badge Funktionsbaustein: Identity-Access-Managementfeedback
| Eigenschaft | Wert |
|---|---|
| Kennung | SID |
| Hauptfähigkeit | Infrastruktur und IT-Betrieb |
| Geschäftsfähigkeit | Sicherheitsinfrastruktur |
| Bausteintyp | Infrastrukturfunktion |
| GovStack Building Block | Identity BB v2.0 |
summarize 1 Management Summaryfeedback
Dieser Funktionsbaustein stellt Funktionalität zur Verwaltung und (De-)Provisionierung von Identitätsinformationen bereit. Ziel ist ein IAM-System mit einer zentralen und mehreren nachgelagerten Instanzen. Dieses soll u.a. die Durchsetzung zentraler Sicherheits-Policies sowie eine zentrale, behördenübergreifende Sperrung von Identitäten (Emergency Exit) ermöglichen. Kernfunktionalitäten einer logischen Autorisierungskomponente bzw. eines Policy Decision Point (PDP) im Rahmen eines Zero-Trust-Ansatzes sollen zudem abgedeckt werden.
In einer Enterprise-Architektur ist IAM das Fundament, auf dem alle anderen Bausteine aufbauen. Ohne zentrale, föderierte Identitäts- und Zugangssteuerung müsste jede Fachanwendung eigene Nutzerverwaltung, Authentifizierung und Autorisierung implementieren – das führt zu Datensilos, Sicherheitslücken und schlechter Nutzererfahrung.
description 2 Beschreibungfeedback
Der IAM-Baustein bildet das zentrale Identitäts- und Zugriffsmanagement des Deutschland-Stacks. Er steuert die Authentifizierung, Autorisierung und Föderation von Identitäten über alle angebundenen Fachanwendungen und Portale hinweg. Der Baustein verfolgt einen primär föderierten Ansatz mit zentralem Keycloak als Hub, ergänzt um dezentrale Elemente über die EUDI Wallet (eIDAS 2.0).
| In Scope (SID) | Außerhalb (separater Baustein) |
|---|---|
| Verwaltung interner Identitäten (Beschäftigte) | Digitale Brieftasche – EUDI Wallet als Credential-Träger |
| Authentifizierung und Autorisierung (SSO, MFA, RBAC/ABAC) | Nutzerkonto – Externe Identitäten (Bürger:innen, Unternehmen) |
| Föderations-Hub (SAML/OIDC-Proxy) | Authentifizierung (AUT) – Dedizierter Authentifizierungsbaustein |
| Validierung von Wallet-Credentials (Relying Party) | Credential-Issuance und Wallet-App-Logik |
| Policy Decision Point (PDP) | Zero-Trust-Policy-Engine – Externalisierte Policy-Auswertung |
| SCIM-Provisionierung | Personalverwaltung als Datenquelle |
menu_book 3 Terminologiefeedback
Die folgende Tabelle definiert die zentralen Fachbegriffe des IAM-Bausteins. Die Begriffe orientieren sich an den einschlägigen Standards (eIDAS, OIDC, GovStack Identity BB).
