Was ist ein Identitätsanbieter (Identity Provider oder IdP?)

Ein Identitätsanbieter (IdP) ist ein Dienst, der die Identität eines Benutzers speichert und verifiziert. IdPs sind in der Regel Cloud-gehostete Dienste. Oft arbeiten sie mit Single-Sign-On-Providern (SSO) zusammen, um Benutzer zu authentifizieren.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • „Identitätsanbieter“ (IdP) definieren
  • Verstehen, warum IdPs wichtig sind
  • Verstehen, welche Rolle ein IdP bei der Benutzerauthentifizierung spielt

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Identitätsanbieter (Identity Provider oder IdP?)

Ein Identitätsanbieter (IdP oder IDP) speichert und verwaltet die digitalen Identitäten von Benutzern. Sie können sich einen IdP wie eine Gästeliste vorstellen, jedoch nicht für Veranstaltungen, sondern für digitale und Cloud-gehostete Anwendungen. Ein IdP kann Benutzeridentitäten beispielsweise anhand von Kombinationen aus Benutzernamen und Passwort verifizieren. Alternativ kann er auch einfach einem anderen Dienstanbieter (z. B. einem SSO-Dienst) eine Liste von Benutzeridentitäten zur Verfügung stellen, um diese überprüfen zu lassen.

IdPs sind nicht darauf beschränkt, menschliche Benutzer zu verifizieren. Technisch gesehen kann ein IdP jede Entität authentifizieren, die mit einem Netzwerk oder einem System verbunden ist – einschließlich Computern und anderen Geräten. Jede von einem IdP gespeicherte Entität wird als „Prinzipal“ (anstelle von „Benutzer“) bezeichnet. Am häufigsten werden IdPs jedoch beim Cloud-Computing zur Verwaltung von Benutzeridentitäten verwendet.

Was ist eine Benutzeridentität?

Die digitale Benutzeridentität ist mit quantifizierbaren Faktoren verbunden, die durch ein Computersystem verifiziert werden können. Diese Faktoren werden als „Authentifizierungsfaktoren“ bezeichnet. Es gibt drei Authentifizierungsfaktoren:

  • Wissen: etwas, das Sie kennen, z. B. einen Benutzernamen und ein Passwort
  • Besitz: etwas, das Sie besitzen, z. B. ein Smartphone
  • Inhärente Eigenschaften: etwas, das Sie kennzeichnet, z. B. ein Fingerabdruck oder ein Netzhaut-Scan

Ein IdP kann einen oder mehrere dieser Faktoren verwenden, um einen Nutzer zu identifizieren. Die Verwendung mehrerer Faktoren zur Verifizierung der Nutzeridentität wird als Multi-Faktor-Authentifizierung (MFA) bezeichnet.

Warum sind IdPs notwendig?

Digitale Identitäten müssen irgendwo nachverfolgt werden, insbesondere beim Cloud-Computing, wo die Identität des Benutzers darüber entscheidet, ob jemand auf sensible Daten zugreifen kann oder nicht. Cloud-Dienste müssen genau wissen, wo und wie Benutzeridentitäten abgerufen und überprüft werden können.

Aufzeichnungen von Benutzeridentitäten müssen außerdem sicher aufbewahrt werden, damit Angreifer sie nicht dafür verwenden können, sich als bestimmte Benutzer auszugeben. Ein Cloud-Identitätsanbieter trifft in der Regel zusätzliche Vorkehrungen zum Schutz der Benutzerdaten, während ein Dienst, der nicht ausschließlich der Speicherung von Identitäten dient, diese möglicherweise an einem ungesicherten Ort speichert, z. B. auf einem vom Internet aus zugänglichen Server.

Wie arbeiten IdPs mit SSO-Diensten zusammen?

Ein Single-Sign-On-Dienst (oft SSO genannt) bietet eine vereinheitlichte Stelle, an der sich Benutzer bei allen ihren Cloud-Diensten gleichzeitig anmelden können. SSO ist nicht nur bequemer für Benutzer, sondern macht die Benutzeranmeldung oft auch sicherer.

