Einführung in Apple-Identitätsdienste
Apple stellt deiner Organisation verschiedene Identitätsdienste zur sicheren Verwaltung von Passwörtern und Benutzernamen – sowohl am Arbeitsplatz als auch in der Cloud – zur Verfügung. Apple setzt Sicherheitsmaßnahmen wie Authentifizierung, Autorisierung und föderierte Identitäten ein, sodass einzelne Benutzer auf ihre favorisierten Apps und andere Ressourcen zugreifen können, ohne zusätzliche Benutzernamen und Passwörter für diese einrichten müssen.
Im Folgenden findest du eine Übersicht der wichtigsten Methoden für Identitätsdienste – Authentifizierung, Autorisierung und föderierte Identitäten – mit Beispielen dafür, wie Apple diese bei Identitätsdiensten einsetzt.
Authentifizierung und zugehörige Apple-Dienste
Der erste Schritt in einem Sicherheitsprozess ist die Authentifizierung. Authentifizierung verifiziert die Identität eines Benutzers und stellt so ihre Rechtmäßigkeit sicher.
Apple setzt verschiedene Methoden für die Authentifizierung ein. Mit der Gesamtauthentifizierung und Apple-Diensten wie einem persönlichen Apple Account, einem verwalteten Apple Account, iCloud, iMessage und FaceTime können Benutzer sicher kommunizieren, online Dokumente erstellen und persönliche Daten sichern, ohne dass dadurch die Daten ihrer Organisation gefährdet werden. Jeder Dienst verwendet eine eigene Sicherheitsarchitektur. Dadurch gewährleistet Apple die sichere Verarbeitung von Daten (unabhängig davon, ob sie auf dem Apple-Gerät gespeichert sind oder über ein drahtloses Netzwerk übertragen werden). Außerdem werden der Schutz der privaten Daten des Benutzers sowie der Schutz vor böswilligen oder unbefugten Zugriffen auf Daten und Dienste sichergestellt. Darüber hinaus verwendet Apple ein integriertes Framework für die Mobilgeräteverwaltung (MDM), das MDM-Lösungen mit der Möglichkeit unterstützt, den Zugriff auf bestimmte Dienste auf Apple-Geräten einzuschränken und zu verwalten.
Autorisierung und zugehörige Apple-Dienste
Die Authentifizierung ist der Nachweis deiner Identität, während die Autorisierungdefiniert, welche Berechtigungen du hast. Damit die Autorisierung funktioniert musst du einem Identitätsanbieter die Benutzernamen und Passwörter der Benutzer zur Verfügung stellen. Konzeptuell gesehen, ist der Identitätsanbieter die „Autorität“, der Benutzername und das Passwort sind der „Nachweis“ (da die jeweilige Person ihre Identität „nachweist“) und die Daten, die ein Benutzer nach der erfolgreichen Anmeldung erhält, sind das „Token“.
Apple nutzt viele Arten von Token und Nachweisen. Zu den nutzbaren Nachweisen gehören Zertifikate, SmartCards und andere Multi-Faktor-Geräte.
Föderierte Identität
Föderierte Identitäten umfassen einen Prozess, bei dem das Vertrauen zwischen Identitätsanbietern in verschiedenen Sicherheitsdomains hergestellt wird, sodass Benutzer sich frei zwischen Systemen bewegen können und die Sicherheit dabei aufrechterhalten wird. Für föderierte Identitäten müssen Administratoren die Domains so konfigurieren, dass sie einander vertrauen und eine einheitliche Methode zur Identifizierung von Benutzern verwenden.
Ein typisches Beispiel für föderierte Identitäten sind Unternehmens-Accounts, die für die Anmeldung bei einem Identitätsanbieter verwendet werden. Für die nahtlose Erstellung von verwalteten Apple Accounts in einer Organisation hat Apple beispielsweise die Nutzung von föderierten Identitäten mit Identitätsanbietern, Google Workspace sowie Microsoft Entra ID und Apple School Manager, Apple Business Manager oder Apple Business Essentials ermöglicht. Benutzer können dann ihre vorhandenen Accounts von Identitätsanbietern, Google Workspace oder Microsoft Entra ID verwenden, um sich bei iCloud oder Apple-Geräten anzumelden, die mit Apple School Manager, Apple Business Manager oder Apple Business Essentials verknüpft sind. Wenn sie nicht noch einmal aufgefordert werden, ihre Identität nachzuweisen, wird das Föderieren von Identitäten mit einer Gesamtauthentifizierung oder einer Erweiterung für die Kerberos-Gesamtauthentifizierung ausgeführt.