| Begriff | Definition |
|---|---|
| Identity Provider (IdP) | Dienst, der Identitäten authentifiziert und Authentifizierungsnachweise (Tokens) ausstellt |
| Relying Party (RP) | Fachanwendung oder Dienst, der die Authentifizierung an einen IdP delegiert |
| Single Sign-On (SSO) | Verfahren, bei dem eine einmalige Anmeldung Zugriff auf mehrere Dienste gewährt |
| Multi-Faktor-Authentifizierung (MFA) | Absicherung durch mindestens zwei unabhängige Authentifizierungsfaktoren |
| RBAC | Role-Based Access Control – Berechtigungsvergabe über Rollen |
| ABAC | Attribute-Based Access Control – Feingranulare Autorisierung über Kontextattribute |
| PDP / PEP | Policy Decision Point / Policy Enforcement Point – Entscheidung und Durchsetzung von Zugriffsregeln |
| SCIM | System for Cross-domain Identity Management – Protokoll zur automatisierten Identitätsprovisionierung |
| Föderation | Vertrauensbeziehung zwischen IdPs verschiedener Organisationen für domänenübergreifende Authentifizierung |
| LoA | Level of Assurance – Vertrauensniveau der Identitätsfeststellung gemäß eIDAS |
| FIDO2 / WebAuthn | Standard für passwortlose, phishing-resistente Authentifizierung |
| eID | Elektronischer Identitätsnachweis über den deutschen Personalausweis (nPA) |
settings 4 Kernfunktionalitätenfeedback
Die Kernfunktionalitäten decken den gesamten Lebenszyklus einer digitalen Identität ab – von der Erstellung über die Authentifizierung bis zur Löschung. Sie bilden die Grundlage für die sichere Anbindung aller Fachanwendungen im Deutschland-Stack.
4.1 Identitäten verwaltenfeedback
Identitäten und Konten für Benutzende der Bundesverwaltung können zentral erstellt, aktualisiert und gelöscht sowie die dazugehörigen Passwörter, Zugriffsrechte und Rollen verwaltet werden.
4.2 Identitäten (de-)provisionierenfeedback
Auf Grundlage von Geschäftsregeln und Richtlinien können Identitäten und Konten von Benutzenden automatisch provisioniert und de-provisioniert werden. Die Schnittstelle zur Personalverwaltung dient der Anlage von Identitäten, der Gruppenzuordnung und dem Sperren und Löschen von Konten.
4.3 Authentifizierungfeedback
| Funktion | Beschreibung | Standard |
|---|---|---|
| Single Sign-On (SSO) | Einmalige Anmeldung für alle angebundenen Dienste | OIDC, SAML 2.0 |
| Multi-Faktor-Authentifizierung (MFA) | Zweiter Faktor über TOTP, FIDO2 oder eID | FIDO2 / WebAuthn |
| eID-Anbindung | Integration des deutschen Personalausweises (nPA) und der BundID | TR-03124, eIDAS |
| Zertifikatsbasierte Anmeldung | X.509-Zertifikate für Maschine-zu-Maschine-Kommunikation | mTLS |
4.4 Identitäten föderieren und integrierenfeedback
Identitäten von Benutzenden werden über verschiedene Systeme, Anwendungen und Organisationen verteilt verwaltet und zentral authentifiziert (ggf. über dezentrale Instanzen). Dafür müssen Identitäten über verschiedene Systeme hinweg synchronisiert werden, einschließlich externer IAM-Systeme (Identity Provider – IDP).
- SAML 2.0 und OpenID Connect (OIDC) zur Anbindung externer Identity Provider (z. B. Landes-IDPs, EU-weite eIDAS-Knoten).
- SCIM (System for Cross-domain Identity Management) zur automatisierten Provisionierung und Deprovisionierung von Benutzerkonten.
- BundID-Integration als zentrale digitale Identität für Bürger:innen im OZG-Kontext.
4.5 Autorisierung – Zugriffsanfragen bewerten, entscheiden und durchsetzenfeedback
- Role-Based Access Control (RBAC): Zuordnung von Berechtigungen über Rollen (z. B. „Sachbearbeiter:in", „Abteilungsleitung").
- Attribute-Based Access Control (ABAC): Feingranulare Autorisierung anhand von Kontextattributen (Standort, Uhrzeit, Gerät).
- Policy Engine (PDP): Zentrale Regelauswertung über Open Policy Agent (OPA) oder vergleichbare Systeme.
- Delegation: Vertretungsregelungen und Berechtigungsweitergabe für Verwaltungsprozesse.
shield 5 Querschnittsanforderungenfeedback
Die Querschnittsanforderungen definieren nicht-funktionale Eigenschaften, die für alle IAM-Funktionalitäten verbindlich gelten. Sie leiten sich aus eIDAS 2.0, der DSGVO, dem IT-Grundschutz und den Zero-Trust-Prinzipien ab.
