STACKIT IdP verstehen

STACKIT IdP ist ein Authentifizierungssystem, das Ihnen eine feingranulare Zugriffsverwaltung für Ihre STACKIT-Ressourcen ermöglicht. Die folgenden Abschnitte erklären wichtige Begriffe, die Ihnen helfen, STACKIT IdP zu verstehen.

Identitätsanbieter

Ein Identitätsanbieter (IdP) ist ein System, das die Identität eines Benutzers bestätigt. Er stellt den Anwendungen oder Diensten, die auf ihn angewiesen sind, Authentifizierungszusicherungen aus. Ein IdP verwaltet digitale Identitäten und stellt sicher, dass Benutzer sicher nachweisen können, wer sie sind, bevor sie auf Ressourcen zugreifen.

Authentifizierung vs. Autorisierung

Wenn Sie den Zugriff verwalten, müssen Sie den Unterschied zwischen Authentifizierung und Autorisierung verstehen:

• Authentifizierung: Dies ist der Prozess der Bestätigung der Identität eines Benutzers. Er beantwortet die Frage: „Sind Sie der, für den Sie sich ausgeben?“. Ein IdP kümmert sich hauptsächlich um die Authentifizierung, indem er die Zugangsdaten eines Benutzers bestätigt.
• Autorisierung: Dies ist der Prozess, bei dem entschieden wird, was ein Benutzer tun oder worauf er zugreifen darf, nachdem er authentifiziert wurde. Er beantwortet die Frage: „Was dürfen Sie tun?“. Ein IdP konzentriert sich hauptsächlich auf die Authentifizierung, stellt aber oft Identitätsinformationen wie Rollen zur Verfügung, die andere Systeme zur Autorisierung verwenden.

Relying Party oder Service Provider

Eine Relying Party (RP), auch Service Provider (SP) genannt, ist eine Anwendung oder ein Dienst, der die Benutzerauthentifizierung an einen Identitätsanbieter delegiert. Der IdP verifiziert die Identität des Benutzers, und die Relying Party vertraut der Zusicherung des IdP, um dem Benutzer Zugriff auf ihre Ressourcen zu gewähren. Dieses Setup ermöglicht es Anwendungen, Authentifizierungsaufgaben an einen spezialisierten IdP abzugeben.

Identity-Claims und Tokens

Identity-Claims und Tokens sind die wichtigsten Methoden zum Austausch von Benutzeridentitätsinformationen:

• Claims: Dies sind Aussagen über einen Benutzer, wie z. B. sein Name, seine E-Mail-Adresse oder zugewiesene Rollen, die ein IdP nach einer erfolgreichen Authentifizierung als wahr bestätigt.
• Tokens: Dies sind digitale Objekte, oft JSON Web Tokens (JWTs) oder SAML-Zusicherungen, die diese Claims enthalten. Der IdP signiert diese Tokens digital, um sicherzustellen, dass sie authentisch sind und nicht verändert wurden. Anwendungen erhalten diese Tokens vom IdP, um die Identität zu verifizieren und Benutzerattribute zu erhalten.

Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, bei der Benutzer zwei oder mehr unterschiedliche Verifizierungsfaktoren angeben müssen, um Zugriff auf eine Ressource zu erhalten. MFA verbessert die Sicherheit erheblich, indem es über einen Benutzernamen und ein Passwort hinaus zusätzliche Ebenen hinzufügt.

Häufige Faktoren sind:

• Etwas, das Sie wissen: Ein Passwort oder eine PIN.
• Etwas, das Sie haben: Ein Telefon, ein Hardware-Token oder eine Smartcard.
• Etwas, das Sie sind: Ein biometrisches Merkmal, wie ein Fingerabdruck oder ein Gesichtsscan.

Single Sign-On (SSO)

Single Sign-On (SSO) ist ein Authentifizierungsprozess, der es einem Benutzer ermöglicht, auf mehrere verschiedene Anwendungen oder Systeme zuzugreifen, nachdem er sich einmal mit einem einzigen Satz von Zugangsdaten angemeldet hat. Dies vereinfacht die Benutzererfahrung, da die wiederholte Eingabe von Benutzernamen und Passwörtern für jeden Dienst entfällt. Es vereinfacht auch die Passwortverwaltung für Benutzer und verbessert die Sicherheit durch die Zentralisierung der Authentifizierung.

