Was sind eigentlich ID-Provider?

ID-Provider spielen eine entscheidende Rolle bei der Sicherung und Verwaltung von Identitäten. In unserem Wissensartikel werden wir tief in die Welt der ID-Provider eintauchen, ihre Funktionen untersuchen und ihre Bedeutung für die Sicherheit und Effizienz des Identitätsmanagementsystems vorstellen.

Anmeldungen werden über verschiedene Features immer einfacher gestaltet- vom passwordless Log-In zur Registrierung über andere Anbieter wie Apple oder Google. Hierbei spielen Identity Provider (ID-Provider) eine zentrale Rolle, denn sie übernehmen das Identitäts- und Zugriffsmanagement. Durch für die Authentifizierung und Autorisierung von Benutzern, gewährleisten sie die Sicherheit sensibler Informationen und ermöglichen nahtlose Zugriffskontrollen. Doch was genau verbirgt sich hinter dem Begriff „ID-Provider“, und warum sind sie entscheidend für die Sicherheit und Benutzerfreundlichkeit in zahlreichen Online-Plattformen? In diesem Artikel werfen wir einen umfassenden Blick auf die Funktionsweise von ID-Providern, ihre Schlüsselfunktionen und ihre Rolle in der modernen Informationsgesellschaft.

Definition

Identity Provider oder auch Identitätsanbieter sind Dienstleiter, welche digitale Identitäten speichern und verwalten. Sie verifizieren, authentifizieren und autorisieren somit die Nutzer innerhalb eines Informationssystems. Dadurch stellt der Provider sicher, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können.

Authentifizierung und Autorisierung:

Authentifizierung und Autorisierung sind zwei grundlegende Konzepte im Bereich der Zugriffskontrolle. Die Begriffe werden oft gemeinsam verwendet, da sie meist Hand in Hand gehen, dabei beziehen sie sich auf unterschiedliche Aspekte beim Zugriff auf Ressourcen. Zur besseren Verständlichkeit weisen wir hier die wesentlichen Unterschiede auf und geben eine Einordnung:

Authentifizierung

Authentifizierung beschreibt die Prüfung des Identitätsnachweises auf Authentizität, also ob die Person oder das System auch wirklich die tatsächliche Identität besitzt.

Beispiele: Benutzername/Passwort-Kombination, Fingerabdruckscans, Smartcards oder andere biometrische Identifikationsmethoden.

Autorisierung

Eine Autorisierung gesteht einer Person oder einem System spezielle Rechte zu, sodass der Zugriff auf gewisse Ressourcen gestattet wird.

Beispiel: Die Abteilung Einkauf hat keine Einblicke auf die Geschäftsgeheimnisse wie Patente oder Verkaufsstrategien.

Anwendung

Ein ID-Provider arbeitet ähnlich wie ein Türsteher: Auf seiner Gästeliste stehen die für das Informationssystem hinterlegten Nutzer samt ihren Berechtigungen. Die entsprechenden Zugangsdaten sind kryptografisch hinterlegt, sodass wenn jemand Zugang zum System erhalten will, der Türsteher dies mit seiner Liste abgleichen kann. Zusätzlich können natürlich auch neue Nutzer registriert werden, also quasi handschriftlich vom Türsteher auf die Liste gesetzt werden!

Ist die Authentifizierung, etwa über eine Multi-Faktor-Authentifizierung, abgeschlossen, wird eine Verbindung zum Informationssystem hergestellt, in anderen Worten: Der Türsteher lässt die Nutzer die Location betreten. Und auch hier gibt es verschiedene Bereiche – von der Garderobe bis hin zur VIP-Lounge. An den entsprechenden Schlüsselpunkten befindet sich auch dort wieder ein Türsteher und überprüft die Zutrittsgenehmigung. Auf virtueller Ebene spricht man von einer Autorisierungsanfrage, da nicht jeder Nutzer uneingeschränkt Rechte auf alle Dateien des Informationssystems hat bzw. haben darf. Auch diese Rechte sind in der „Gästeliste“ des ID-Providers hinterlegt und geben je nach Rechtevergabe Zugriff auf die gewünschten Ressourcen.

Ein Türsteher steht vor einem Club und statt "Security" steht "ID-Provider" auf seinem T-Shirt

ID-Provider und Single Sign-On (SSO)

Zur kurzen Erklärung von Single Sign-On:

Single Sign-On (engl. „einmal anmelden“) bezieht sich auf eine Authentifizierungsmethode, bei der sich ein Benutzer einmal anmeldet und dann Zugriff auf mehrere Systeme oder Anwendungen erhält, ohne sich erneut anmelden zu müssen.

Um ein solches Single Sign-On ermöglichen zu können, müssen vom ID-Provider bestimmte Prozesse umgesetzt werden:

Der Benutzer meldet sich einmalig beim Identity Provider an. Dies kann durch die Eingabe von Benutzername und Passwort oder durch andere Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung erfolgen.

Nach erfolgreicher Anmeldung erstellt der Identity Provider einen digitalen Authentifizierungstoken, das Informationen über den Benutzer enthält.

Wenn der Benutzer auf eine geschützte Ressource oder Anwendung zugreifen möchte, die von einem Dienstanbieter bereitgestellt wird, leitet der Identity Provider den Benutzer zu diesem Dienstanbieter weiter.

