Im Test: authentik 2024.6

Lesezeit
2 Minuten
Bis jetzt gelesen

Im Test: authentik 2024.6

30.09.2024 - 07:03
Veröffentlicht in:

Das Open-Source-Projekt authentik positioniert sich als Identity-Provider, der die Zugänge zu einer Vielzahl an Applikationen und Diensten konsolidiert. Die Software punktet mit einfacher Installation und Konfiguration, ohne die Kontrolle über die Identitäten abzugeben. IT-Administrator hat authentik in der Praxis erprobt und war von der simplen Konfiguration und der breiten Unterstützung begeistert.

Aufgrund der herausgehobenen Bedeutung der Identitäten steigen die Risiken von Diebstahl, Missbrauch und Kompromittierung kontinuierlich, seien diese verursacht durch Cyberangriffe, Datenschutzverletzungen oder auch menschliche Fehler. Um die Sicherheit und Effizienz der Benutzeridentitäten zu gewährleisten, benötigen Admins und Entwickler einen robusten und flexiblen Identity-Provider (IdP), der ihnen die volle Kontrolle über die Authentifizierung, Autorisierung und Verwaltung ihrer Benutzer bietet. Ein Identitätsmanagement mit Single Sign-on (SSO), möglichst abgesichert durch Multifaktor- Authentifizierung (MFA) und moderne Anmeldemethoden wie Security-Token oder Passkeys, ist das Gebot der Stunde.

Alternative zum Vendor-Lock-in
Für diese Aufgabe bringen sich die großen Hyperscaler in Stellung, die in ihren Public-Cloud-Angeboten neben zahlreichen Diensten auch gleich einen eigenen IdP betreiben. Der bindet jeweils neben dem Zugriff auf die hauseigenen Cloudangebote über gängige Protokolle auch Systeme anderer Anbieter und solche in privaten Clouds an. Und so buhlen die Cloudprovider um die Gunst der Kunden, ihrem IdP den Vorzug bei der zentralen Verwaltung aller Identitäten im Unternehmen zu geben. Daneben werben weitere kommerzielle Anbieter mit dedizierten Diensten für das Identitäts- und Zugriffsmanagement aus der Cloud.

All diese Angebote haben den Vorteil, dass sich Admins nicht um Installation und Betrieb eigener Server und Dienste kümmern müssen. Kehrseite der Medaille ist, dass die etablierten Anbieter ihre Dienste nicht quelloffen bereitstellen und erweiterte Sicherheitsfunktionen oft an zusätzliche Lizenzkosten knüpfen, verbunden mit einem drohenden Vendor-Lock-in. Dieses Phänomen bezeichnet die Abhängigkeit von einem Anbieter, die einen Wechsel zu einem anderen Produkt sehr schwer bis unmöglich macht.

Admins können dieser Gefahr durch den Einsatz von Open Source begegnen, wahlweise lokal im eigenen Rechenzentrum oder in einer Cloud. Nutzt eine solche Software eine Cloudplattform hierbei lediglich als Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS), bleibt die Migration in eine andere Umgebung einfach möglich. Hier kommt nun die Software authentik ins Spiel.

Open-Source-Projekt mit Enterprise-Variante
Bei authentik handelt es sind um ein noch junges Open-Source-Projekt, das sich aber in den letzten Jahren rasant zu einer ausgewachsenen Umgebung für die Verwaltung von Benutzeridentitäten entwickelt hat. Der Entwickler Jens Langhammer hatte das Projekt im Jahr 2018 gestartet und zunächst als einzelner Maintainer den Großteil des Codes beigesteuert. Seit 2022 bietet die von ihm gegründete Firma Authentik Security über den Umfang des Open-Source-Projekts hinaus eine Enterprise-Edition mit einigen zusätzliche Funktionen sowie Support an.

Authentik unterstützt Unternehmen dabei, die Hoheit über die Identitäten zu behalten und diese nicht an einen Drittanbieter zu verlieren.Authentik Security folgt den auf GitHub veröffentlichten Grundsätzen der "Open Core Ventures Public Benefit Company (OPC) Charter". Die sieht vor, dass ein Unternehmen sich dazu verpflichtet, eine Open-Source-Plattform zum Nutzen der Öffentlichkeit zu unterhalten. Einmal unter Open-Source-Lizenz veröffentlichte Software darf nicht aus öffentlich zugänglichen Quellcode-Repositories entfernt werden, um ausschließlich eine kostenpflichtige Version solcher Produkte unter einer proprietären Lizenz anzubieten, und es sind auch keine anderweitigen Einschränkungen für die Nutzung der Software zulässig.

Fazit
Stehen Admins vor der Herausforderung, für viele verschiedene Anwendungen und Dienste auf sichere Weise die zentrale Verwaltung und Authentifizierung ihrer Anwender zu konsolidieren, sollten sie definitiv einen Blick auf den Open-Source-Identity-Provider authentik werfen. Im Gegensatz zu einem Rundumsorglos- Paket aus der Cloud setzt der Betrieb von authentik zwar Kenntnisse im Umgang mit Linux und Containern voraus. Doch der Lohn der Mühe ist, die Hoheit über die Identitäten zu behalten und diese nicht an einen Drittanbieter zu verlieren.

Mithilfe der umfangreichen Dokumentation gelingen Inbetriebnahme und Konfiguration in kürzester Zeit. Auch im Betrieb überzeugt die Software mit ihrem No-Code-Ansatz und einfacher Bedienbarkeit über das Webinterface insbesondere im Hinblick auf die Konfiguration von Flows, Applikationen und Providern. Mit der Vielzahl an Integrationen hat uns authentik im Test positiv überrascht.

Den kompletten Test finden Sie in Ausgabe 10/2024 ab Seite 14 oder in unserem Heftarchiv.

ln/dr/Dr. Christian Knermann

Ähnliche Beiträge

Im Test: Box Content Cloud

Unternehmen mit verteilten Teams und externen Partnern sind auf eine so leistungsfähige wie sichere Cloudplattform zur Zusammenarbeit angewiesen. Wir haben uns mit Box ein Angebot angeschaut, das von dem amerikanischen Unternehmen als "Content Cloud" für den Firmeneinsatz beworben wird und zahlreiche Features mitbringt. Wer nach umfassender Sicherheit sucht, muss jedoch tief in die Tasche greifen.

Im Test: DBLAN IT-Operator

Dem IT-Support geht sehr viel Zeit verloren, wenn er notwendige Informationen mühselig zusammensuchen oder von einem Tool zum Nächsten wechseln muss, da die Arbeitsschritte dort zu erledigen sind. Das geht klüger – wie ein Blick auf das Tool IT-Operator beweist, das Echtzeitinformation zu Hard- und Software liefert, Fernzugriffe ermöglicht und Werkzeuge für das Active Directory an Bord hat.

Im Test: Profitap ProfiShark

Alle digitalen Geschäftsprozesse sind von einem funktionierenden Netzwerk abhängig. Im Fehlerfall geht es darum, möglichst effizient und effektiv die Ursachen des Fehlers zu identifizieren. Dies sollte an der vermuteten Quelle geschehen, doch dazu bedarf es oft eines portablen Netzanalysators. Die Geräte der ProfiShark-Reihe von Profitap passen in eine Hosentasche und bieten doch überzeugende Mitschnitte und Analysen des Datenverkehrs.