adesso Blog

SaaS – der sichere Treiber für Innovation und Wettbewerbsfähigkeit

Die Nutzung von SaaS-Modellen bietet der Versicherungsbranche erhebliche Vorteile. Hervorzuheben sind die Kosteneffizienz und die Skalierbarkeit, die eine flexible Anpassung an die Marktbedürfnisse mit geringen Vorabinvestitionen ermöglichen. Sie fördern Innovation und Wettbewerbsfähigkeit, indem sie den Zugang zu den neuesten Technologien erleichtern und die Entwicklung neuer Produkte erheblich beschleunigen.

Werden IT-Sicherheitsaspekte bei der Entwicklung einer SaaS-Plattform von Anfang an konsequent berücksichtigt, entlasten bereits integrierte Compliance- und Security-Maßnahmen den Versicherer zusätzlich.

Die Basis für erfolgreiche SaaS-Umsetzungen: Identity und Access Management

Für einen effizienten Betrieb ist die reibungslose Integration der SaaS-Lösung in die IT-Infrastruktur des Versicherers von entscheidender Bedeutung. Da SaaS-Anwendungen typischerweise über das Internet bereitgestellt werden, muss der sicheren Anbindung der User und der IT-Schnittstellen des Versicherers an die Plattform besondere Aufmerksamkeit geschenkt werden. Ein weiterer wesentlicher Aspekt ist das nachhaltige Management der Benutzerzugriffe. Da hierdurch die Vertraulichkeit und Integrität der Daten und Systeme gewährleistet wird, nimmt dies eine zentrale Stellung in der Sicherheitsstrategie ein.

Die Versicherungsunternehmen haben in den letzten Jahren viel in den Aufbau von robusten Identitäts- und Zugriffsmanagementsystemen (IAM) investiert. Es ist daher von entscheidender Bedeutung, dass die Anbindung von SaaS-Anwendungen nahtlos an diese bewährten IAM-Prozesse anknüpft - ohne Störungen, Sicherheitslücken oder doppelte Datenhaltung und -pflege zu verursachen. Eine durchgängige und konsistente IAM-Strategie ist der Grundstein für eine sichere und effiziente Benutzerverwaltung über alle Systeme hinweg.

Identity Lifecycle Management mit SaaS Anwendungen

Um die regulatorischen Compliance- und Sicherheitsanforderungen der VAIT einhalten zu können, ist es für Versicherungsunternehmen unerlässlich, den Aufbau einer separaten, manuell gepflegten Benutzerverwaltung für SaaS-Anwendungen zu vermeiden. Stattdessen ist ein einheitliches, zentrales Benutzermanagement zu implementieren, das aus Anwendersicht einen nahtlosen Zugriff per Single Sign On auf alle relevanten Anwendungen gewährleistet. Ebenso wichtig ist es, dass etablierte Schutzmechanismen des Versicherers, wie beispielsweise die Multi-Faktor-Authentifizierung, auch in den neu integrierten SaaS-Lösungen konsequent weiter genutzt werden.

Darüber hinaus ist es wichtig, dass SaaS-Anwendungen nicht nur eine zuverlässige Authentifizierung ermöglichen, sondern auch eine problemlose Integration der beim Versicherer definierten Business-Rollen für die Autorisierung bieten. Ideal ist eine Anwendung, die ein flexibles Mapping dieser Rollen auf entsprechende Berechtigungen im eigenen System unterstützt. So kann ein konsistentes und effizientes Berechtigungsmanagement gewährleistet werden, das den in der VAIT geforderten Prinzipien „Need-to-know“ und „Least-Privilege“ entspricht.

Protokolle wie SAML 2.0 und das neuere OAuth 2.0 ermöglichen eine standardisierte Integration von SaaS-Anwendungen. Diese Protokolle sind entscheidend für die Vereinheitlichung und Konnektivität von Authentifizierungs- und Autorisierungsprozessen über verschiedene Systeme hinweg.

OAuth 2.0 ist ein weit verbreitetes Autorisierungs-Framework, das es Anwendungen ermöglicht, sicheren und delegierten Zugriff zu gewähren. OAuth 2.0 fungiert als Bindeglied zwischen einem Identity Provider (IdP) und einer angebundenen Anwendung, indem es einen sicheren Autorisierungsmechanismus bereitstellt. Möchte ein User auf eine Ressource in der Applikation zugreifen, leitet OAuth 2.0 die Anfrage an den IdP weiter. Nach erfolgreicher Authentifizierung und Autorisierung des Benutzers stellt der IdP ein Access Token aus. Dieses Token wird von der Anwendung verwendet, um auf die vom User autorisierten Daten zuzugreifen, ohne dass Benutzername und Passwort ausgetauscht werden müssen. Auf diese Weise wird eine sichere und nahtlose Interaktion gewährleistet.


Vereinfachte Darstellung der Anmeldung über OAuth 2.0

Während des OAuth 2.0-Autorisierungsprozesses ermöglicht der Identity Provider (IdP) die Übertragung von Claims (Attributen), die spezifische Benutzerattribute und Gruppenmitgliedschaften enthalten können. Diese Informationen können dann für eine feingranulare Zugriffskontrolle verwendet werden. So kann sichergestellt werden, dass Benutzer entsprechend ihrer Rollen und Attribute innerhalb der Organisation auf Ressourcen, beispielsweise der SaaS-Plattform, zugreifen können.