In den meisten Fällen sind SSOs und IdPs voneinander getrennt. Ein SSO-Dienst setzt einen IdP zur Überprüfung der Benutzeridentität ein, aber er speichert diese nicht. Ein SSO-Provider gleicht eher einem Vermittler als einer zentralen Anlaufstelle. Sie können ihn sich als Bewachungsfirma vorstellen, die beauftragt wird, für die Sicherheit eines Unternehmens zu sorgen, aber kein eigentlicher Teil dieses Unternehmens ist.

Obwohl es sich um separate Einheiten handelt, sind IdPs ein wesentlicher Bestandteil des SSO-Anmeldeprozesses. SSO-Provider überprüfen die Benutzeridentität mithilfe des IdPs, wenn sich Benutzer anmelden. Sobald das geschehen ist, kann der SSO-Dienst die Benutzeridentität mit einer beliebigen Anzahl verbundener Cloud-Anwendungen überprüfen.

Das ist jedoch nicht immer der Fall. Ein SSO-Dienst und ein IdP könnten theoretisch ein und derselbe sein. Dieses Setup ist jedoch viel anfälliger für On-Path-Angriffe, bei denen ein Angreifer eine SAML-Assertion* fälscht, um sich Zugang zu einer Anwendung zu verschaffen. Aus diesem Grund sind IdP und SSO in der Regel voneinander getrennt.

*Eine SAML-Assertion ist eine spezielle Nachricht, die von SSO-Diensten an Cloud-Anwendungen gesendet wird, die Benutzerauthentifizierungen bestätigen, damit der Benutzer auf die Anwendungen zugreifen und sie nutzen kann.

Wie sieht das alles in der Praxis aus?

Angenommen, Alice benutzt ihren Arbeitslaptop im Büro ihres Arbeitgebers. Sie muss sich regelmäßig in die Live-Chat-Anwendung des Unternehmens einloggen, um sich mit ihren Kollegen besser absprechen zu können. Dazu öffnet sie einen Tab in ihrem Browser und lädt die Chat-Anwendung. Wenn wir annehmen, dass ihr Unternehmen einen SSO-Dienst nutzt, finden hinter den Kulissen die folgenden Schritte statt:

  • Die Chat-App bittet den SSO-Dienst um Alices Identitätsprüfung.
  • Der SSO-Dienst sieht, dass Alice sich noch nicht angemeldet hat.
  • Der SSO-Dienst fordert Alice auf, sich anzumelden.

Zu diesem Zeitpunkt leitet Alices Browser sie zur SSO-Anmeldeseite um. Die Seite enthält Felder, in die Alice ihren Benutzernamen und ihr Passwort eingeben kann. Da ihre Firma eine Zwei-Faktor-Authentifizierung verlangt, muss Alice auch einen kurzen Code eingeben, den der SSO-Dienst automatisch an ihr Smartphone sendet. Nachdem das geschehen ist, klickt sie auf „Anmelden“. Jetzt passiert Folgendes:

  • Der SSO-Dienst sendet eine SAML-Anfrage an den von Alices Unternehmen verwendeten IdP.
  • Der IdP sendet eine SAML-Antwort an den SSO-Dienst, in der Alices Identität bestätigt wird.
  • Der SSO-Dienst sendet eine SAML-Assertion an die Chat-Anwendung, die Alice ursprünglich verwenden wollte.

Alice wird wieder zurück zu ihrer Chat-Anwendung geleitet. Jetzt kann sie mit ihren Mitarbeitern chatten. Der ganze Vorgang dauerte nur ein paar Sekunden.

Wie lässt sich Cloudflare in den Identitätsanbieterprozess integrieren?

Cloudflare Zero Trust sorgt für die Sicherheit interner Teams, indem es mit SSOs und IdPs integriert wird, um den Zugriff der Nutzer zu verwalten.