Neue Standardversion SCIMv2

Identitäten sicher in der Cloud verwalten

Matthias Reinwarth ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Das Standardisierungsgremium IETF (The Internet Engineering Task Force) hat mit SCIMv2 eine neue Version des Regelwerks für die Verwaltung von Identitäten in der Cloud vorgestellt. Experten hoffen auf eine weitere Verbreitung des Cloud-Identity-Standards.

Interoperabilität erfordert Standards und einer der zentralen Standards für die Verteilung von Identitäten in der Cloud ist SCIM. Ursprünglich unter der Bezeichnung "Simple Cloud Identity Management" entwickelt, stellt dieser Standard heute einen der zentralen Mechanismen zur Kommunikation mit Cloud-basierten Diensten und zur Provisionierung von Identitäten dar. Wichtige Unterstützer und Co-Autoren sind dabei unter anderem Google, Salesforce.com, Technology Nexus und Ping Identity. Ganz der Prämisse folgend, dass erfolgreiche Standards schlank und simpel sein sollen, dient SCIM, mittlerweile allgemeiner und treffender als "System for Cross-domain Identity Management" bezeichnet, genau einer Aufgabe. SCIM stellt hierfür ein RESTful HTTP-basiertes Protokoll für die zentralen Aufgaben der Verwaltung von Benutzerkonten in Applikationen und Cloud-Services zur Verfügung.

Accounts und ihr Lebenszyklus

Zentraler Aspekt sind die gerne kurz als CRUD bezeichneten Operationen.

  • C steht für "Create" und damit für die Anlage von Benutzeridentitäten.

  • R als "Read" implementiert das Lesen, also den Zugriff auf vorhandene Accounts.

  • U, kurz für "Update" beinhaltet die Mechanismen, um bestehende Accounts zu modifizieren und

  • D wie "Delete" bezeichnet die Möglichkeit, nicht mehr benötigte Accounts auch wieder zu entfernen.

Damit stellt SCIM Anwendern eine effiziente und einfache Möglichkeit bereit, Identitäten in Cloud-Services bereitzustellen, oder - entsprechend der IAM-Terminologie (Identity and Access Management) - diese zu provisionieren. Als offener Standard konzipiert, kann mit einer einmal bereitgestellten Schnittstelle gegen verschiedene Applikationen und Services provisioniert werden, so etwa gegen Office 365 oder Google Apps. Dies erleichtert beispielsweise die automatisierte Pflege aus dem eigenen IAM oder auch die schnelle Migration zwischen unterschiedlichen Cloud Services.

REST statt klassischer IAM-Protokolle

Statt auf bestehende Protokolle des Identitätsmanagements wie etwa das gar nicht so leichtgewichtige LDAP (Lightweight Directory Access Protocol) mit einer aufwendigen Lernkurve zu setzen, war das Ziel bei der Spezifikation und Implementation von SCIM, mit REST und HTTP eine für Web-Entwickler bekannte Protokoll-Technologie als Brücke zu den IAM-Systemen einzusetzen. In den zugrunde liegenden Protokollen (insbesondere HTTP) liegen bereits bestimmte Aspekte vor. Etwa die Authentifikation gegenüber den einzelnen Services musste nicht erneut implementiert werden, sondern kann weiterverwendet werden.

Aktualisierte Version als IETF RFCs veröffentlicht

SCIM v1.1 ist seit zirka fünf Jahren verfügbar und wird nun mit einer erweiterten Version 2.0 ergänzt und sukzessive ersetzt. Zentrale Ergänzungen und Anpassungen betreffen unter anderem die Fokussierung auf JSON und den Verzicht auf XML als Datenformat sowie die Fehlerunempfindlichkeit bei Updates, so dass Updates auf nicht veränderliche Attribute nicht fehlschlagen, sondern ignoriert werden können. Darüber hinaus können Suchoperationen sicherer durchgeführt werden, ohne vertrauliche Informationen in der URL offenlegen zu müssen. Für Anbieter von Applikationen und Cloud Services aber ist die wohl wichtigste Neuerung die Möglichkeit, eigene Ressourcen jenseits von Gruppen und Benutzern zu definieren und über das Protokoll zu dokumentieren. Die neue Version des Standards lässt hoffen, dass neben den Anbietern von IAM-Lösungen, die SCIM sowohl in der Cloud als auch klassisch on-premises schon weitgehend unterstützen, noch mehr Cloud Service Provider diese Chance einer Öffnung hin zu standardisierten Schnittstellen zukünftig unterstützen.

Kommerzielle und Open-Source-Implemetierungen verfügbar

Die neue Version ist unter dem Schirm der IETF (Internet Engineering Taskforce) erarbeitet und als drei logisch verbundene Internet RFCs veröffentlicht worden. RFC7642 stellt die grundlegenden Konzepte und Definitionen bereit, während RFC7643 das Datenmodell (Schema), etwa für Benutzer oder Gruppen, beschreibt. RFC7644 schließlich ist die eigentliche Schemaspezifikation, anhand der Entwickler im Zweifelsfall Details nachlesen können. Wichtiger für alle Nutzer dieser Schnittstelle und insbesondere auch für interessierte Cloud Service Provider, die SCIM unterstützen wollen: Referenzimplementationen sind bereits verfügbar und können eingesehen werden.