Jamf ist der globale Standard für Apple-zentriertes Management und Sicherheit und unterstützt über 75.300 Unternehmen weltweit bei der Verwaltung und Absicherung von mehr als 33 Millionen Geräten. Parallel zur Entwicklung des Unternehmens von einem Startup mit begrenzten Mitteln zu einem globalen Akteur mit mehr als 2.500 Mitarbeitenden stiegen auch die Anforderungen an das interne und externe Identity-Management exponentiell.
Die Folge des rasanten Wachstums in Verbindung mit einer lokalen Identity-Lösung war nicht nur eine fragmentierte Login-Experience, auch für Governance-Audits waren sieben Stunden manuelle Datenerfassung erforderlich. Die isolierten Prozesse wurden zu einem Hindernis für die globale Skalierung, führten zu ineffizienten Workflows für die Identity-Teams und gefährdeten Jamfs langfristiges Ziel, einen Identity Security Fabric zum Schutz von Millionen Kundengeräten aufzubauen.
Identity-Management als strategisches Sicherheitsinstrument
Anfangs nutzte Jamf noch Microsoft Active Directory (AD), doch das Unternehmen stieß schnell an die Grenzen von AD. Jamf brauchte eine Cloud-native Identity-Lösung, um flexibel zu bleiben.
Daher entschied sich das Unternehmen für den plattformunabhängigen Ansatz von Okta, der gewährleistet, dass sich jedes Tool mit OIDC- oder SAML-Integration nahtlos in das Ökosystem einfügen lässt. Dank dieser Neutralität konnte Jamf seine Flexibilität wiedererlangen und Okta Workforce Identity sowie Workday als zentrale HR-Informationsquelle integrieren und für die Automatisierung des Identity-Lebenszyklus nutzen.
Abgesehen von der einfachen Bedienung bot Okta zentrale Transparenz, die es ermöglichte, den Fokus von Administration auf Sicherheit zu verlagern. „Okta bietet uns eine zentrale Kontrollebene, über die wir Zugriffsrichtlinien in unserer gesamten Umgebung einheitlich durchsetzen können – von unternehmensweiten SaaS-Anwendungen bis hin zur Cloud-Infrastruktur“, erklärt Mario Villatoro, Vice President and Chief Information Security Officer.
Diese Kontrollebene ermöglichte es Jamf, die eigenen Ressourcen strategisch neu auszurichten. „Identity-Management ist unsere erste Verteidigungslinie“, sagt Daniel Bolens, Senior IT Systems Administrator. „Mit Okta haben wir unser Team auf Sicherheitskurs gebracht und unterstreichen damit, dass Identity-Management den Kern unserer gesamten Sicherheitsstrategie bildet.“
Auf die Frage nach den Okta-Lösungen, die Jamf aktiv nutzt, antwortet Villatoro: „Es wäre einfacher, diejenigen aufzulisten, die wir nicht nutzen.“ Das Team hat nahezu alle Workforce Identity Lösungen eingeführt, von Adaptive Multi-Factor Authentication (MFA) und Okta Workflows bis hin zu Okta Identity Governance (OIG) und Identity Threat Protection (ITP).
Höhere Mitarbeiterproduktivität und Flexibilität bei Mergern und Akquisitionen
Workflows haben sich als besonders wirkungsvoll erwiesen, da sie es der IT-Abteilung ermöglichen, benutzerdefinierte Automatisierung in die Identity-Abläufe einzubauen. Dadurch ließ sich der Zeitaufwand für die Provisionierung neuer Mitarbeitender um 90 % reduzieren und die Produktivität vom ersten Tag an um 60 % steigern. Ebenso deutlich waren die Auswirkungen auf Akquisitionen, wo die Migration der Mitarbeitenden um 75 % beschleunigt wurde.
„Früher haben wir jedes Mitarbeiterkonto manuell erstellt. Bei unserer letzten Akquisition konnten wir einfach die neuen Benutzenden importieren und waren in weniger als drei Stunden fertig“, berichtet Bolens.
Automatisierte Governance und Reaktion auf Bedrohungen in Echtzeit
Abgesehen vom Onboarding neuer Mitarbeitender oder der Migration von übernommenem Personal muss nun sichergestellt werden, dass der Zugriff auch langfristig sicher bleibt. Jamf hat das Ziel, Governance von einer Compliance-orientierten Aktivität zu einer zentralen Sicherheitsfunktion zu entwickeln, und zentralisierte dazu die Bereiche Audit und Zugriffszertifizierung mit OIG.
OIG ermöglicht es dem IT-Team, manuelle Audits durch zeitbasierte Audits zu ersetzen und so sicherzustellen, dass die Mitarbeitenden kontinuierlich Zugriff auf die benötigten Ressourcen haben. Bolens erklärt dazu: „Mit OIG haben die Endbenutzenden die Audits selbst in der Hand und müssen bei uns kein Ticket einreichen. Es wird automatisch ein Bericht erstellt, den wir den Prüfenden nur noch vorlegen müssen.“
Während OIG die Governance-Ebene sichert, bietet ITP Kontext- und Risikoüberwachung in Echtzeit. ITP ist eine Art automatisierter Ersthelfer innerhalb der Jamf-Organisation. Die Lösung beendet kompromittierte Sessions und blockiert schädliche IP-Adressen auf Basis von Risikoindikatoren – oft noch bevor das Security-Team eine Warnung erhält.
