Token Exchange: Sichere Authentifizierung über Identity-Provider-Grenzen

Der wachsende Einsatz von KI-Agenten, APIs und Microservices stellt Unternehmen vor neue Herausforderungen bei der Authentifizierung über verschiedene Sicherheitsdomänen. Mit Token Exchange nach RFC 8693 bietet sich ein standardisierter Lösungsansatz für das domänenübergreifende Identitätsmanagement.

Die fortschreitende Integration künstlicher Intelligenz in Unternehmensprozesse schafft neue Anforderungen an Identitätsmanagementsysteme. Organisationen setzen vermehrt auf unternehmenseigene Chatbots und KI-gestützte Automatisierungslösungen. Diese benötigen Zugriff auf Datenquellen unterschiedlicher Sicherheitsbereiche – eine technische Hürde, die sich mit herkömmlichen Ansätzen oft nur aufwendig überwinden lässt.

Typischerweise stoßen Anwender an Grenzen, wenn Systeme mit getrennten Identity Providern aufeinandertreffen. Ein Zugriff etwa von einer Microsoft-365-Umgebung mit Entra ID auf SAP-Anwendungen erfordert zusätzliche Authentifizierungsschritte. Der Sicherheitsanbieter Airlock verzeichnet nach eigenen Angaben aktuell verstärktes Interesse an Lösungen, die solche Szenarien beim gleichzeitigen Betrieb mehrerer Identitätsdomänen wirtschaftlich abbilden können.

Standardisierte Übersetzung zwischen Identitätssystemen

Die Token-Exchange-Funktionalität basiert auf der OAuth-2.0-Spezifikation RFC 8693, die Airlock 2024 in sein Produktportfolio aufgenommen hat. Das Verfahren ermöglicht die Übersetzung von Berechtigungsnachweisen zwischen verschiedenen Authentifizierungssystemen, unabhängig von der Anzahl beteiligter Identity Provider oder spezifischer Sicherheitsvorgaben.

Der Ansatz funktioniert nach dem Dolmetscherprinzip: Eingehende Token werden validiert und in neue Token transformiert, die für andere Sicherheitsdomänen gültig sind. Dabei können Parameter wie Signaturschlüssel, Subject-Identität, Audience oder Scopes angepasst werden. Dies ermöglicht granulare, auf einzelne Zugriffe beschränkte Berechtigungen im Sinne des Zero-Trust-Konzepts.

Ein wesentlicher Vorteil liegt in der Vermeidung umfangreicher Anpassungen einzelner Identitätsverwaltungssysteme. Der Brückenschlag über Token Exchange verursacht geringere Implementierungskosten und beschränkt sich nicht auf maschinelle Identitäten, sondern unterstützt ebenso menschliche Benutzer.

Relevanz für Microservices-Architekturen

Besondere Bedeutung gewinnt das Konzept in Kubernetes-Umgebungen. Die zunehmende Verbreitung von Microservices-Architekturen erfordert sowohl die sichere Kommunikation über Domänengrenzen als auch Schutzmechanismen gegen unbefugten Zugriff. Airlock setzt hier auf identitätszentrierte, dezentrale Kontrolle mit einem Token-Exchange-Server in der Vermittlungsrolle.

Ein vorgeschaltetes Microgateway übernimmt die Validierung von OIDC- oder JWT-Token und prüft deren Gültigkeit, bevor der Zugriff auf den entsprechenden Microservice freigegeben wird. Diese Architektur verhindert, dass kompromittierte Systeme als Ausgangspunkt für weiterführende Angriffe dienen können.

Praxiseinsatz bei den Schweizerischen Bundesbahnen

Die Lösung ist vollständig in die IAM-Plattform von Airlock integriert. Die standardisierte, zentrale Authentifizierungsinfrastruktur bietet neben Skalierbarkeit insbesondere hohe Verfügbarkeit und Systemsicherheit – auch in Multi-Cloud-Szenarien.

Anforderungen an moderne IT-Landschaften

Die Autorisierung von Identitäten über Domänengrenzen in hybriden IT-Umgebungen – bestehend aus Cloud-, On-Premises- und Kubernetes-Komponenten – stellt Sicherheitsverantwortliche vor komplexe Aufgaben. Lösungen müssen dabei Agilität und Benutzerfreundlichkeit gewährleisten.

Token Exchange adressiert diese Anforderungen durch Standardisierung und zentrale Steuerung. Die Technologie minimiert Inkonsistenzen bei Berechtigungen und verbessert die Nachvollziehbarkeit von Zugriffen – zwei zentrale Aspekte für Compliance und Sicherheitsanalysen.

Weiterführende technische Details bietet Airlock in einem Whitepaper unter: www.airlock.com/sprechen-sie-token

Hier geht’s weiter

---