Im Test: authentik 2024.6
Das Open-Source-Projekt authentik positioniert sich als Identity-Provider, der die Zugänge zu einer Vielzahl an Applikationen und Diensten konsolidiert. Die Software punktet mit einfacher Installation und Konfiguration, ohne die Kontrolle über die Identitäten abzugeben. IT-Administrator hat authentik in der Praxis erprobt und war von der simplen Konfiguration und der breiten Unterstützung begeistert.
Aufgrund der herausgehobenen Bedeutung der Identitäten steigen die Risiken von Diebstahl, Missbrauch und Kompromittierung kontinuierlich, seien diese verursacht durch Cyberangriffe, Datenschutzverletzungen oder auch menschliche Fehler. Um die Sicherheit und Effizienz der Benutzeridentitäten zu gewährleisten, benötigen Admins und Entwickler einen robusten und flexiblen Identity-Provider (IdP), der ihnen die volle Kontrolle über die Authentifizierung, Autorisierung und Verwaltung ihrer Benutzer bietet. Ein Identitätsmanagement mit Single Sign-on (SSO), möglichst abgesichert durch Multifaktor- Authentifizierung (MFA) und moderne Anmeldemethoden wie Security-Token oder Passkeys, ist das Gebot der Stunde.
Alternative zum Vendor-Lock-in
Für diese Aufgabe bringen sich die großen Hyperscaler in Stellung, die in ihren Public-Cloud-Angeboten neben zahlreichen Diensten auch gleich einen eigenen IdP betreiben. Der bindet jeweils neben dem Zugriff auf die hauseigenen Cloudangebote über gängige Protokolle auch Systeme anderer Anbieter und solche in privaten Clouds an. Und so buhlen die Cloudprovider um die Gunst der Kunden, ihrem IdP den Vorzug bei der zentralen Verwaltung aller Identitäten im Unternehmen zu geben. Daneben werben weitere kommerzielle Anbieter mit dedizierten Diensten für das Identitäts- und Zugriffsmanagement aus der Cloud.
All diese Angebote haben den Vorteil, dass sich Admins nicht um Installation und Betrieb eigener Server und Dienste kümmern müssen. Kehrseite der Medaille ist, dass die etablierten Anbieter ihre Dienste nicht quelloffen bereitstellen und erweiterte Sicherheitsfunktionen oft an zusätzliche Lizenzkosten knüpfen, verbunden mit einem drohenden Vendor-Lock-in. Dieses Phänomen bezeichnet die Abhängigkeit von einem Anbieter, die einen Wechsel zu einem anderen Produkt sehr schwer bis unmöglich macht.
Admins können dieser Gefahr durch den Einsatz von Open Source begegnen, wahlweise lokal im eigenen Rechenzentrum oder in einer Cloud. Nutzt eine solche Software eine Cloudplattform hierbei lediglich als Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS), bleibt die Migration in eine andere Umgebung einfach möglich. Hier kommt nun die Software authentik ins Spiel.
Open-Source-Projekt mit Enterprise-Variante
Bei authentik handelt es sind um ein noch junges Open-Source-Projekt, das sich aber in den letzten Jahren rasant zu einer ausgewachsenen Umgebung für die Verwaltung von Benutzeridentitäten entwickelt hat. Der Entwickler Jens Langhammer hatte das Projekt im Jahr 2018 gestartet und zunächst als einzelner Maintainer den Großteil des Codes beigesteuert. Seit 2022 bietet die von ihm gegründete Firma Authentik Security über den Umfang des Open-Source-Projekts hinaus eine Enterprise-Edition mit einigen zusätzliche Funktionen sowie Support an.
Authentik Security folgt den auf GitHub veröffentlichten Grundsätzen der "Open Core Ventures Public Benefit Company (OPC) Charter". Die sieht vor, dass ein Unternehmen sich dazu verpflichtet, eine Open-Source-Plattform zum Nutzen der Öffentlichkeit zu unterhalten. Einmal unter Open-Source-Lizenz veröffentlichte Software darf nicht aus öffentlich zugänglichen Quellcode-Repositories entfernt werden, um ausschließlich eine kostenpflichtige Version solcher Produkte unter einer proprietären Lizenz anzubieten, und es sind auch keine anderweitigen Einschränkungen für die Nutzung der Software zulässig.
Fazit
Stehen Admins vor der Herausforderung, für viele verschiedene Anwendungen und Dienste auf sichere Weise die zentrale Verwaltung und Authentifizierung ihrer Anwender zu konsolidieren, sollten sie definitiv einen Blick auf den Open-Source-Identity-Provider authentik werfen. Im Gegensatz zu einem Rundumsorglos- Paket aus der Cloud setzt der Betrieb von authentik zwar Kenntnisse im Umgang mit Linux und Containern voraus. Doch der Lohn der Mühe ist, die Hoheit über die Identitäten zu behalten und diese nicht an einen Drittanbieter zu verlieren.
Mithilfe der umfangreichen Dokumentation gelingen Inbetriebnahme und Konfiguration in kürzester Zeit. Auch im Betrieb überzeugt die Software mit ihrem No-Code-Ansatz und einfacher Bedienbarkeit über das Webinterface insbesondere im Hinblick auf die Konfiguration von Flows, Applikationen und Providern. Mit der Vielzahl an Integrationen hat uns authentik im Test positiv überrascht.
Den kompletten Test finden Sie in Ausgabe 10/2024 ab Seite 14 oder in unserem Heftarchiv.
ln/dr/Dr. Christian Knermann