„Ich kann mir unsere Okta-Protokolle ansehen, aber ich muss nichts mehr tun. ITP ergreift bereits Maßnahmen gegen Bedrohungen, die ich früher manuell einleiten musste“, erklärt Bolens.
Dieses Modell für automatisierte Reaktionen wird durch die Integration von Jamf Pro in Okta über das Shared Signals Framework (SSF) zusätzlich gestärkt. Die Integration bietet Kundenunternehmen umfangreichere Geräte-Risikoindikatoren und zusätzlichen Kontext für Identity-bezogene Reaktionen.
Durch den gemeinsamen Einsatz von OIG und ITP erhält Jamf eine priorisierte Ansicht des Benutzerzugriffs, die sich auf die Umsetzbarkeit und die schnelle Risikominimierung innerhalb von Okta konzentriert.
Eindämmung von Cloud-Wildwuchs und Absicherung von Geräten
Abgesehen von der Reduzierung der Bedrohungen auf Benutzerebene musste Jamf auch strukturelle Risiken angehen, die in der wachsenden Infrastruktur verborgen lagen. Nach mehreren Akquisitionen entwickelte sich die Cloud-Umgebung allmählich zu einem komplexen Geflecht aus Hunderten AWS- und Google Workspace-Accounts. Um die Kontrolle zurückzugewinnen, implementierte Jamf Identity Security Posture Management (ISPM), das die Kontrollebene bereitstellt und Risiken in der gesamten Cloud-Infrastruktur überwacht und kontrolliert. Dadurch konnte Jamf 700 nicht autorisierte Google-Konten, die der Kontrolle durch das Team entgangen waren, erkennen und registrieren.
„Es kann sich einfach jeder ein Google-Konto mit einer beliebigen E-Mail-Adresse und Domain erstellen“, sagt Bolens. „Mit ISPM ist es uns gelungen, diese Konten zu identifizieren und zu beanspruchen. Das ging überraschend schnell. Nach etwa zwei Monaten war alles erledigt.“
Jamf hat vor, durch den Aufbau eines Identity Security Fabric mit Okta einen nahtlosen Ablauf zwischen Transparenz, Erkennung und Reaktion zu schaffen. Das Team plant, die ISPM-Telemetrie direkt mit ITP zu verbinden und dadurch Cloud-Risikoindikatoren in die Echtzeit-Behebung einzuspeisen.
Jamf erweitert den Identity Security Fabric auch auf die Hardwareebene, indem Okta Device Access (ODA) für das Zugriffsmanagement am Endpoint genutzt wird. Da die Vertrauensstellung auf Hardwareebene hergestellt wird, kann Jamf ODA für die Synchronisierung von Cloud-Anmeldedaten mit lokalen Mac-Passwörtern nutzen und so eine konsistente und sichere Login-Experience für die eigenen Mitarbeitenden gewährleisten.
„Mit ODA können wir unsere Hardware mit einer zusätzlichen Sicherheitsebene ergänzen“, sagt Bolens. „Zudem verbessert ODA auch die User Experience. Durch die einheitliche Anmeldeoberfläche müssen sich die Mitarbeitenden nur einmal an ihrem Mac anmelden und haben den ganzen Tag lang Zugriff auf die benötigten Anwendungen.“
Bolens merkt außerdem an, dass „Okta mit ODA seine Fähigkeiten im Softwarebereich auf die Hardware überträgt“. Dadurch ist sichergestellt, dass selbst bei Verlust eines Geräts die Identität sicher ist und der Endpoint ein geschützter, integrierter Bestandteil der einheitlichen Plattform von Okta bleibt.
Einheitliche Customer Experience und schnellere Entwicklung
Die Identity-Herausforderungen beschränkten sich jedoch nicht nur auf die Experience der Mitarbeitenden. Das Produktentwicklungsteam von Jamf sah sich bei externen Benutzenden vor ähnliche Probleme gestellt, nachdem die Kundenanmeldedaten über sechs Produkte verteilt waren. Dies führte dazu, dass die Teams zwangsweise mit der Verwaltung von SAML-Integrationen beschäftigt waren, anstatt neue Funktionen zu entwickeln. Mit der Einführung von Jamf ID und der Unterstützung des Identity-Anbieter-Verbunds für Kund:innen über Auth0 ist es Jamf gelungen, die fragmentierte Architektur wieder zusammenzufügen. Die daraus entstandene zentrale und geschützte Identity-Ebene ermöglicht die sichere Speicherung bzw. nahtlose Überbrückung von Anmeldedaten.
