmen eines Zero-Trust-Ansatzes sollen zudem abgedeckt werden.

    Kernfunktionalitäten

    • Identitäten verwalten: Identitäten und Konten für Benutzende der Bundesverwaltung können zentral erstellt, aktualisiert und gelöscht sowie die dazugehörigen Passwörter, Zugriffsrechte und Rollen verwaltet werden.
    • Identitäten (de-)provisionieren: Auf Grundlage von Geschäftsregeln und Richtlinien können Identitäten und Konten von Benutzenden automatisch provisioniert und de-provisioniert werden. Die Schnittstelle zur Personalverwaltung dient der Anlage von Identitäten, der Gruppenzuordnung und dem Sperren und Löschen von Konten.
    • Identitäten föderieren und integrieren: Identitäten von Benutzenden werden über verschiedene Systeme, Anwendungen und Organisationen verteilt verwaltet und zentral authentifiziert (ggf. über dezentrale Instanzen). Dafür müssen Identitäten über verschiedene Systeme hinweg synchronisiert einschließlich externen IAM-Systemen (Identity Providern - IDP). Dazu werden offene Standards wie SAML und OpenID verwendet.
    • Zugriffsanfragen bewerten, entscheiden und durchsetzen: Zugriffsanfragen können auf Grundlage von aktuellen Sicherheitsrichtlinien und relevanten kontextuellen Informationen bewertet werden. Die Entscheidung, ob Zugriff gewährt oder verweigert wird, kann auf Grundlage der erfolgten Bewertung erfolgen. Auf Grundlage der von der Autorisierungskomponente getroffenen Entscheidung wird der Zugriff unmittelbar an den Anwendungsschnittstellen durchgesetzt.

    Diensteschnittstellen

    • Identitätsattribute ergänzen: Informationen zu Nutzendenidentitäten und -konten können mit Identitätsattributen ergänzt werden, um sie wiederum weiteren Diensten zur Verfügung zu stellen.
    • Identitäten initial erzeugen: Für die initiale Anlage der Identitäten und Konten von Benutzenden werden Personalstammdaten genutzt, die aus einer „Golden Source“ für Identitäten gewonnen werden. Dazu werden zur Kommunikation offene Standards wie SSH File Transfer Protocol/ Secure File Transfer Protocol und zum Datenaustausch offene Standards wie XML verwendet. Der Dienst greift dafür auf den Dienst Personalverwaltung zu.
    • Sicherheitsrichtlinien prüfen: Die Entscheidung, ob einer Zugriffsanfrage stattgeben werden kann, muss auf aktuellen zentralen Sicherheitsrichtlinien basieren. Der Dienst greift dafür auf den Dienst Zero-Trust-Governance zu. Dazu werden offene Standards wie SAML und OAuth bzw. OIDC verwendet.
    • Schnittstellen zu Infrastrukturdiensten: Standard-Arbeitsplatz; Ultramobile IT; Betriebsplattform und Netze.

    Abgrenzung

    Der Dienst fokussiert auf die Verwaltung von Identitäten innerhalb der Bundesverwaltung. Externe Identitäten (Bürger, Unternehmen etc.) sind nicht Gegenstand der Betrachtung (Nutzerkonto).

    Informatorische Ergänzungen aus Maßnahmen- und Lösungslandkarte (u.a. aus Portfolio GIB, IT-Rahmenkonzept, VITD-Produktkatalog)

    • IT-Maßnahme (bzw. IT-Verfahren): IAM
    • IT-Lösung(en): IAM Bund