Publiziert: Zuletzt aktualisiert:

Okta

Okta ist eine proprietäre Cloud-Identitätsplattform aus den USA und einer der Marktstandards für Identitäts- und Zugriffsmanagement (IAM). Sie liefert Single Sign-On, Multi-Faktor-Authentifizierung und Identity Governance als SaaS, betrieben in Okta-eigenen Rechenzentrumszellen.

Okta (NASDAQ: OKTA) wurde 2009 gegründet und betreibt das Identitätsmanagement nicht als Software zum Selbstbetrieb, sondern als gehosteten Dienst. Wer sich für Okta entscheidet, lagert die Authentifizierung an einen externen, in den USA börsennotierten Anbieter aus. Genau dieser Punkt macht die Plattform fachlich interessant: Sie zeigt den Reifegrad einer ausgelagerten Identitätsschicht und zugleich die Spannung, die ein US-Anbieter für Schweizer Datenhaltung erzeugt. Diese Seite beschreibt, was Okta leistet, und ordnet die Datenlage gegenüber der Souveränitätsfrage ein.

Cloud-Identität als SaaS

Okta bündelt unter einer Oberfläche, was sonst auf mehrere Bausteine verteilt ist. Die Plattform gliedert sich in zwei Produktlinien:

  • Workforce Identity Cloud. Identitäten für Mitarbeitende, Auftragnehmer und Partner. Sie sichert den Zugang zu internen Anwendungen und SaaS-Diensten.
  • Customer Identity (Auth0). Identitäten für Endkundinnen und Endkunden in eigenen Anwendungen, hervorgegangen aus der 2021 übernommenen Auth0-Plattform.

Die zentralen Bausteine sind in beiden Linien ähnlich. Single Sign-On bindet viele Anwendungen an einen Login. Adaptive Multi-Faktor-Authentifizierung passt die Prüfung an das erkannte Risiko an, statt sie pauschal zu fordern. Lifecycle Management automatisiert das Anlegen und Entziehen von Konten entlang des Eintritts- und Austrittsprozesses. Identity Governance ergänzt Zugriffsüberprüfungen und Nachweise. Über das Okta Integration Network stehen laut Anbieter mehr als 8000 vorgefertigte Anbindungen bereit, was den Integrationsaufwand für gängige Anwendungen reduziert.

Protokolle und Einbindung

Okta spricht die etablierten Standards, an denen sich eine offene Identitätsschicht messen lassen muss: OpenID Connect (OIDC) und OAuth 2.0 für moderne Web- und API-Szenarien, SAML 2.0 für klassische Unternehmensanwendungen sowie SCIM für die automatisierte Nutzerbereitstellung zwischen Systemen. Als Identity Provider wird Okta damit zum zentralen Vertrauensanker, über den sich Anwendungen authentifizieren. In einer Zero-Trust-Architektur ist eine solche zentrale, protokollbasierte Identitätsschicht eine der Grundvoraussetzungen, weil jede Zugriffsentscheidung ein verlässliches Identitätssignal braucht.

architecture-beta
    group user(cloud)["Nutzer"]
    group okta(cloud)["Okta SaaS"]
    group apps(server)["Anwendungen"]
    group legal(cloud)["Anbieter Rechtsraum"]
    service device(cloud)["Nutzer und Gerät"] in user
    service idp(server)["Identity Provider"] in okta
    service protocols(server)["OIDC SAML SCIM"] in okta
    service app(server)["Interne und SaaS Apps"] in apps
    service cells(database)["Okta Zellen"] in legal
    service law(cloud)["US Recht CLOUD Act"] in legal
    device:R -- L:idp
    idp:R -- L:protocols
    protocols:R -- L:app
    idp:B -- T:cells
    cells:R -- L:law

Das Diagramm zeigt den Kern der Einordnung: Die Identitätsschicht ist funktional stark, doch der Kontrollpunkt liegt beim Anbieter und in dessen Rechtsraum. Wo dieser Punkt liegt, entscheidet die gewählte Rechenzentrumszelle, nicht der Standort der Nutzerinnen und Nutzer.

