Enterprise-Identitätsmanagement: SSO mit OpenID Connect für Atlassian Data Center

Was im Privaten lästig genug ist, kann am Arbeitsplatz zum echten Zeit- und Produktivitätskiller werden: das Jonglieren mit Passwörtern für die zahllosen Logins, die man immer mal wieder braucht. In großen Unternehmen werden praktisch täglich neue Dienste eingeführt, und so ist es kein Wunder, dass professionelle Single-sign-on-Lösungen (SSO) längst zu den kritischen Anforderungen in Enterprise-Organisationen gehören.

Aber die Anforderungen an ein SSO-System reichen weit über ein effizientes, reibungsarmes Nutzererlebnis für die Mitarbeiter hinaus. Wenn es darum geht, den Nutzerzugriff auf die zahllosen Anwendungen im Unternehmen zu verwalten, sind die Aspekte Sicherheit und Compliance zumeist noch höher in der Prioritätenliste angesiedelt.

OpenID Connect Atlassian Data Center.png

OpenID Connect (OIDC) ist ein extrem fokussiertes Authentisierungsmodul, das auf OAuth 2.0 aufsetzt. OIDC ist noch eine relativ junge Technologie, die sich aber einer rasch zunehmenden Beliebtheit erfreut, was vor allem auf die Flexibilität und die gute Usability der Lösung zurückzuführen ist. Um dieser Entwicklung frühzeitig Rechnung zu tragen, bieten nun die Data-Center-Editionen von Jira, Jira Service Desk, Confluence und Bitbucket Unterstützung für OIDC.

Der OIDC-Support erleichtert es nicht nur, die Einhaltung der Sicherheits- und Compliance-Standards im Unternehmen zu gewährleisten; die Integration eröffnet auch einen interoperativen Weg (ähnlich wie REST), um ein sicheres Identitätsmanagement in einer reibungsarmen Umgebung zu implementieren.

Wie OIDC funktioniert und warum das wichtig ist

Heute rollen Teams wichtige Software in so hoher Frequenz wie nie zuvor aus. Für beinahe jeden Anwendungsfall gibt es inzwischen separate Speziallösungen – und das ist auch gut und sinnvoll. Doch damit steigt die Zahl der Applikationen mit Zugang zu sensiblen Informationen nahezu täglich.

Dementsprechend hoch ist die Schaffung einer sicheren Umgebung priorisiert. Hinzu kommt das Bedürfnis der Organisation, dezentralisierte Strukturen mit zahlreichen Teams und Tools über Abteilungen, Standorte, Regionen oder gar Tochtergesellschaften hinweg zu überblicken und zu managen. Das führt oft dazu, dass Enterprise-Unternehmen mehrere Authentisierungsstandards benötigen.

Mit einer erweiterten Bandbreite an unterstützten Authentisierungsoptionen haben Enterprise-Organisationen mehr Flexibilität, um SSO für alle User im gesamten Unternehmen zu etablieren. Die Vorteile von OIDC liegen in der einfachen Integration sowie den angebotenen Features und Sicherheitsoptionen, um steigende Enterprise-Anforderungen zu erfüllen und umzusetzen.

Manche Atlassian-Kunden haben sich in der Vergangenheit bereits mit Drittanbieter-Plugins beholfen, die Workarounds ermöglichen, um OIDC mit ihren Atlassian-Produkten zu integrieren. Doch dieses Vorgehen führt immer zu einer höheren technischen Komplexität und zusätzlichen Kosten. Dank des nativen OIDC-Support lässt sich diese Integration nun erheblich vereinfachen und straffen.

Diese Ausführungen sollen nicht nahelegen, dass OIDC die einzig gute oder "richtige" Authentisierungslösung ist. Es gibt einige bewährte Alternativen wie Crowd von Atlassian und SAML, das derzeit via Marketplace-Plugin in die Data-Center-Produkte integriert ist. Die Unterschiede und Gemeinsamkeiten zwischen den ausgereiften Systemen liegen zwar im Detail, aber es ist dennoch hilfreich, sie sich mal vor Augen zu führen.

Unterschiede zwischen den führenden Standards

Stand heute gibt es in diesem Bereich drei führende offene Standards: OIDC, OAuth 2.0 und SAML. Ihre Funktionsweisen zu verstehen, ist ein wichtiger Schritt in Richtung eines gründlichen, wirksamen Schutzes Ihrer Unternehmensdaten.

