Identity and Access Management (IAM): Definition, Beispiele
IAM ist das Framework für wer was zugreifen kann — Auth + Audit. Least Privilege, MFA, RBAC, SSO sind Kern-Konzepte.
Was ist Identity and Access Management (IAM)?
Identity and Access Management (IAM) ist die Disziplin, digitale Identitäten zu managen und zu kontrollieren, was diese Identitäten zugreifen können. IAM kombiniert Authentication (zu beweisen wer jemand ist), Authorization (entscheiden was sie tun können) und Audit (tracken was sie getan haben). Es ist fundamental für Security: jeder Breach involviert IAM-Failure auf einem Level.
Modernes IAM spans Cloud-Plattformen (AWS IAM, Azure AD/Entra ID, Google Cloud IAM), Workforce-Identity (Okta, OneLogin), Customer-Identity (Auth0, Cognito) und On-prem-Directory-Services (Active Directory, LDAP).
Die drei Säulen von IAM
| Säule | Frage beantwortet | Mechanismen |
|---|---|---|
| Authentication (AuthN) | Wer bist du? | Passwörter, MFA, Biometrics, SSO, Zertifikate |
| Authorization (AuthZ) | Was darfst du tun? | Rollen, Policies, ACLs, ABAC, RBAC |
| Audit | Was hast du getan? | Logs, SIEM, Access-Reviews, Anomaly-Detection |
Kern-IAM-Konzepte
Identity
Ein eindeutiger Referenz auf einen User, Service oder Device.
Authentication
Beweisen, dass die Identity ist, wer sie zu sein behauptet.
Authorization
Entscheiden welche Aktionen die authentifizierte Identity auf welchen Ressourcen ausführen kann.
Role
Eine benannte Sammlung von Permissions.
Policy
Ein Dokument, das erlaubte und verweigerte Aktionen auf Ressourcen spezifiziert.
Group
Eine Sammlung von Identities.
Single Sign-On (SSO)
Eine Login-Session entsperrt mehrere Anwendungen.
Multi-Factor Authentication (MFA)
Erfordert mehrere Authentication-Faktoren.
RBAC vs ABAC vs PBAC
| Modell | Entscheidung basiert auf | Use Case |
|---|---|---|
| RBAC (Role-Based) | User's Rolle(n) | Am häufigsten |
| ABAC (Attribute-Based) | Attribute von User, Resource, Environment | Fine-grained, dynamic |
| PBAC (Policy-Based) | Zentralisierte Policy-Engine-Evaluation | Modern, decoupled — OPA-style |
| ACL (Access Control List) | Per-Resource User/Permission-Mapping | File-Systeme; Small-Scale-Apps |
IAM Best Practices
- Least Privilege.
- MFA überall aktivieren.
- SSO für Workforce nutzen.
- Access regelmäßig auditieren.
- Credentials rotieren.
- Pflichten trennen.
- Alles loggen.
- Service-Accounts korrekt nutzen.
- Identities federieren.
- Für Offboarding planen.
Große IAM-Plattformen
| Plattform | Am besten für | Pricing |
|---|---|---|
| AWS IAM | AWS-Ressourcen-Access-Control | Kostenlos |
| Microsoft Entra ID | Workforce-IAM | Per-User |
| Okta | Workforce-SSO + Lifecycle | Per-User/Monat |
| Auth0 | Customer-IAM | Free bis 7.500 MAU |
| Google Cloud IAM | GCP-Ressourcen | Kostenlos |
| JumpCloud | Cross-Platform-Directory | Per-User |
| Ping Identity | Enterprise SSO + MFA | Quoted |
| Active Directory | On-prem Windows | Mit Windows-Server-Lizenz |
Häufige IAM-Failures
- Over-Privileged Accounts.
- Shared Accounts.
- Hardcoded Credentials.
- Stale Accounts.
- Kein MFA auf Admin-Accounts.
- Schwache Password-Policies.
- Keine Access-Reviews.
- Phishing-basiertes Bypass von SSO.
FAQ: IAM
Was ist der Unterschied zwischen Authentication und Authorization?
Authentication = beweisen wer du bist. Authorization = entscheiden was du tun darfst.
Ist RBAC genug für moderne Apps?
Für die meisten: ja. Für komplexe Multi-Tenant-SaaS: ABAC oder PBAC.
Was ist IAM in der Cloud (AWS IAM)?
Die Control-Plane für wer/was AWS-Ressourcen zugreifen kann.
Sollte ich Okta nutzen oder eigenes SSO bauen?
Kaufen. Okta/Auth0/Microsoft Entra lösen ein hartes Problem.
Was ist Least Privilege?
Nur die minimalen Permissions geben, die jemand braucht.
Wie unterscheidet sich IAM von PAM?
IAM deckt alle Identities ab. PAM (Privileged Access Management) ist ein Subset für hoch-privilegierte Accounts.
IAM-geschützte APIs mit LoadFocus testen
Wenn Sie APIs load-testen, die SSO/OAuth/SAML für Authentication nutzen, läuft LoadFocus JMeter- und k6-Scripts aus 25+ Regionen mit bis zu 12.500 VUs. Registrieren bei loadfocus.com/signup.
Verwandte LoadFocus-Tools
Setze dieses Konzept mit LoadFocus in die Praxis um — derselben Plattform, die alles antreibt, was du gerade gelesen hast.