Univention Nubus: Modulares IAM für Cloud-Umgebungen
Univention Nubus packt das IAM in souveränen Clouds an. Enthalten ist ein RfC-konformer LDAP-Server mit SAML-Anbindungen an verschiedene externe Dienste.
(Bild: iX)
- Martin Gerhard Loschwitz
Unternehmen, die private Cloud-Computing-Umgebungen auf Grundlage von OpenStack oder Kubernetes betreiben wollen, geben die Identitäts- und Zugriffsverwaltung (IAM) als eine ihrer größten Herausforderungen an. Univention hat nun Nubus veröffentlicht, eine Art Werkzeugkasten, der als Plug-and-Play-Lösung daherkommt und Unternehmen den schnellen und umfassenden Einstieg in IAM ermöglicht. Zwar befindet sich das Produkt noch in der Alpha-Base, Univention geht aber davon aus, schon bald eine produktiv nutzbare Version anbieten zu können.
In Sachen IAM ist das Unternehmen dabei kein Unbekannter: Schon bei seinem Kernprodukt, dem Univention Corporate Server, spielt das Thema IAM eine gewichtige Rolle. UCS ist unter der Haube ein aufbereitetes und um diverse Standardfeatures erweitertes Debian GNU/Linux, das nicht nur einen eigenen LDAP-Server an Bord hat, sondern auch eine komplette grafische Verwaltung für die darin enthaltenen Nutzer umfasst. Schon UCS bietet in seinem IAM-Teil obendrein Anknüpfungspunkte für SAML- und OAuth-Installationen an, sodass die IAM-Komponente von UCS sich weiter über den unmittelbaren UCS-Nutzen hinaus verwenden lässt. Dem ersten Eindruck nach ist Nubus nun der aus UCS herausgelöste IAM-Teil, der in Container-Form daherkommt und dadurch flexibler einsetzbar wird – nämlich überall dort, wo UCS nicht zum Einsatz kommt und auch nicht kommen soll. Beim Marketing setzt der Anbieter dabei ganz auf das Thema der digitalen Souveränität: Nubus sei der IAM-Stack, der besonders für den Betrieb souveräner Cloud-Plattformen geeignet sei.
Mit dem quelloffenen Identity & und Access Management System Keycloak lassen sich anwendungsübergreifendes Single-Sign-On (SSO) und Multifaktor-Authentifizierung MfA) in eigenen Anwendungen umsetzen. Lernen Sie, wie Sie Keycloak installieren, konfigurieren und an externe Verzeichnisse, wie Microsoft Active Directory, anbinden, um Benutzer zu authentifizieren und per SSO an verschiedenen Web-Anwendungen anzumelden. Der Workshop findet online statt, weitere Informationen und Tickets unter heise.de/s/wNLMJ
Oft Chaos
Univention trifft mit dem Produkt durchaus einen wunden Punkt. Unternehmen, die den Betrieb einer eigenen Cloud auf Basis von OpenStack planen oder für ihre Kunden Kubernetes im großen Stil einrichten müssen, stoßen gerade in Sachen IAM immer wieder auf massive Probleme. Weder OpenStack noch Kubernetes haben ab Werk für das Thema eine Lösung parat. Sie lassen sich zwar beide an LDAP oder Active Directory ankoppeln – wo diese Dienste aber herkommen, das bleibt dem Administrator überlassen. Red Hat OpenStack tritt genau deshalb beispielsweise regelmäßig mit Red Hat IdM auf den Plan, der IAM-Anwendung des Konzerns auf Grundlage von FreeIPA. Andere Optionen sind der manuelle Betrieb eines eigenen LDAP-Servers zusammen mit Keycloak und anderen Komponenten. Professionelles und sicheres Identity-Management aber ist teuer, vor allem wenn es richtig gemacht sein und den gängigen Compliance- und Sicherheitsstandards entsprechen soll. Manches Unternehmen verzichtet ganz auf IAM, andere Firmen bauen sich Behelfskonstrukte, um Clouds an bestehende Benutzerverzeichnisse anzukoppeln. Univention bietet Nubus als Zwischending an: Das Produkt etabliert zwar ein eigenes Benutzerverzeichnis und tritt damit potenziell in Konkurrenz zu bestehenden LDAP- oder Active-Directory-Strukturen. Dafür soll es sich aber besonders leicht in Betrieb nehmen und auch verwalten lassen, quasi eine Art IAM as a Service.
Schon die Installation soll dabei bemerkenswert simpel sein: Nubus kommt als Container daher, der sich direkt in Kubernetes per Helm-Chart installieren lässt. Per YAML-Template sind einzelne Aspekte des Deployments zudem anpassbar. So installiert Nubus standardmäßig beispielsweise ein PostgreSQL mit. Wer bereits PostgreSQL betreibt und will, dass Nubus stattdessen dieses nutzt, hinterlegt per YAML-Template die passenden Einstellungen. Ebenfalls lässt sich Keycloak als zusätzlicher Dienst aktivieren, das durch Nubus hindurch die OAuth-Anbindung an einen externen Identitätsanbieter (Identity Provider, IdP) ermöglicht. Univention weist darauf hin, dass Nubus sowohl den Grundregeln des BSI-Grundschutzkatalogs als auch den Regeln der Deutsche Verwaltungscloud-Strategie entspricht, einem vom CIO Bund herausgegebenen Regelwerk für die IT-Infrastruktur der öffentlichen Verwaltung und der Cloud-Nutzung darin. Bezüglich Zertifizierung und Compliance greift Nubus einem Administrator also ebenfalls unter die Arme. Hinzu kommt, dass Nubus selbst aus Open-Source-Komponenten besteht und auf offenen Standards fußt, in den Augen vieler also die zentralen Bedingungen erfüllt, um für den Aufbau einer souveränen Cloud überhaupt infrage zu kommen.
Fazit: Abwarten
Ob Nubus sich tatsächlich als das kongeniale Werkzeug entpuppt, das seine Macher versprechen, bleibt abzuwarten. Die aktuell verfügbare Alpha-Version erlaubt noch keinen Test, dessen Ergebnisse seriöse Rückschlüsse auf das zu erwartende Produkt zuließen. Gelingt es Univention aber, eine IAM-Standardlösung für verteilte Umgebungen zu bauen, wäre das in Sachen souveräner Clouds zweifelsohne ein großer Wurf – und hätte sogar das Potenzial, dem Thema digitale Souveränität neues Leben einzuhauchen. Projekte wie der Sovereign Cloud Stack konnten in den vergangenen Jahren zwar einige Erfolge verbuchen und eine treue Fangemeinde hinter sich versammeln, der große Durchbruch jedoch fehlt bis dato. Noch immer landet das Gros der Cloud-Workloads bei AWS & Co. – nicht zuletzt, weil die umfassende und vollständig integrierte IAM-Lösungen haben, die sich auch an externe Dienste anbinden lassen. Eine Plug-and-Play-fähige und lokale IAM-Anwendung könnte hier echten Mehrwert für hiesige Setups auf Basis offener Standards schaffen, also für jene Setups, die allgemein als europäisch-souverän gelten.
(fo)