Skip to content

Was ist föderierte Authentifizierung?

Heutzutage sind viele Mitarbeiter in der Lage, von überall aus zu arbeiten, über mehrere Plattformen, Standorte und Zeitzonen hinweg. Um dies zu ermöglichen, verlassen sie sich zunehmend auf Cloud-basierte SaaS-Systeme. Doch wie jede andere Unternehmensressource müssen auch diese Systeme vor unbefugtem Zugriff geschützt werden. Mit der föderierten Authentifizierung können Benutzer mit einer einzigen Identität auf solche Systeme zugreifen. Anstatt für jeden Dienst eine eigene Anmeldung zu benötigen, brauchen Benutzer nur eine.

Wie funktioniert die föderierte Authentifizierung?

Die föderierte Authentifizierung ist ein System, bei dem die Benutzeridentität und -autorisierung von einem Identitätsanbieter (IdP) verwaltet wird, der als vertrauenswürdiger Dritter fungiert.

Es funktioniert folgendermaßen: Wenn ein Benutzer einen Dienst besucht, den er nutzen möchte, wird er zur Authentifizierung automatisch an den IdP weitergeleitet. Der IdP verifiziert den Benutzer und sendet ein sicheres Autorisierungs-Token (in der Regel eine XML-Datei) an den Dienst, der dem Benutzer dann den Zugang gewährt.

Ohne Verbundauthentifizierung müsste sich der Benutzer jedes Mal authentifizieren, wenn er Zugang zu einem anderen Dienstanbieter wünscht. Damit können Benutzer auf mehrere Dienste zugreifen, sobald sie bei ihrem IdP autorisiert sind. Damit entfällt die Notwendigkeit, sich mehrere Anmeldungen und Kennwörter zu merken.

Warum ist föderierte Authentifizierung wichtig?

Durch die föderierte Authentifizierung wird die Notwendigkeit, sich Passwörter zu merken oder zu verwalten, minimiert. Außerdem können sich Benutzer freier zwischen Systemen bewegen, ohne ständig neue Anmeldedaten eingeben zu müssen. Gleichzeitig behält ein Unternehmen die Kontrolle über den Zugriff auf Unternehmensressourcen durch Authentifizierung, Autorisierung und Vertrauen.

Föderierte Authentifizierung vs. Single Sign-On (SSO)

Während Single Sign-On (SSO) Benutzern die Möglichkeit gibt, sich mit einem einzigen Satz von Anmeldeinformationen über die Systeme eines Unternehmens hinweg zu authentifizieren, ermöglicht die föderierte Authentifizierung die Verwendung einer einzigen Anmeldeinformation und eines IdP für den Zugriff auf zahlreiche Dienste und Anwendungen von mehreren Unternehmen. Mit anderen Worten: Während SSO den Mitarbeitern den sicheren Zugriff auf eine Reihe von Systemen ermöglicht, können sie bei der föderierten Authentifizierung jedes System nutzen, das diesen IdP unterstützt.

Protokolle für föderierte Authentifizierung

Zu den wichtigsten Protokollen für die föderierte Authentifizierung gehören Security Assertion Markup Language (SAML), Open ID und OAuth 2. Alle drei bieten die Technologien, die IdPs benötigen, um eine sichere Autorisierung über mehrere Dienste hinweg zu ermöglichen.

Security Assertion Markup Language (SAML): SAML ist ein eigenständiger und weit verbreiteter offener Standard, der es IdPs ermöglicht, Benutzer zu authentifizieren. Er stützt sich auf die Extensible Markup Language (XML).

OAuth 2: OAuth ist ein offenes Standard-Autorisierungsprotokoll, mit dem mehrere Dienste authentifiziert werden können, ohne dass die ursprünglichen Anmeldeinformationen gemeinsam genutzt werden. Die Idee ist, dass die für einen Dienst erteilte Autorisierung an anderer Stelle durch die Verwendung von Authentifizierungs-Tokens anerkannt wird.

OpenID: OpenID fügt eine Identitätsauthentifizierungsschicht zu OAuth 2 hinzu, um zusätzliche Sicherheit zu bieten. Sie wird von vielen bekannten Diensten verwendet, darunter Facebook, Microsoft, Google und PayPal.

Wenn Ihr Unternehmen Microsoft Azure Active Directory (Azure AD) oder Google Workspace als IdP verwendet, können Sie die föderierte Authentifizierung verwenden, um eine Verbindung mit Apple Business Manager herzustellen, wie hier im Detail erläutert. Nach der Anmeldung verwenden die Mitarbeiter ihre Azure- oder Workspace-Anmeldedaten als verwaltete Apple IDs, die ihrerseits für den Zugriff auf Apple Dienste verwendet werden können. Das bedeutet, dass die Mitarbeiter nur ihre Azure- oder Google-Anmeldedaten für die Anmeldung benötigen. Die Integration verwendet SAML, um Anmeldedaten zwischen dem IdP und dem Apple Business Manager zu übertragen.

Die Vorteile der föderierten Authentifizierung

Der große Vorteil der föderierten Authentifizierung besteht darin, dass sie dazu beitragen kann, die Angriffsfläche eines Unternehmens zu verringern und gleichzeitig den Nutzern und der IT-Abteilung ein besseres Nutzererlebnis zu bieten.

Reduzierter Overhead

Service-Provider können den technologischen Verwaltungsaufwand für den Aufbau und die Wartung ihrer eigenen Autorisierungssysteme an vertrauenswürdige Dritte mit ausreichenden Ressourcen für diese Aufgabe weitergeben. Dadurch werden redundante Systeme vermieden, der Aufwand für den IT-Support verringert und die Möglichkeit geschaffen, Richtlinien und Kontrollen für verwaltete Geräte aus der Ferne festzulegen.

Bessere Sicherheit

Die US-Regierung ist sich der Notwendigkeit bewusst, das digitale Unternehmen zu sichern. Seit 2004 verlangt sie für den Zugriff auf Regierungssysteme die Verwendung sicherer Berechtigungsnachweise, und verschiedene Sicherheitsabteilungen der Regierung arbeiten gemeinsam an einem einheitlichen Identifikationsstandard.

Bessere Benutzerfreundlichkeit

Die föderierte Authentifizierung bietet Sicherheit und Komfort in einer nahezu reibungslosen Benutzererfahrung. Durch die Bereitstellung eines zentralen Vertrauenspunkts für die Autorisierung unterstützt sie Anbieter von Sicherheitsdiensten und Geschäftssystemen, die von einem vertrauenswürdigen Multifaktorschutz und einer Reduzierung der Kosten für Betrugserkennung und technischen Support profitieren.

Bleiben Sie auf dem Laufenden

Irus wöchentliche Sammlung von Artikeln, Videos und Forschungsergebnissen, um IT- und Sicherheitsteams einen Vorsprung zu verschaffen.