OpenID Connect

OIDC ist ein Identitätsmodul, das auf OAuth 2.0 aufsetzt und verwendet wird, um Nutzeridentitäten auf Basis der Authentisierung durch einen Autorisierungs-Server zu verifizieren und um grundlegende Nutzerprofil-Informationen zu sammeln. Haben Sie schon mal eine bisher unbekannte Website aufgerufen und dort die Option vorgefunden, sich mit Ihren Google-Zugangsdaten einzuloggen? Das ist ist OIDC in Aktion.

Wenn Sie diese Identifizierungsmöglichkeit auswählen, kontaktiert die Website den Authentisierungs-Server von Google, um bereits zuvor bestätigte Zugangsdaten einzusammeln. Nach der Verifizierung generiert der Google-Server einen JSON-Web-Token und schickt ihn zurück an die Ursprungs-Website. Diese wiederum bestätigt den Token und erlaubt Ihnen den Zugriff. Bei OIDC geht es also darum, Nutzer per SSO zu authentisieren, indem ein sicherer, netzunabhängiger Token Informationen zwischen verschiedenen Parteien transferiert.

OAuth 2.0

Hier ist die Unterscheidung zwischen Authentisierung und Autorisierung wichtig. Ersteres ist der Prozess, um eine Person zu verifizieren; Letzteres ist hingegen der Prozess, um zu verifizieren, worauf die Person zugreifen kann. Dies ist in unserem Zusammenhang auch der wichtigste Aspekt im Hinblick auf OAuth 2.0: Es handelt sich um ein Autorisierungs-Framework (an das OIDC andockt), nicht um ein Authentisierungsprotokoll wie OIDC oder SAML.

SAML

Auf der ersten Blick sind sich OIDC und SAML sehr ähnlich. Der größte Unterschied besteht darin, dass SAML auf dem expliziten Vertrauen zwischen der Website (bzw. dem Dienstanbieter) und dem Identitätsanbieter basiert. (Diese Anforderung hat OIDC nicht, deshalb nutzt dieses System ja JSON-Token.)

Nehmen wir an, Sie wollen sich ins Unternehmens-Intranet einloggen, um auf zusätzliche Dienste wie Salesforce zuzugreifen. SAML verwendet einen XML-basierten Standard, um Authentisierungs- und Autorisierungsdaten zwischen vertrauten Identitätsanbietern und Dienstanbietern auszutauschen und auf diese Weise die Identität und die Berechtigungen zu verifizieren. Da zwischen diesen Diensten und Ihrem Unternehmen ein explizites Vertrauen besteht, ermöglicht Ihnen ein einzelner Login den Zugriff auf die diversen Systeme.

Der Start im OpenID Connect

Die Unterstützung für OpenID-Connect wird nun inkrementell in die Data-Center-Versionen von Jira, Jira Service Desk, Confluence und Bitbucket implementiert. Wer direkt starten möchte, findet das Plugin SSO für Atlassian Server und Data Center auf dem Atlassian Marketplace. Mit dieser App lässt sich die Authentisierung an den OIDC- oder SAML-Identitätsanbieter Ihrer Wahl delegieren, um die genannten Data-Center-Produkte mit Ihrer Identitätsinfrastruktur zu verknüpfen.

Wir sind Ihr Partner für Atlassian Data Center

Haben Sie Fragen zu den Data-Center-Lösungen von Atlassian? Wir helfen Ihnen gerne dabei, Ihren Bedarf an einer Data-Center-Version statt der klassischen Server-Variante objektiv zu beurteilen: Als Atlassian Platinum Solution Partner mit Erfahrungen aus tausenden Atlassian-Projekten beraten wir Sie bei der Evaluation eines für Sie optimalen Lizenzmodells, kümmern uns um sämtliche Details Ihres Lizenz-Setup und unterstützen Sie bei allen Aspekten der Skalierung Ihrer Atlassian-Produkte. Melden Sie sich bei uns!

Weiterführende Infos

Atlassian Data Center – Möglichkeiten, Herausforderungen, strategische Fragen (Podcast)
Warum stark wachsende Unternehmen Data Center testen sollten
Praktische Indizien, die für Data Center sprechen
Wie Atlassian neue Features für die Data-Center- und Server-Produkte priorisiert