„Zuallererst brauchten wir eine einheitliche-Login Experience, was uns dazu veranlasste, uns zunächst mit Auth0 zu beschäftigen“, sagt Akash Kamath, Senior Vice President for Software Engineering. „Dabei hatten wir das Ziel, Auth0 als sichere Eingangstür zu nutzen und unseren Kundinnen und Kunden eine einheitliche Experience zu bieten.“
Mit Auth0 konnte Jamf mit minimalem Aufwand moderne Sicherheitsfunktionen implementieren, die das Team direkt testete, nachdem auf der Jamf Nation Community-Website Spam-Warnungen eingegangen waren.
„Wir waren eine Zeit lang stark von Spam betroffen“, erklärt Jake Schultz, Software Engineer. „Nach der Aktivierung von Auth0 Bot Detection ist die Zahl um etwa 40 % gesunken.“
Heute ist Jamf ID der sichere Standard für alle Neukund:innen, bietet jedoch gleichzeitig die Flexibilität, jederzeit einen bevorzugten Identity-Anbieter zu nutzen. Dieser Ansatz verbessert die User Experience und gewährleistet gleichzeitig zuverlässige Sicherheit. „Auth0 verschafft uns den Freiraum, uns auf die Funktionen zu konzentrieren, die wir unseren Kundinnen und Kunden bieten möchten. Es ist uns egal, welchen Identity-Anbieter sie nutzen möchten. Sie können einrichten, was sie wollen und direkt loslegen“, sagt Schultz.
Das Unternehmen blickt bereits auf die nächste Phase von Jamf ID: den Übergang zu einer vollständig passwortlosen Umgebung. „Eines der Projekte, das im nächsten Monat ansteht, sind Passkeys“, sagt Schultz. „Ohne Auth0 hätten wir diese Integration von Grund auf neu entwickeln müssen. Jetzt müssen wir nur eine Option aktivieren, damit unsere Kundschaft sich mit ihrer Jamf ID und Passkeys anmelden kann.“
Kontrolle der „4 As“ und der nicht-menschlichen Identitäten
Obwohl Jamf bereits unmittelbare Ergebnisse erzielt hat, betrachtet das Team die derzeitige Implementierung lediglich als den Beginn einer Transformation zu Identity-Sicherheit, die den „4 As“ gerecht wird: Anwendungen, APIs, AI und Agenten. „Ich glaube, nicht-menschliche Identitäten sind deshalb so schwierig zu handhaben, weil sie keiner einzelnen verantwortlichen Person zugeordnet sind“, erklärt Bolens.
Aktuell verwendet Jamf drei verschiedene Tools, um diese Identitäten zu ermitteln und zu verwalten. Bei dieser Strategie kommen ISPM für die Transparenz der Cloud-Infrastruktur zum Einsatz, Okta Privileged Access (OPA) für die Vault-Speicherung der Anmeldedaten von nicht-menschlichen Identitäten und die Durchsetzung von automatisierter Rotation sowie OIG für die kontinuierliche Prüfung und Zuweisung einer zuständigen menschlichen Person für diese Identitäten, um Lücken in der Kontinuität der Service-Accounts zu schließen.
Zukünftig möchte das Unternehmen diese Funktionen weiter ausbauen und OIG mit ereignisbasierten Zugriffsüberprüfungen erweitern sowie tiefergehende Sicherheitstelemetrie von ISPM und Jamf Trust in ITP einbeziehen. Daraus soll ein Echtzeit-Feedback-Loop entstehen, der Bedrohungen erkennt und neutralisiert. Gleichzeitig strebt Jamf ein Zero-Standing-Privileg-Modell an.
„Ich glaube nicht, dass wir ohne die Nutzung von Okta da wären, wo wir heute sind“, sagt Bolens. „Okta hat ein offenes Ohr für die Belange seiner Kundschaft und möchte, dass wir Erfolg haben. Alles, was wir mit Okta anpacken, klappt wunderbar.“
Für Villatoro stellt die Zusammenarbeit einen grundlegenden Wandel in der Art und Weise dar, wie Jamf sein Ökosystem schützt. „Identity-Management ist der rote Faden, der sich durch unsere gesamte Sicherheitsarchitektur zieht“, betont er. „Mit der Weiterentwicklung der Architektur verändert sich auch die Rolle von Okta. Bei uns kümmert sich Okta um alles, was Zugriff betrifft – ob für menschliche oder nicht-menschliche Identitäten oder digitale Mitarbeitende.“
Über Jamf
Jamf hat es sich auf die Fahne geschrieben, die Arbeit zu vereinfachen und Unternehmen dabei zu helfen, eine einfache und sichere Apple-Experience zu bieten, die die Benutzer begeistert und der Organisationen vertrauen können. Jamf ist das weltweit einzige Unternehmen, das eine Komplettlösung für die Verwaltung und Absicherung von Apple-first-Umgebungen bietet, die Enterprise-Sicherheit mit komfortablen Customer Experiences verbindet und die persönlichen Daten der Benutzer zuverlässig schützt.
