Besuchen Sie uns auf der it-sa 2024!

Home>

Identity Provider (IDP)

Sicherheitsschloss

Was ist ein Identity Provider (IDP)?

Als Identity Provider (IDP) oder Identitätsanbieter werden zentrale Zugangssysteme für Dienstanbieter bezeichnet. Nutzer:innen verifizieren über IPDs ihre Identität via Passwort und/oder anderen Faktoren, um sich auf lokalen Geräten oder Internetkonten anzumelden. Über die Auslagerung der Benutzerauthentifizierung an externe Provider können Onlinedienste und Anwendungen von Single Sign-On (SSO) profitieren. Dabei erfolgt eine zentrale Anmeldung beim IDP, um die jeweiligen Anwender:innen global für alle verknüpften Anwendungen und Dienste freizuschalten.

Myra Services zum Thema: Automatisierte Verwaltung von SSL/TLS-Zertifikaten mit Myra Certificate Management

Auf einen
Blick

  1. 01. Identity Provider (IDP): eine Definition
    1. 02. Welche Vorzüge bieten IDPs?
      1. 03. Welche Nachteile ergeben sich beim Einsatz eines IDPs?
        1. 04. IDP: Das müssen Sie wissen
          Funktionsweise IDP und SSO in der Praxis

          01

          Identity Provider (IDP): eine Definition

          IDPs dienen heutzutage in den meisten Fällen dazu, Nutzer:innen im Internet einen möglichst einfachen und dennoch sicheren Zugang zu einer Vielzahl an Diensten zu ermöglichen. IDP-Systeme agieren dabei als zentrale Authentifizierungsstelle, bei denen eine Anmeldung über die Eingabe einzelner oder mehrerer Faktoren wie Benutzernamen, Passwörtern, biometrische Daten (Fingerabdruck, Irisscan) oder Einmalcodes erfolgt. Sobald zwei oder mehr Faktoren für die Anmeldung erforderlich sind, spricht man von 2-Faktor-Authentifizierung (2FA) beziehungsweise Multi-Faktor-Authentifizierung (MFA). Nach erfolgreicher Anmeldung erhalten Anwender:innen Zugriff auf den oder die Dienste, die über den jeweiligen IDP verbunden sind. In Verbindung mit SSO genügt eine Anmeldung beim IDP, um sich zentral bei mehreren Diensten oder Systemen zu authentifizieren. Die Übertragung der Anmeldeinformationen zwischen dem eingesetzten IDP und den einzelnen Diensten und Systemen erfolgt über Sicherheitsprotokolle wie SAML (Security Assertion Markup Language), OpenID oder OAuth (Open Authorization).

          Code auf einem Bildschirm

          02

          Welche Vorzüge bieten IDPs?

          Die Auslagerung des Authentifizierungsprozesses an spezialisierte Provider bietet einige Vorteile. Da es sich bei digitalen Identitäten und den dazugehörigen Authentifizierungsfaktoren um hochsensible Daten handelt, ist bei der Verwaltung dieser Informationen ein Höchstmaß an Sorgfalt und technisch-prozessualer Kompetenz hinsichtlich IT-Sicherheit und Datenschutz erforderlich. Diese Fähigkeiten können nicht alle Dienstanbieter vollumfänglich erfüllen. Abhilfe schafft hier der Gang zu spezialisierten IDPs, die alle Identitäts- und Anmeldeinformationen sicher und redundant verwalten.

          Wie funktioniert Single Sign-On (SSO) mit IDPs?

          Oftmals werden IDPs für die Nutzung von SSO herangezogen. SSO bietet auf der Seite von Anwender:innen vorrangig Komfort- und Sicherheitsvorteile. Anstatt im digitalen Alltag mit einer Vielzahl verschiedener Zugangsdaten konfrontiert zu werden, reduziert sich durch den breiten Einsatz von SSO die Anzahl der benötigten Login-Details eklatant. Diese wenigen Zugänge lassen sich besser mit starken Passwörtern und mehrstufigen Anmeldeprozessen absichern. Müssen Nutzer:innen hingegen viele verschiedene Zugänge selbst verwalten, tendieren viele zur Mehrfachnutzung einzelner Passwörter und/oder zu simplen Kennwörtern – beide Fälle wirken sich negativ auf die IT-Sicherheit aus.