5.1 eIDAS 2.0 – Anforderungenfeedback
Die eIDAS-Verordnung 2.0 (EU 2024/1183) stellt erweiterte Anforderungen an den IAM-Baustein:
| Anforderung | Auswirkung auf SID | Neue Standards |
|---|---|---|
| European Digital Identity Wallet (EUDI Wallet) | IAM muss Verifiable Credentials aus Wallets akzeptieren und validieren | OpenID4VP, SD-JWT |
| Qualified Electronic Attestations | Attributsnachweise (Alter, Wohnsitz, Qualifikation) als signierte Credentials | OpenID4VCI |
| Selective Disclosure | Bürger:innen geben nur minimal nötige Attribute frei (Data Minimization) | SD-JWT, ISO 18013-5 |
| Level of Assurance (LoA) high | Verpflichtende hohe Vertrauensniveaus für Behördendienste | eIDAS LoA high, TR-03107 |
| Cross-Border Interoperability | EU-weite Anerkennung von Identitätsnachweisen über eIDAS-Knoten | SAML eIDAS-Profil, OIDC Federation |
Die EUDI Wallet als eigenständiger Identitätsträger mit Credential-Verwaltung, Presentation-Flows und Offline-Fähigkeit wird im separaten Baustein Digitale Brieftasche beschrieben. Der IAM-Baustein SID ist die Relying Party, die Wallet-Credentials entgegennimmt und validiert.
5.2 Sicherheit und Datenschutzfeedback
| Anforderung | Beschreibung |
|---|---|
| DSGVO Art. 25 | Datenschutz durch Technikgestaltung – Minimalprinzip bei Identitätsdaten |
| IT-Grundschutz | BSI-konforme Härtung der IAM-Infrastruktur |
| Zero Trust | Kontinuierliche Verifikation – nie implizites Vertrauen |
| Audit-Logging | Lückenlose Protokollierung aller Authentifizierungs- und Autorisierungsereignisse |
checklist 6 Funktionale Anforderungenfeedback
Die funktionalen Anforderungen leiten sich aus dem GovStack Identity Building Block (v2.0) ab. Die Tabelle bildet das Mapping zwischen GovStack-Spezifikation und D-Stack-Umsetzung ab.
| GovStack-Dienst | D-Stack-Abdeckung | Umsetzung |
|---|---|---|
| Enrollment Services | Identitäten verwalten + (de-)provisionieren | Keycloak + SCIM-Anbindung an Personalverwaltung |
| Identity Verification Services | Authentifizierung (SSO, MFA, eID) | Keycloak OIDC/SAML, BundID, FIDO2 |
| Credential Management | Zertifikats- und Attributverwaltung | cert-manager, HashiCorp Vault, EUDI Wallet |
| Upstream Federation | Föderierte Identitäten | SAML/OIDC-Proxy, Landes-IDP-Konnektierung |
| Query Services | Verzeichnisdienst-Abfragen | OpenLDAP / FreeIPA via SCIM |
| Notification Services | Event-basierte Identitätsereignisse | Webhook/AMQP bei Provisionierung/Sperrung |
Der GovStack Identity BB unterscheidet drei Identitätsmodelle: Centralized, Federated und Distributed/Decentralized (Self-Sovereign Identity). Der D-Stack verfolgt einen primär föderierten Ansatz mit zentralem Keycloak als Hub, ergänzt um dezentrale Elemente über die EUDI Wallet (eIDAS 2.0). Die EUDI Wallet wird als separater Funktionsbaustein Digitale Brieftasche beschrieben.
database 7 Datenstrukturenfeedback
Die zentralen Datenstrukturen des IAM-Bausteins umfassen Identitätsobjekte, Rollen, Berechtigungen und Föderationsmetadaten. Die Persistierung erfolgt über LDAP-Verzeichnisse sowie relationale Datenbanken (Keycloak-internes Schema).