Dadurch, dass bei jedem Login eines Users immer die aktuellen Berechtigungen übertragen werden, ergibt sich der Vorteil einer Echtzeitaktualisierung der Zugriffsrechte. Das bedeutet, dass Berechtigungsänderungen auf Seiten des Versicherers, wie zum Beispiel das Hinzufügen oder Entfernen einer Gruppe, sofort wirksam werden. Eine regelmäßige Synchronisierung der Berechtigungen in den verschiedenen Systemen ist nicht mehr erforderlich. Dies vereinfacht sowohl die Administration als auch die Fehleranfälligkeit durch verzögerte Synchronisationszyklen.

Das Offboarding von Mitarbeitern in SaaS-Anwendungen wird durch die Nutzung des Identity Providers (IdP) des Kunden sofort wirksam. Sobald ein Benutzerkonto im IdP deaktiviert wird, ist der Zugriff auf alle angeschlossenen SaaS-Systeme sofort gesperrt. Eventuelle regulatorisch geforderte Rezertifizierungen von Zugängen können weiterhin im System des Kunden durchgeführt werden.

Implementierung in der Afida Plattform

Bei der Entwicklung der Afida-SaaS-Plattform wurde besonderer Wert auf eine sichere, schnelle und effiziente Anbindung an die bestehende IAM-Infrastruktur der Kundinnen und Kunden gelegt. Beispielsweise profitieren Anwendende von Azure AD von einer schnellen Anbindung, die typischerweise in wenigen Minuten realisiert ist. Erforderlich ist lediglich die Konfiguration einer entsprechenden Enterprise Application in Azure AD oder einer vergleichbaren IdP-Lösung sowie die Definition der Benutzergruppen, die Zugriff erhalten sollen.


Kundenintegration in die Afida-SaaS-Plattform

Nach Abschluss dieser Konfiguration können die Mitarbeiterinnen und Mitarbeiter des Versicherungsunternehmens sofort auf die Anwendungen der Afida-Plattform zugreifen. Durch diese Kopplung werden bestehende Sicherheitsvorkehrungen wie Multi-Faktor-Authentifizierung und Governance-Regeln wie Passwortrichtlinien und Identity Lifecycle Management-Prozesse direkt auf die SaaS-Anwendung ausgeweitet und dort wirksam.

API-Integration von Anwendungen

Bei der Einführung einer SaaS-Anwendung ist neben der Benutzeroberfläche auch die nahtlose Integration der technischen Schnittstellen von großer Bedeutung. Dabei sind im Wesentlichen zwei Szenarien zu berücksichtigen:

  • 1. Die Integration von API-Zugriffen, die im Rahmen von Benutzerinteraktionen erfolgen, wobei das von OAuth ausgegebene Benutzer-Token, das bereits für den Zugriff auf die Anwendung verwendet wird, auch den API-Zugriff ermöglicht. Dies ermöglicht die Integration von Geschäftsfunktionen der SaaS-Lösung direkt in die Benutzeroberfläche bestehender Inhouse-Systeme.
  • 2. Die Maschine-zu-Maschine-Kommunikation, die beispielsweise ein Provisions-/Backend-System des Versicherers mit der SaaS-Lösung verbindet und einen sicheren und direkten Datenaustausch gewährleistet.

Für die Backend-Anbindung einer SaaS-Lösung kann ebenfalls eines der bereits genannten standardisierten Protokolle wie OAuth verwendet werden, um eine effiziente und sichere Verbindung zu ermöglichen. Zusätzliche Methoden wie API-Tokens oder Client-Zertifikate bieten weitere Flexibilität. Die Wahl der Methode hängt häufig von den technischen Möglichkeiten der Backend-Systeme des Versicherers ab und erfordert eine detaillierte Analyse im Rahmen des Implementierungsprozesses, um die bestmögliche Lösung zu identifizieren.

Fazit

Die manuelle Verwaltung von Benutzeridentitäten und Berechtigungen in externen Systemen ist ein veralteter Ansatz, der nicht nur ressourcenintensiv ist, sondern auch große Sicherheitsrisiken birgt. Deshalb ist es von entscheidender Bedeutung, bei der Auswahl einer SaaS-Lösung sicherzustellen, dass diese in der Lage ist, sich nahtlos in die vorhandene IAM-Lösung eines Versicherers zu integrieren. Wenn eine SaaS-Anwendung diese Integration unterstützt, reduzieren sich die Anbindungsaufwände auf ein Minimum, oft nur wenige Stunden oder Tage, wodurch sich das Unternehmen schnell den fachlichen Aspekten der Anwendung zuwenden und operative Effizienz steigern kann.

Ausblick

Afida hat mit der Plattform bereits bei mehreren Projekten erfolgreich unter Beweis gestellt, wie effektiv die Lösungen in bestehende Systeme integriert werden können. In einem weiteren Blog-Beitrag werde ich im Detail darauf eingehen, wie Identity Governance Prozesse für das Privileged Access Management nahtlos mit Kundensystemen verknüpft werden, um eine lückenlose Compliance im Umgang mit hochsensiblen Daten zu gewährleisten.

Bild Mario Lohner

Autor Mario Lohner

Mario Lohner ist seit der Gründung der Afida GmbH als CTO für die Entwicklung einer modernen Plattform verantwortlich, die Versicherungsanwendungen als Software-as-a-Service (SaaS) zur Verfügung stellt. In den letzten acht Jahren hat er sich insbesondere auf den Einsatz von Public Cloud-Infrastrukturen in der Automobil- und Versicherungsbranche konzentriert.

Diese Seite speichern. Diese Seite entfernen.