Die Datenlage

Okta verarbeitet Identitätsdaten in eigenen Zellen und bietet eine Auswahl an Regionen an, darunter die USA, EMEA, Japan, Australien, Kanada und Indien. Kundinnen und Kunden können bei der Einrichtung eine Region wählen, um Anforderungen an die Datenresidenz zu adressieren. Das verschiebt den physischen Speicherort, ändert aber nichts an der Anbieternatur: Okta bleibt ein US-Unternehmen und unterliegt US-Recht. Sobald Personendaten in die Plattform fliessen, greift in der Schweiz das revidierte Datenschutzgesetz (revDSG); bei einem US-Anbieter kommt zusätzlich der US Cloud Act hinzu, der US-Behörden unter bestimmten Bedingungen Zugriff auf Daten eines US-Unternehmens ermöglichen kann, auch wenn diese in der EU oder anderswo gespeichert sind. Eine EMEA-Zelle löst diese rechtliche Frage also nicht vollständig; sie verbessert die Datenresidenz, hebt die Anbieterzugehörigkeit aber nicht auf.

Identität ist zudem ein besonders sensibler Datentyp. Wer die Authentifizierung auslagert, gibt einen zentralen Kontrollpunkt aus der Hand. Das Risiko ist nicht theoretisch: Bei einem Vorfall im Herbst 2023 erlangte ein Angreifer über ein im Support-System gespeichertes Dienstkonto Zugriff auf Support-Fallakten. In hochgeladenen HAR-Dateien enthaltene Sitzungstoken liessen sich für Session-Hijacking nutzen; Okta bezifferte die direkt betroffenen Kunden zunächst auf 134, also weniger als ein Prozent. Eine spätere Auswertung ergab, dass ein heruntergeladener Bericht Namen und E-Mail-Adressen nahezu aller Support-Nutzer der betroffenen Produktlinien enthielt. Der Vorfall illustriert, warum eine ausgelagerte Identitätsschicht ein attraktives Ziel ist und warum die Anbieterwahl eine Vertrauensentscheidung bleibt.

Kontrast zur Souveränität

Der Reiz von Okta liegt in der Geschwindigkeit: ein gehosteter Dienst, ein breites Integrationsnetzwerk, wenig Eigenbetrieb. Der Preis ist die Abhängigkeit von einem externen US-Anbieter für eine der sensibelsten Schichten der IT. Die gegenteilige Haltung ist der Selbstbetrieb einer offenen Identitätsschicht. Keycloak deckt dieselben Protokolle ab, läuft aber auf eigener Infrastruktur und hält die Nutzerdaten im eigenen Haus. Als weitere quelloffene Option positioniert sich authentik, ebenfalls selbst betreibbar. Die Wahl zwischen Okta und einer selbst betriebenen Lösung ist damit weniger eine Funktions- als eine Kontrollfrage. Wie sich diese Frage entlang von Kosten, Risiko und Betriebsaufwand strukturieren lässt, behandelt die Strategieseite Digitale Souveränität.

Für Schweizer Organisationen mit erhöhtem Schutzbedarf verschiebt sich die Abwägung häufig in Richtung Eigenbetrieb. Entscheidend sind dann die strukturierte Einordnung eines Identitätsanbieters nach Risikoklasse und Datenfluss sowie die Prüfung der rechtlichen und Lieferketten-Seite, etwa der Sub-Auftragsverarbeiter eines US-Anbieters.

Einordnung

  • Stärke. Ausgereifte, breit integrierte Identitätsplattform mit Standardprotokollen und geringem Eigenbetrieb. Ein nachvollziehbarer Marktstandard für schnell skalierende Umgebungen.
  • Grenze. Proprietär und an einen US-Anbieter gebunden. Eine regionale Zelle verbessert die Datenresidenz, löst aber die Frage des Rechtsraums nicht.
  • Eignung. Sinnvoll, wo Geschwindigkeit und Integrationsbreite zählen und der Schutzbedarf der Identitätsdaten den US-Bezug verträgt. Bei erhöhtem Schutzbedarf gehört eine selbst betriebene Alternative ehrlich in die Abwägung.

Referenzen


Verwandte Themen

  • Keycloak, die quelloffene, selbst betreibbare Alternative mit denselben Protokollen.
  • Zero Trust, die Architektur, für die eine zentrale Identitätsschicht Grundvoraussetzung ist.
  • Digitale Souveränität, der Rahmen für die Kontrollfrage hinter der Anbieterwahl.
  • US Cloud Act, der rechtliche Hebel, der einen US-Anbieter unabhängig vom Speicherort betrifft.
  • nFADP / revDSG, der Schweizer Datenschutz, der bei Personendaten greift.

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.