| Entität | Attribute | Speicherort |
|---|---|---|
| Identität | UUID, Name, E-Mail, Status, LoA, Organisationseinheit | Keycloak + LDAP |
| Rolle | Name, Beschreibung, zugeordnete Berechtigungen | Keycloak Realm |
| Client (RP) | Client-ID, Redirect-URIs, erlaubte Scopes, Protokoll | Keycloak Client Registry |
| Federation-Metadata | Entity-ID, Zertifikat, SAML/OIDC-Endpunkte | Keycloak Identity Provider |
| Policy | Rego/Cedar-Regeln, Gültigkeitsbereich, Version | OPA-Bundle-Store |
| Audit-Event | Timestamp, Actor, Action, Resource, Decision | Event-Store / SIEM |
api 8 Service-Schnittstellenfeedback
Die Service-Schnittstellen definieren die Protokolle und Standards, über die der IAM-Baustein mit Fachanwendungen, externen IdPs und nachgelagerten Diensten kommuniziert. Sie gewährleisten Interoperabilität im föderierten Ökosystem der Bundesverwaltung.
| Protokoll | Zweck | Spezifikation |
|---|---|---|
| OpenID Connect | Token-basierte Authentifizierung (primärer Standard) | OpenID Connect Core 1.0 |
| SAML 2.0 | Legacy-Föderation und eIDAS-Knoten-Anbindung | OASIS SAML v2.0 |
| OAuth 2.1 | API-Autorisierung (PKCE verpflichtend) | OAuth 2.1 Draft |
| OpenID4VP | Wallet-Presentation-Flows (eIDAS 2.0) | OpenID4VP |
| SCIM 2.0 | Automatisierte Identitätsprovisionierung | RFC 7643/7644 |
| LDAP | Verzeichnisabfragen | RFC 4511 |
| mTLS | Zertifikatsbasierte Maschine-zu-Maschine-Authentifizierung | RFC 8705 |
8.1 Wallet-Presentation-Flow (eIDAS 2.0)feedback
account_tree 9 Interne Workflowsfeedback
Der IAM-Baustein ist in die Sicherheits- und Identitätsinfrastruktur des Deutschland-Stacks eingebettet. Die folgenden Abhängigkeiten zeigen, welche Bausteine in den internen Workflow der Identitätsverarbeitung eingebunden sind.
Direkte Abhängigkeiten:
- Personalverwaltung: Golden Source für Identitäten – Anlage, Gruppenzuordnung, Sperrung und Löschung über SCIM/SFTP.
- Zero-Trust-Policy-Engine: Externalisierte Autorisierungslogik mit kontinuierlicher Verifikation.
- Machine Identity: Workload-Identitäten (SPIFFE/SPIRE) für Service-Mesh-Kommunikation.
- Digitale Brieftasche: EUDI Wallet als Credential-Träger – SID validiert Presentations.
- Standard-Arbeitsplatz / Ultramobile IT: Gerätebindung über MDM-Attribute in ABAC-Entscheidungen.
- Betriebsplattform und Netze: Infrastrukturdienste für IAM-Deployment (Kubernetes, TLS-Terminierung).
9.1 Roadmapfeedback
| Phase | Maßnahme | Zeitrahmen |
|---|---|---|
| Phase 1 | Keycloak-Cluster mit SSO, MFA (FIDO2), LDAP-Anbindung | Basis (vorhanden) |
| Phase 2 | SCIM-Provisionierung, Behörden-Föderations-Hub | 2025–2026 |
| Phase 3 | EUDI-Wallet-Anbindung (OpenID4VP), Machine Identity (SPIFFE) | 2026–2027 |
| Phase 4 | Zero-Trust-Integration (OPA/Cedar), kontinuierliche Verifikation | 2027+ |
library_books 10 Weiterführende Informationen und Quellenfeedback
Dieser Abschnitt bündelt normative Quellen, Technologieempfehlungen und weiterführende Referenzen. Die aufgelisteten Standards und Tools bilden die Grundlage für die D-Stack-IAM-Umsetzung.