Benutzer-Provisioning

Das Benutzer-Provisioning ist der automatisierte Prozess des Erstellens, Aktualisierens und Verwaltens von Benutzerkonten und deren zugehörigen Zugriffsrechten über verschiedene Systeme und Anwendungen hinweg. Es stellt sicher, dass Benutzern die entsprechenden Zugriffsberechtigungen basierend auf ihrer Rolle innerhalb einer Organisation gewährt werden. Diese Berechtigungen werden umgehend entzogen, wenn sich die Rolle eines Benutzers ändert oder er die Organisation verlässt. Diese Automatisierung reduziert den manuellen Aufwand, minimiert Fehler und verbessert die Sicherheit durch die Aufrechterhaltung einer genauen Zugriffskontrolle.

System for Cross-domain Identity Management (SCIM)

SCIM, oder System for Cross-domain Identity Management, ist ein offenes Standardprotokoll, das entwickelt wurde, um den Austausch von Benutzeridentitätsinformationen zwischen verschiedenen Identitätsdomänen oder IT-Systemen zu automatisieren. Es bietet eine standardisierte Methode zur Durchführung gängiger Operationen der Identitätsverwaltung, wie z. B. das Erstellen, Aktualisieren und Deaktivieren von Benutzerkonten und Gruppenmitgliedschaften über verschiedene Anwendungen und Cloud-Dienste hinweg. Durch die Bereitstellung einer gemeinsamen Sprache und einer standardisierten API reduziert SCIM den manuellen Aufwand und das Fehlerpotenzial bei der Verwaltung von Benutzeridentitäten über mehrere Plattformen hinweg erheblich. Dies gewährleistet eine konsistente und sichere Zugriffskontrolle.

OAuth 2.0

OAuth 2.0 ist ein branchenübliches Autorisierungs-Framework, das es Anwendungen ermöglicht, eingeschränkten Zugriff auf Benutzerkonten bei einem HTTP-Dienst, wie z. B. einer Social-Media-Plattform oder einem Cloud-Speicher, zu erhalten. Es funktioniert, indem es einem Benutzer erlaubt, einer Drittanbieter-Anwendung Zugriff auf seine Informationen zu gewähren, ohne seine eigentlichen Zugangsdaten preiszugeben.

Anstatt Zugangsdaten weiterzugeben, autorisiert der Benutzer die Anwendung, in seinem Namen auf bestimmte Ressourcen zuzugreifen. Die Anwendung erhält ein Zugriffstoken von einem Autorisierungsserver. Dieses Token repräsentiert die gewährten Berechtigungen und wird verwendet, um Anfragen an den Ressourcenserver zu stellen. OAuth 2.0 konzentriert sich nur auf die Autorisierung, nicht auf die Authentifizierung, was es zu einer Schlüsselkomponente für sicheren delegierten Zugriff in modernen Web- und mobilen Anwendungen macht.

OpenID Connect (OIDC)

OpenID Connect (OIDC) ist eine Authentifizierungsschicht, die auf dem OAuth 2.0-Autorisierungs-Framework aufbaut. Während OAuth 2.0 hauptsächlich die Autorisierung handhabt, erweitert OIDC es, um die Benutzerauthentifizierung durchzuführen. Ein IdP, der OIDC verwendet, verifiziert die Identität des Benutzers und stellt grundlegende Profilinformationen auf sichere, standardisierte Weise bereit.

Wenn sich ein Benutzer authentifiziert, stellt der IdP ein ID-Token aus, bei dem es sich um ein JSON Web Token (JWT) handelt. Dieses Token enthält verifizierbare „Claims“ über den Benutzer, wie z. B. seine eindeutige Kennung, seinen Namen und seine E-Mail-Adresse. OIDC ist aufgrund seiner Einfachheit, Flexibilität und Eignung für mobile und Webanwendungen weit verbreitet und ermöglicht eine sichere Identitätsverifizierung über verschiedene Plattformen hinweg.

SAML 2.0 (Security Assertion Markup Language)

SAML 2.0 (Security Assertion Markup Language) ist ein XML-basiertes Protokoll, das für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter (IdP) und einem Service Provider (SP) verwendet wird. Es ist ein grundlegender Standard für webbasiertes Single Sign-On (SSO) über verschiedene Sicherheitsdomänen hinweg.

In einem SAML-Flow stellt der IdP nach der Authentifizierung eines Benutzers eine SAML-Zusicherung aus. Dies ist ein XML-Dokument, das Aussagen über die Identität und Attribute des Benutzers enthält. Diese Zusicherung wird dann an den Service Provider gesendet, der dem IdP vertraut und die Zusicherung verwendet, um dem Benutzer Zugriff zu gewähren. SAML ist aufgrund seiner starken Sicherheitsfunktionen und seiner breiten Unterstützung besonders in Unternehmensumgebungen für das föderierte Identitätsmanagement verbreitet.