Der Dienstanbieter erhält das Authentifizierungstoken vom Benutzer. Dies kann auf verschiedene Weisen geschehen, etwa durch URL-Parameter, HTTP-Header oder Cookies, abhängig von der Implementierung und den Sicherheitsrichtlinien.

Der Dienstanbieter überprüft die Gültigkeit des Authentifizierungstokens, um sicherzustellen, dass es vom gültigen Identity Provider stammt und nicht manipuliert wurde. Dies kann die Überprüfung der Signatur des Tokens, das Ablaufdatum und andere Sicherheitsmerkmale umfassen.

Nach erfolgreicher Token-Validierung gewährt der Dienstanbieter dem Benutzer Zugriff auf die gewünschte Ressource oder Anwendung, ohne dass eine erneute Anmeldung erforderlich ist.

Föderierte Identitäten

Um neben einem eigenen Identity-Access-Management (IAM) benutzerfreundlicher Kunden gegenüber aufzutreten, verknüpfen sich Service Provider mit ID-Providern, um so über ein System hinaus zusammen zu arbeiten. Dabei stellen Service Provider, wie es der Name vorgibt, Services wie Dienstleistungen, Anwendungen oder andere Ressourcen zur Verfügung. Dieses Vorgehen ergibt insofern Sinn, als dass sich der Endnutzer nicht für jede einzelne Domain ein eigenes Konto anlegen muss.

Bei föderierten Identitäten erfolgt, meist durch die Nutzung eines Single Sign-Ons, eine Anmeldung über ein einzelnes System hinaus. Man spricht hierbei von sogenannten „zusammengefassten Identitäten“. Dabei werden die Anmelde-Informationen von einem Identity-Provider an einen weiteren übergeben.

Vorteilshaft dabei ist, dass genau nur ein Dienstleister dafür zuständig ist, die Überprüfung und Authentifizierung der Benutzeranmeldeinformationen zu gewährleisten.

Standardisierte Protokolle

Allgemein gibt es eine Vielzahl verschiedener Authentifizierungs- und Autorisierungsprotokolle. Wichtig dabei sind offene Standards. Denn nur so können sichere Verbindungen zwischen mehreren Systemen im Rahmen des Identitäts- und Ressourcenmanagements gewährleistet werden.

OAuth 2.0 und OpenID Connect (OIDC) zählen beide zum dezentralen Authentifizierungsprotokoll IndieAuth.  Dabei schafft OAuth 2.0 die Basis für Autorisierungsanfragen, indem es mit Hilfe von Anwendungen oder APIs einen sicheren Zugang zu Ressourcen ermöglicht. OpenID Connect baut darauf auf und ergänzt die Ebene der Identitätskontrolle. Es ermöglicht den Nutzern eine Verwendung verschiedener Clientsysteme, etwa über das Internet, Mobilgeräte oder JavaScript, um so Identitäts- und Sitzungsdaten auszutauschen.

Eine weitere Möglichkeit bietet Security Assertion Markup Language (SAML). Hier werden komplette Profile samt Authentifizierungs- und Autorisierungsdaten gesammelt und zwischen verschiedenen Domänen ausgetauscht.

Praktische Anwendungen und Beispiele

Beispiele für ID-Provider im Alltag gibt es viele. Schließlich fungieren sie in der digitalen Welt als digitale „Ausweiskontrolle“. Dementsprechend können sie überall, wo Nutzerkonten angelegt werden,  zum Einsatz kommen.

Im Privaten begegnen einem vor allem die Riesen rund um Apple, Google und Meta, die eine Registrierung mit dem bereits bestehenden Konto beim Service Provider ermöglichen. Die Anwendungsfälle reichen von den Sozialen Medien über Online Shops hin zu den verschiedensten mobilen Apps.

Im beruflichen Leben lassen sich die privaten ID-Provider nicht so einfach nutzen. Aber auch hier sind die Identitätsanbieter gefragt:

Im Gesundheitssektor ist beispielsweise die digitale Patientenakte seit Januar 2021 in praktischer Anwendung. Eine Einsicht darin muss gut reguliert werden und über einen vertrauenswürdigen ID-Provider bewerkstelligt werden. Die Gesamtverantwortung für die Telematikinfrastruktur für die Bundesrepublik Deutschland trägt im Moment gematik. Ein Beispiel für einen ID-Provider in diesem Kontext ist Keycloak.

Auch Bildungseinrichtungen mussten vor allem zuletzt durch die Corona Pandemie ihre Nutzerinfrastruktur stark aufstocken, um so Lernplattformen wie Lernsax, Moodle und co. gewährleisten zu können. Im universitären Kontext kommt u. a. Microsoft als ID-Provider zum Tragen, aber hauptsächlich für die durch die Studenten benutzten Office Anwendungen.

Nicht nur staatliche Träger und Institutionen sind auf ID-Provider angewiesen, auch die freie Wirtschaft nutzt im Rahmen der Digitalisierung immer mehr Clouddienste. Ein zentrales Nutzermanagement und die Verknüpfung mehrerer Anbieter mittels SSO bietet hier beispielsweise Bare.ID an.