10.1 Technologieempfehlungenfeedback
| Komponente | Empfehlung | Begründung |
|---|---|---|
| Identity Provider | Keycloak | Open Source, OIDC/SAML, aktive Community, BSI-konform einsetzbar |
| Verzeichnisdienst | OpenLDAP / FreeIPA | Etablierte Open-Source-Implementierung für LDAP |
| Policy Engine | Open Policy Agent (OPA) | Deklarative Rego-Policies, Cloud-Native-Integration |
| Zertifikatsmanagement | cert-manager + HashiCorp Vault | Automatisierte X.509-Verwaltung in Kubernetes |
| Workload Identity | SPIFFE / SPIRE | Kryptographisch gesicherte Service-Identitäten |
| Wallet-Validierung | Keycloak + OIDC4VP-Plugin | EUDI-Wallet-Presentation-Flows in bestehende IAM-Infrastruktur |
10.2 Normative Quellenfeedback
- eIDAS-Verordnung (EU) Nr. 910/2014 und eIDAS 2.0 (EU 2024/1183)
- OAuth 2.0 (RFC 6749) / OAuth 2.1 (Draft) – empfohlene Baseline (PKCE verpflichtend, unsichere Grant Types entfernt)
- RFC 9700: OAuth 2.0 Security Best Current Practice
- OpenID Connect Core 1.0
- OpenID4VP / OpenID4VCI – Wallet-Protokolle für eIDAS 2.0
- BSI TR-03107 (Elektronische Identitäten und Vertrauensdienste)
- BSI TR-03124 (eID-Client)
- DSGVO Art. 5, 25, 32 (Datenschutz durch Technikgestaltung)
- GovStack Identity BB v2.0 – internationaler Referenzstandard für staatliche Identitätssysteme
- FIDO2 / WebAuthn – Passwortlose Authentifizierung
- SCIM 2.0 (RFC 7643/7644) – Cross-domain Identity Management
10.3 Weitere Referenzenfeedback
- GIB Dienstelandkarte – Identity-Access-Management
- GovStack Identity Building Block Specification v2.0
- D-Stack Funktionsbaustein – Identität & Zugang (Detail)
- Sicherheitsvorgaben des Portals
format_list_numbered 11 Verzeichnissefeedback
Die folgende Tabelle listet die im Dokument verwendeten Abkürzungen und Akronyme auf. Sie dient als Schnellreferenz für Leser:innen ohne tiefgreifende IAM-Vorkenntnisse.
| Abkürzung | Bedeutung |
|---|---|
| ABAC | Attribute-Based Access Control |
| ARF | Architecture Reference Framework |
| BundID | Zentrale digitale Identität für Bürger:innen (OZG) |
| eID | Elektronischer Identitätsnachweis (Personalausweis) |
| eIDAS | Electronic Identification, Authentication and Trust Services |
| EUDI | European Digital Identity |
| FIDO2 | Fast Identity Online v2 |
| IdP | Identity Provider |
| LDAP | Lightweight Directory Access Protocol |
| LoA | Level of Assurance |
| MFA | Multi-Faktor-Authentifizierung |
| mTLS | Mutual Transport Layer Security |
| nPA | Neuer Personalausweis |
| OIDC | OpenID Connect |
| OPA | Open Policy Agent |
| PAP | Policy Administration Point |
| PDP | Policy Decision Point |
| PEP | Policy Enforcement Point |
| PIP | Policy Information Point |
| RBAC | Role-Based Access Control |
| RP | Relying Party |
| SAML | Security Assertion Markup Language |
| SCIM | System for Cross-domain Identity Management |
| SD-JWT | Selective Disclosure JSON Web Token |
| SID | Funktionsbaustein Identity-Access-Management |
| SPIFFE | Secure Production Identity Framework for Everyone |
| SSO | Single Sign-On |
| TEE | Trusted Execution Environment |
| VC | Verifiable Credential |
| VP | Verifiable Presentation |