Ein Identitätsanbieter (IdP) ist ein Dienst, der die Identität eines Benutzers speichert und verifiziert. IdPs sind in der Regel Cloud-gehostete Dienste. Oft arbeiten sie mit Single-Sign-On-Providern (SSO) zusammen, um Benutzer zu authentifizieren.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein Identitätsanbieter (IdP oder IDP) speichert und verwaltet die digitalen Identitäten von Benutzern. Sie können sich einen IdP wie eine Gästeliste vorstellen, jedoch nicht für Veranstaltungen, sondern für digitale und Cloud-gehostete Anwendungen. Ein IdP kann Benutzeridentitäten beispielsweise anhand von Kombinationen aus Benutzernamen und Passwort verifizieren. Alternativ kann er auch einfach einem anderen Dienstanbieter (z. B. einem SSO-Dienst) eine Liste von Benutzeridentitäten zur Verfügung stellen, um diese überprüfen zu lassen.
IdPs sind nicht darauf beschränkt, menschliche Benutzer zu verifizieren. Technisch gesehen kann ein IdP jede Entität authentifizieren, die mit einem Netzwerk oder einem System verbunden ist – einschließlich Computern und anderen Geräten. Jede von einem IdP gespeicherte Entität wird als „Prinzipal“ (anstelle von „Benutzer“) bezeichnet. Am häufigsten werden IdPs jedoch beim Cloud-Computing zur Verwaltung von Benutzeridentitäten verwendet.
Die digitale Benutzeridentität ist mit quantifizierbaren Faktoren verbunden, die durch ein Computersystem verifiziert werden können. Diese Faktoren werden als „Authentifizierungsfaktoren“ bezeichnet. Es gibt drei Authentifizierungsfaktoren:
Ein IdP kann einen oder mehrere dieser Faktoren verwenden, um einen Nutzer zu identifizieren. Die Verwendung mehrerer Faktoren zur Verifizierung der Nutzeridentität wird als Multi-Faktor-Authentifizierung (MFA) bezeichnet.
Digitale Identitäten müssen irgendwo nachverfolgt werden, insbesondere beim Cloud-Computing, wo die Identität des Benutzers darüber entscheidet, ob jemand auf sensible Daten zugreifen kann oder nicht. Cloud-Dienste müssen genau wissen, wo und wie Benutzeridentitäten abgerufen und überprüft werden können.
Aufzeichnungen von Benutzeridentitäten müssen außerdem sicher aufbewahrt werden, damit Angreifer sie nicht dafür verwenden können, sich als bestimmte Benutzer auszugeben. Ein Cloud-Identitätsanbieter trifft in der Regel zusätzliche Vorkehrungen zum Schutz der Benutzerdaten, während ein Dienst, der nicht ausschließlich der Speicherung von Identitäten dient, diese möglicherweise an einem ungesicherten Ort speichert, z. B. auf einem vom Internet aus zugänglichen Server.
Ein Single-Sign-On-Dienst (oft SSO genannt) bietet eine vereinheitlichte Stelle, an der sich Benutzer bei allen ihren Cloud-Diensten gleichzeitig anmelden können. SSO ist nicht nur bequemer für Benutzer, sondern macht die Benutzeranmeldung oft auch sicherer.
In den meisten Fällen sind SSOs und IdPs voneinander getrennt. Ein SSO-Dienst setzt einen IdP zur Überprüfung der Benutzeridentität ein, aber er speichert diese nicht. Ein SSO-Provider gleicht eher einem Vermittler als einer zentralen Anlaufstelle. Sie können ihn sich als Bewachungsfirma vorstellen, die beauftragt wird, für die Sicherheit eines Unternehmens zu sorgen, aber kein eigentlicher Teil dieses Unternehmens ist.
Obwohl es sich um separate Einheiten handelt, sind IdPs ein wesentlicher Bestandteil des SSO-Anmeldeprozesses. SSO-Provider überprüfen die Benutzeridentität mithilfe des IdPs, wenn sich Benutzer anmelden. Sobald das geschehen ist, kann der SSO-Dienst die Benutzeridentität mit einer beliebigen Anzahl verbundener Cloud-Anwendungen überprüfen.
Das ist jedoch nicht immer der Fall. Ein SSO-Dienst und ein IdP könnten theoretisch ein und derselbe sein. Dieses Setup ist jedoch viel anfälliger für On-Path-Angriffe, bei denen ein Angreifer eine SAML-Assertion* fälscht, um sich Zugang zu einer Anwendung zu verschaffen. Aus diesem Grund sind IdP und SSO in der Regel voneinander getrennt.
*Eine SAML-Assertion ist eine spezielle Nachricht, die von SSO-Diensten an Cloud-Anwendungen gesendet wird, die Benutzerauthentifizierungen bestätigen, damit der Benutzer auf die Anwendungen zugreifen und sie nutzen kann.
Wie sieht das alles in der Praxis aus?
Angenommen, Alice benutzt ihren Arbeitslaptop im Büro ihres Arbeitgebers. Sie muss sich regelmäßig in die Live-Chat-Anwendung des Unternehmens einloggen, um sich mit ihren Kollegen besser absprechen zu können. Dazu öffnet sie einen Tab in ihrem Browser und lädt die Chat-Anwendung. Wenn wir annehmen, dass ihr Unternehmen einen SSO-Dienst nutzt, finden hinter den Kulissen die folgenden Schritte statt:
Zu diesem Zeitpunkt leitet Alices Browser sie zur SSO-Anmeldeseite um. Die Seite enthält Felder, in die Alice ihren Benutzernamen und ihr Passwort eingeben kann. Da ihre Firma eine Zwei-Faktor-Authentifizierung verlangt, muss Alice auch einen kurzen Code eingeben, den der SSO-Dienst automatisch an ihr Smartphone sendet. Nachdem das geschehen ist, klickt sie auf „Anmelden“. Jetzt passiert Folgendes:
Alice wird wieder zurück zu ihrer Chat-Anwendung geleitet. Jetzt kann sie mit ihren Mitarbeitern chatten. Der ganze Vorgang dauerte nur ein paar Sekunden.
Cloudflare Zero Trust sorgt für die Sicherheit interner Teams, indem es mit SSOs und IdPs integriert wird, um den Zugriff der Nutzer zu verwalten.