Identitätsanbieter

Aus IT-Forensik Wiki
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.

Identitätsanbieter (engl. identity provider, abgekürzt IdP oder IDP)

Identitätsanbieter[1] sind Dienstleister welche Identitätsinformationen für Sicherheitsprinzipale[2] erstellen und verwalten.

Sie stellen Authentifizierungsdienste[3] (zur Bezeugung der Echtheit) für darauf aufbauende Anwendungen innerhalb eines Verbunds oder verteilten Netzwerks als Service (engl. user authentication as a service) bereit. Anwendungen von Drittanbietern, wie z. B. Webanwendungen, lagern den Schritt der Benutzerauthentifikation (Prüfung der Echtheit) an einen vertrauenswürdigen Identitätsanbieter aus. Diese Nutzung einer vertrauenden Partei wird als föderiert bezeichnet, d. h. sie verwendet föderierte Identitäten[4] (engl. Federated identity).

Ein Identitätsanbieter ist somit „ein vertrauenswürdiger Anbieter, mit dem über Single Sign-On (SSO) auf andere Websites zugegriffen werden kann“[5]. SSO verbessert die Benutzerfreundlichkeit, durch eine verringerte Passwortmüdigkeit. Es bietet auch eine bessere Sicherheit, indem es die potenzielle Angriffsfläche verringert. Identitätsanbieter können Verbindungen zwischen Cloud-Computing-Ressourcen und Benutzern erleichtern und so die Notwendigkeit einer erneuten Authentifikation (Echtheitsprüfung) der Benutzer bei der Nutzung mobiler und bereichswechselnder (roaming) Anwendungen verringern.

Arten von Identitätsanbietern

IndieAuth als dezentrales Authentifizierungsprotokoll (offener Standard)

Es nutzt OAuth 2.0[6] und ermöglicht es Diensten, die Identität eines durch eine URL repräsentierten Benutzers zu verifizieren sowie ein Zugriffstoken (ohne ein Kennwort zu übermitteln) zu erhalten, das für den Zugriff auf Ressourcen unter der Kontrolle des Benutzers verwendet werden kann. OAuth ist ein Protokoll für die Autorisierung[7]. Einige bekanntere (OAuth 2.0) Anbieter sind[8]:

  • Amazon
  • Apple
  • Bitly
  • Box
  • Deutsche Telekom
  • Discord
  • Dropbox
  • Facebook
  • GitHub
  • Google
  • Instagram
  • LinkedIn
  • Microsoft
  • Paypal
  • Reddit
  • Twitter
  • WeChat
  • XING

Security Assertion Markup Language (SAML)

SAML ist eine Sammlung von Profilen zum Austausch von Authentifizierungs- und Autorisierungsdaten über Sicherheitsdomänen hinweg. Im SAML-Domänenmodell ist ein Identitätsanbieter ein spezieller Typ einer Authentifizierungsinstanz. Genauer gesagt ist ein SAML-Identitätsanbieter eine Systeminstanz, die Authentifizierungszusagen in Verbindung mit einem SSO-Profil ausstellt. Ein bekanntes Beispiel hierfür ist Shibboleth[9]. SAML ist ein Protokoll für die Authentifizierung (Echtheitsbezeugung). Es enthält auch die Autorisierung (Berechtigung für Ressourcen).

Bei den beispielhaft genannten Firmen und Diensten geht es darum aufzuzeigen, wie groß die Bandbreite sowie die mögliche Nutzung von aus forensischen Untersuchungen gewonnenen Zugangsdaten einzelner Identitätsanbieter sein kann.

Ein Dienstleister der einen Identitätsanbieter für den Login und den gesteuerten Zugriff auf seine bereitgestellten Ressourcen nutzt, vereinfacht neuen und bestehenden Kunden einerseits die Anmeldung und andererseits, sich selbst die Pflege dieser Logins. Der Identitätsanbieter stellt außerdem den Support zu seiner Dienstleistung bereit. Beispiele für Ressourcen und Preise[10].

Quellen

  1. [1], de.wikipedia.org - Identitätsanbieter
  2. [2], de.wikipedia.org - Prinzipal (Computersicherheit)
  3. [3], de.wikipedia.org - Authentifizierung
  4. [4], de.wikipedia.org - Föderierte Identität
  5. [5], Salesforce, engl. Quelle
  6. [6], oauth.net, engl. Quelle
  7. [7], de.wikipedia.org - Autorisierung in Computernetzwerken
  8. [8], en.wikipedia.org - List of notable OAuth service providers
  9. [9], de.wikipedia.org - Shibboleth
  10. [10], Google Cloud - Identity Platform