Ein häufiges Problem, mit dem sich Unternehmen heutzutage konfrontiert sehen, ist der Umgang mit digitalen Identitäten im Zuge sich verändernder, hybrider IT- und Arbeitsplatzkonzepte. Es stellt sich eine zentrale Frage: Wie lassen sich digitale Identitäten, die bisher vor allem in On-Premises-Umgebungen zum Einsatz kamen, in einem immer stärker von Web Services geprägten Umfeld nutzen und kompatibel gestalten? Einer der ersten und am weitesten verbreiteten Ansätze ist SAML (Security Assertion Markup Language) und Identity Federation.
Eine kurze Geschichte von SAML und Identity Federation
Vereinfacht ausgedrückt ist SAML die Spezifikation für die Interoperabilität: Vereint werden Protokolle, die in drei Rollen definiert sind:
- Das Subjekt (oder Auftraggeber) als ein menschlicher Benutzer wie z.B. ein/e Mitarbeiter
- Der Identitätsanbieter (IdP) als Quelle für Benutzerattribute und Berechtigungsinformationen
- Der Service Provider (SP) als Anwendung, System oder Dienst, auf den der Benutzer zugreifen möchte.
Identity Federation ist ein Konzept zur Übertragung und Weiterverwendung von digitalen Identitäten. Ziel ist es, den Benutzern einer Domäne den sicheren Zugriff auf Anwendungen, Daten und Systeme zu ermöglichen, ohne dass eine redundante Benutzerverwaltung erforderlich ist. Genau wie SAML ist auch Web Services Federation (WS-Fed) standardisiert, um die Verbindung verschiedener Umgebungen zu ermöglichen.
Sowohl SAML als auch Identity Federation nehmen beim Workforce Access Management eine Schlüsselrolle ein, jedoch gibt es in beiden Fällen keine Vorgaben im Hinblick auf die zu verwendende Authentifizierungsmethode des Identitätsanbieters.
Cloud-Ära, Entwickler und fehlender Identity Layer des Internets
Als Entwickler begannen, auf öffentlichen Cloud-Infrastrukturen und mobilen Plattformen aufzusetzen, wurde schnell klar, dass sich der Komplexität der Identity Federation auch jenseits von On-Premises-Umgebungen Rechnung tragen lässt. Aus der Not heraus, eine Identitätsebene mit Skalierungsmöglichkeiten im Rahmen der Internetnutzung zu schaffen, wurde die Idee von OpenID geboren – ebenso wie das Industrie-Standardprotokoll OAuth zur Autorisierung. OAuth legt den Fokus gezielt auf Anwenderfreundlichkeit auf Client-Seite und bietet gleichzeitig spezifische Autorisierungsprozesse für Web- und Desktop-Anwendungen sowie Smartphones und viele andere vernetzte Geräte. Die nächste Stufe in der Weiterentwicklung der Autorisierungsstandards stellt OpenID Connect dar.
OpenID Connect im Überblick
OpenID Connect (OIDC) ist ein Identitätsprotokoll, das auf dem OAuth 2.0-Framework aufbaut und es Webdiensten ermöglicht, Authentifizierungsfunktionen an eine dritte Partei auszulagern. Es versetzt Client-Systeme in die Lage, die Identität eines Endbenutzers durch Authentifizierungen per Autorisierungsserver zu bestätigen und grundlegende Profilinformationen über den Endbenutzer zu erhalten – und zwar auf interoperable, JSON- bzw. REST-basierte Art und Weise.
Warum ist OpenID Connect (OIDC) so wichtig?
- OIDC ermöglicht es Entwicklern und Anwendungsverantwortlichen, menschliche Benutzer über Anwendungen und Websites hinweg zu authentifizieren, ohne selbst Identitäten erstellen, verwalten und pflegen zu müssen.
- Mit OIDC kann man Single Sign-On (SSO) anbieten und den Zugriff auf Anwendungen über bestehende Unternehmens- oder Social-Accounts zulassen – für mehr Benutzerfreundlichkeit, Sicherheit und Datenschutz.
- OIDC bietet Consent Management und Unterstützung für hybride und Multi-Cloud-Umgebungen. Zudem sind einer Erweiterung der Einsatzszenarien im Hinblick auf neue Endgeräte keine Grenzen gesetzt.
- OIDC verbessert die Benutzerfreundlichkeit (UX) durch schlanke Authentifizierung und Autorisierung, feingranulares Consent Management und zusätzliche Verifizierung durch MFA-Methoden.
- OIDC ist ein Ersatz für SAML.
Bei WatchGuard unterstützen wir mit unserer Identity Fabric auf Basis der WatchGuard Cloud die neuen Autorisierungsstandards und Identity-Federation-Protokolle. So nehmen wir gezielt Kurs auf AuthPoint 2.0.
Möchten Sie mehr über den Schutz digitaler Identitäten erfahren? Dann lesen Sie auch unseren englischsprachigen Blog-Beitrag (Re)Imagine Workplace Access Management.