Heutzutage ist jedes Unternehmen ein Softwareunternehmen, und Innovation hat für alle höchste Priorität. Zusätzlich zu ihren Kernfunktionen für geschäftliche Zwecke müssen moderne Softwareanwendungen Funktionen beinhalten, die mittlerweile jeder als Grundvoraussetzung erwartet – wie Zusammenarbeit, Austausch und Teams.
Wenn die Entwicklungsressourcen knapp sind, möchte man sein Team nicht auch noch mit neuen Autorisierungsanforderungen überlasten, um den explosionsartigen Bedarf an Standards zu decken, die Ihre Anwendung unterstützen muss, einschließlich Sicherheit, Governance und Compliance.
Da SaaS-Anwendungen immer ausgefeilter, kollaborativer und funktionsreicher werden, kann die Autorisierung zu echten Kopfschmerzen führen und Entwicklerzeit beanspruchen, um wiederholt mehrere Berechtigungsebenen in den Anwendungscode einzubauen.
Was ist das Problem?
Autorisierungsansätze werdenoft den komplexen Anforderungen der heutigen, stark kollaborativen SaaS-Lösungen nicht gerecht. Ihren Benutzern Zugriff auf Anwendungsressourcen zu gewähren, war früher recht unkompliziert.
Berechtigungen wurden oft basierend auf vordefinierten Rollen erteilt – wenn ein Mitarbeiter im Personalwesen arbeitet, erhält er Zugriff auf Onboarding-Funktionen. Da SaaS-Lösungen jedoch immer mehr Funktionen für die Zusammenarbeit hinzufügen und eine größere Bandbreite an Nutzern einbeziehen – von Mitarbeitern und Partnern bis hin zu Kunden und Auftragnehmern – reicht die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) nicht mehr aus.
Dezentrale Autorisierung = Bessere Compliance, Audits und Sicherheit
RBAC und andere traditionelle Methoden zur Sicherung und Verwaltung des Zugriffs auf Dokumente, Dateien und andere Arten von Assets basieren typischerweise auf anwendungsinterner Codierung oder veralteten Insellösungen. Die Verteilung der Autorisierungslogik auf mehrere Anwendungen kann jedoch schnell zu einem Anstieg von Compliance-, Audit- und Sicherheitslücken führen.
Mehr Zugriffspunkte bedeuten ein höheres Risiko in Bezug auf Sicherheit, Auditierung und Compliance. In stark regulierten Branchen wie dem Finanz- und Gesundheitswesen steigen diese Risiken jedoch noch weiter.
Feingranulare Autorisierung ist sicherer, präziser und skalierbarer
In einer modernen SaaS-Umgebung müssen Unternehmen möglicherweise den Zugriff auf Projekte, Assets und Funktionen anhand einer detaillierteren Palette von Parametern gewähren, und zwar für interne und externe Benutzer einer Organisation. Denken Sie beispielsweise an eine medizinische Kartei-App, auf die sowohl Mitarbeiter des Gesundheitswesens als auch Patienten zugreifen müssen, wobei unterschiedliche Grade der Informationssichtbarkeit zulässig sind.
Die feingranulare Autorisierung (FGA) bietet mehr Möglichkeiten, präzise definierte Berechtigungen für Projekte, Datensätze, Dateien und mehr zu erteilen. Wenn Sie diesen Ansatz zentralisieren (anstatt ihn in den Anwendungscode einzubetten), kann dies Ihren Entwicklern das Leben erheblich erleichtern. Sie können leichter skalieren, um neuen und sich ändernden Autorisierungsanforderungen gerecht zu werden und gleichzeitig ein höheres Maß an Sicherheit und Compliance aufrechtzuerhalten.
Fünf Fragen, die Sie sich zu FGA stellen sollten
Sind Sie sich immer noch nicht sicher, ob Ihr Unternehmen eine Lösung für FGA benötigt? Hier sind fünf wichtige Fragen, die Sie sich stellen sollten:
- Fügen Sie Ihrem Lösung Kollaborationsfunktionen hinzu oder verbessern Sie diese? Ob Ihre Lösung Menschen hilft, effizienter an einem Projekt zusammenzuarbeiten, auf Ressourcen wie Mobile Banking oder medizinische Unterlagen zuzugreifen oder in Echtzeit zu interagieren, mehr Möglichkeiten für die Zusammenarbeit und den Austausch führen zu komplexeren Autorisierungsanforderungen.
- Haben Sie hohe Anforderungen an Auditing und Compliance und/oder verkaufen Sie an Unternehmen mit hohen Anforderungen an Auditing/Compliance?
Viele der heutigen SaaS-Apps müssen auch Compliance- und Auditing-Regeln unterstützen, insbesondere in den Bereichen Finanzen, Gesundheitswesen und juristische Dienstleistungen. Eine dezentrale Autorisierungslogik ist schwer zu überprüfen und kann zu Sicherheits- und Compliance-Risiken führen. - Benötigen Sie eine granulare und flexiblere Autorisierungskontrolle als RBAC?
Wenn Sie den Zugriff auf Anwendungen basierend auf einer Kombination von Parametern und nicht nur einem gewähren müssen, kann RBAC einschränkend sein. Vielleicht wird Ihre App von internen und externen Mitarbeitern verwendet, die unterschiedliche Zugriffsebenen benötigen, oder Sie haben Situationen, in denen ein Benutzer möglicherweise für eine begrenzte Zeit in eine Anwendung gelangen muss (z. B. zur Fehlerbehebung bei einem Support-Ticket). - Ist es schwierig, den Überblick darüber zu bekommen, wer worauf Zugriff hat?
Idealerweise möchten Sie die Zugriffskontrolle und Berechtigungen in der gesamten SaaS-Landschaft zentral verwalten und implementieren. - Verbringen Ihre Entwickler insgesamt zu viel Zeit mit der Autorisierung? Das Erstellen von Autorisierungsfunktionen und das Ein- und Ausschalten von Berechtigungen auf Code-Ebene ist zeitaufwändig und kann Sicherheitsrisiken erhöhen. Diese Zeit könnte stattdessen für Produktinnovationen verwendet werden.
Wenn Sie eine der oben genannten Fragen mit „Ja“ beantwortet haben, ist es an der Zeit, Ihre Zugriffskontrollstrategie weiterzuentwickeln. Okta bietet eine Einführung, die Ihnen helfen kann, eine besser skalierbare, flexiblere, konformere und sicherere Autorisierung zu erreichen. Lesen Sie unser Whitepaper zur Okta Fine Grained Authorization, um mehr zu erfahren.
