Bei Okta Showcase präsentieren wir unsere neuesten Innovationen für KI-Sicherheit. Registrieren
Jetzt testen Kontakt

Zero-Standing-Privilegien: Implementierung von echtem PIM mit Okta Identity Governance

Über den Autor/die Autorin

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

12 November 2025 Lesezeit: ~

Topics

Okta on Okta

Inhalt

Die Herausforderung: Beseitigung von Standing-Privilegien

In der modernen Bedrohungslandschaft stellen Accounts mit Standing-Privilegien, bei denen Benutzer dauerhaft erhöhte Berechtigungen haben, eine kritische Sicherheitslücke dar. Selbst wenn starke MFA erzwungen wird, bleiben diese Accounts wertvolle Ziele. Das Ziel der Branche ist die Implementierung eines robusten, skalierbaren ZSP-Modells (Zero Standing Privilege) unter Verwendung nativer Okta Identity Governance (OIG)-Funktionen, sodass die sensibelsten Rollen nur bei explizitem Bedarf aktiv sind.

Die Lösung: Ein zweistufiges Access-Governance-Modell

Diese Lösung verwendet ein einzigartiges, zweistufiges Zugriffsmodell innerhalb von OIG, das langfristige Berechtigungen von kurzfristiger Aktivierung trennt. Dieses Design gewährleistet kontinuierliche Governance und reduziert gleichzeitig die aktive Angriffsfläche erheblich.

Stufe 1: Rollenberechtigung (Langfristige Überprüfung)

Diese Stufe bestimmt, wer auf die privilegierte Rolle zugreifen darf.

  • Mechanismus: Zugriffsanforderungsbedingung (Access Request Condition, ARC), die an eine Berechtigungsgruppe gebunden ist (eine Gruppe, die nicht direkt für den Anwendungszugriff verwendet wird).
  • Genehmigungsprozess: Erfordert eine strenge, mehrstufige menschliche Prüfung, typischerweise einschließlich der Genehmigung durch den direkten Vorgesetzten und den Rolleninhaber.
  • Governance: Die Mitgliedschaft unterliegt einer regelmäßigen Überprüfung der Benutzerzugriffe (z. B. alle 90 Tage).
  • Ergebnis: Der Benutzer erhält das dauerhafte Recht, die Rolle zu aktivieren, die Rolle ist jedoch in der Zielanwendung noch nicht zugewiesen.

Stufe 2: Just-in-Time-Aktivierung (Tägliche Erhöhung)

Diese Stufe dient der temporären Erhöhung, die für die Ausführung einer Aufgabe erforderlich ist.

  • Mechanismus: Ein separater ARC, der direkt an die endgültige privilegierte Gruppe/Rolle in der Zielanwendung gebunden ist. Diese Anfrage ist nur für Mitglieder der Stufe-1-Berechtigungsgruppe sichtbar.
  • Zeitlich begrenzt: Der Zugriff ist streng begrenzt (z. B. 4, 8 oder 12 Stunden) und wird von OIG automatisch widerrufen.
  • Flexibilität: Die Genehmigung kann angepasst (z. B. Selbstgenehmigung über die Managerbeziehung in Okta) oder erzwungen werden (z. B. Peer-Genehmigung), basierend auf der Sensibilität der Rolle.
  • Ergebnis: Dem Benutzer wird für eine bestimmte Zeit dynamisch die Super-Admin-Rolle zugewiesen, wodurch ZSP erreicht wird.

Sicherheitskontrollen: Mehr als nur Time-Boxing

Durch die Nutzung sich ergänzender Okta-Kontrollen bietet diese Lösung maximale Sicherheit:

  • Sekundäre Accounts (Best Practice): Unternehmen verwenden häufig separate privilegierte Accounts mit sehr strengen Authentifizierungs- und Sitzungsrichtlinien (die z. B. YubiKey, Device Trust, FIDO2 usw. vorschreiben). Dadurch wird sichergestellt, dass die für privilegierte Aktionen verwendeten Anmeldeinformationen weitaus sicherer sind als der alltägliche Account des Benutzers.
  • Zielanwendungsintegration:
    • Bei Anwendungen, die SAML/OIDC verwenden, kann der SSO-Pfad durch die Nutzung von Gruppenzuweisungen effektiv unterbunden werden. Der Benutzer kann sich erst anmelden, nachdem er seinen JIT-Zugang über den OIG-Workflow aktiviert hat.
    • Bei SCIM-integrierten Anwendungen löst die Aktivierung für die festgelegte Dauer die JIT-Provisionierung und Berechtigungszuweisung im Zielsystem aus.

Hier finden Sie unsere Schritt-für-Schritt-Anleitung, in der wir unsere Konfigurationsmethodik detailliert erläutern.

Okta als PIM-Plattform: Ein Ausblick

Dieses gesamte Framework basiert ausschließlich auf den Okta IGA- und Workflow-Funktionen und beweist damit, dass Okta als robuste PIM-Lösung für jede integrierte Anwendung dienen kann.

In Kürze veröffentlichen wir eine schrittweise Anleitung für die Bereitstellung dieses ZSP-Modells in Ihrer eigenen Okta-Umgebung!

 

Hier finden Sie weitere Okta-on-Okta-Inhalte:

Transformation des Onboardings mit passwortloser Sicherheit

Unser Weg zu proaktiver Sicherheit: Die Einführung von Okta Identity Threat Protection

Verbesserung der Sicherheit: Identity-Proofing für neue Mitarbeiter

Schnelle Einrichtung des Zugriffs: Massenbereitstellung mit Okta Workflows

Über den Autor/die Autorin

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Jetzt starten
Kontaktieren Sie uns