          Auch auf technischer Seite ergeben sich durch die Nutzung von SSO Sicherheitsvorteile. So erfolgt die Übertragung der Authentifizierungsfaktoren nur noch einmal. Das reduziert die Angriffsfläche für Cyberattacken oder Phishing-Versuche, die darauf abzielen, die Anmeldedaten zu erbeuten.

          Welche Lösungsansätze für SSO gibt es?

          Portal

          Die Portallösung erlaubt Anwender:innen eine zentrale Anmeldung, um auf die verschiedenen darüber verfügbaren Anwendungen und Dienste zuzugreifen. Etwa die Anmeldung bei einem Internet-Dienst, um E-Mail, Kalender, Cloud-Speicher und weitere Produkte zu nutzen. Die Übergabe der erfolgreichen Authentifizierung erfolgt zwischen den Diensten bei Portallösungen beispielsweise über Cookies.

          Ticketing

          Ticketing-Systeme wie Kerberos setzten auf eine vertrauenswürdige Instanz (Ticket-Granting Ticket) zur zentralen Ticketvergabe. Nachdem dort erfolgreiche eine Anmeldung der Anwender:innen erfolgte, können Anmeldetickets automatisiert für jeden verbundenen Dienst erstellt und versendet werden, ohne dass dabei eine erneute Authentifizierung notwendig wäre.

          Lokal

          Lokale SSO-Lösungen werden meist auf regelmäßig genutzten Clients am Arbeitsplatz genutzt. Hier sind die Zugänge für Anwendungen und Dienste zentral und kryptografisch geschützt auf dem Client oder einem verbundenen Netzwerk gesichert. Nach der erfolgreichen Anmeldung auf dem SSO-Client sind die Zugänge freigeschaltet. SSO-Clients sind beispielsweise in Webbrowsern als Passwortspeicher integriert.

          QR Code Scanner mit dem Handy

          03

          Welche Nachteile ergeben sich beim Einsatz eines IDPs?

          Sobald es Probleme bei der Erreichbarkeit des IDPs gibt oder der Anbieter selbst mit technischen Problemen zu kämpfen hat, sind die hinter der Authentifizierung liegenden Anwendungen und Systeme nicht mehr erreichbar. Insbesondere in SSO-Szenarien besteht hier die Gefahr, dass Anwender:innen von einer Vielzahl von Services gleichzeitig abgeschnitten werden.

          Gesperrter Handybildschirm

          04

          IDP: Das müssen Sie wissen

          Die Abkürzung IDP steht für Identity Provider. Dabei handelt es sich um einen Authentifizierungsdienst für digitale Identitäten. Lösungsanbieter greifen auf IDPs zurück, um den Anmeldevorgang für ihre Dienste auszulagern und zu optimieren. Anwender:innen melden sich bei IDPs über einzelne oder mehrere Faktoren an und erhalten dann den Zugriff zu den hinterlegten Konten und den damit verknüpften Services. Die Übertragung der Anmeldeinformationen zwischen dem eingesetzten IDP und den einzelnen Diensten und Systemen erfolgt über Sicherheitsprotokolle wie SAML (Security Assertion Markup Language), OpenID oder OAuth (Open Authorization). Ferner bieten IDPs die Möglichkeit, eine Reihe von Diensten oder ganze Plattformen zentral per SSO bereitzustellen. Dadurch lassen sich Vorteile hinsichtlich Nutzungskomfort und Sicherheit realisieren, da Nutzer:innen mit weniger Anmeldedaten arbeiten müssen und diese dafür umso sicherer definiert werden können. Gängige Verfahren zur Realisierung von SSO-Lösungen sind Portalsysteme, Ticketing-Lösungen oder lokale Lösungen.

          © Myra Security GmbH 2024, alle Rechte vorbehalten

          Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB