Identitätsanbieter (Identity Provider, IdP)
Ein Identitätsanbieter (IdP, Identity Provider) ist eine Systemkomponente, die einem Endbenutzer oder einem mit dem Internet verbundenen Gerät einen einzigen Satz von Anmeldedaten zur Verfügung stellt, der sicherstellt, dass das Unternehmen über mehrere Plattformen, Anwendungen und Netzwerke hinweg derjenige ist, für den es sich ausgibt.
Wenn beispielsweise eine Website eines Drittanbieters die Endnutzer auffordert, sich mit ihrem Google-Konto anzumelden, ist Google Sign-In der Identitätsanbieter.
Eine einzige, konsistente Identität, die plattform-, anwendungs- und netzwerkübergreifend genutzt werden kann, wird als föderierte Identität bezeichnet. Die Aufgabe eines IdP besteht darin, die föderierte Identität aufrechtzuerhalten, indem er die registrierten Anmeldeinformationen schützt und sie über Übersetzungsdienste für unterschiedliche Verzeichnisdienste verfügbar macht. Wenn der IdP Endpunkt-Authentifizierungsdienste oder Benutzer-Authentifizierungsdienste anbietet, kann er auch als Anbieter von Authentifizierung als Service (Authentication as a Service, AaaS) bezeichnet werden.
Ein Identitätsanbieter hat die gleiche grundlegende Funktion wie ein Verzeichnisdienst, zum Beispiel Microsofts Active Directory (AD). Seine Verwendung ermöglicht es Security-Admins, die Identität von Endnutzern, digitalen Geräten und Netzwerkressourcen zu organisieren und zu verwalten und über ein eigenes Netzwerk sicher zu interagieren. Zu den Netzwerkressourcen kann alles gehören, von Softwareanwendungen und den sie unterstützenden Datenbanken bis hin zu physischen Geräten im Internet der Dinge (IoT), wie Telefone, Drucker, Sensoren und Aktoren.
So arbeiten Identitätsanbieter
Identitätsanbieter kommunizieren untereinander und mit anderen Webdienstanbietern über Sprachen wie Security Assertion Markup Language (SAML) oder Datenformate wie Open Authorization (OAuth).
Ein IdP ist für den Austausch von drei grundlegenden Arten von Informationen zuständig:
- Eine Authentifizierungsaussage, die zeigt, dass das anfragende Objekt dasjenige oder derjenige ist, was es vorgibt zu sein.
- Eine Bestätigung der Zuordnung, die alle relevanten Daten weitergibt, wenn eine Verbindungsanfrage gestellt wird.
- Eine Berechtigungsbestätigung, die dokumentiert, ob dem Benutzer oder dem anfragenden Gerät der Zugriff auf die Online-Ressource gewährt wurde oder nicht.
Bei diesen Bestätigungen handelt es sich um XML-Dokumente (Extensible Markup Language), die alle erforderlichen Informationen enthalten, um Benutzer gegenüber einem Dienstanbieter zu verifizieren.
Sicherheitsvorteile der Nutzung eines Identitätsanbieters
Die Verwendung eines Identitätsanbieters ist für die Nutzer komfortabel, da sie sich nicht mehr mehrere Anmeldungen merken müssen.
Aus der Sicht des Diensteanbieters kann dieser Ansatz aus folgenden Gründen sicherer sein:
- Der Identity Provider bietet einen zentralen Kontrollpfad für alle Zugriffsereignisse, so dass leichter nachgewiesen werden kann, wer wann auf welche Ressourcen zugreift.
- Mit Single Sign-On (SSO) erspart der IdP den Benutzern die Erstellung und Pflege mehrerer Benutzernamen und Passwörter. Das Beibehalten und Eingeben mehrerer Passwörter ist als Passwortmüdigkeit bekannt. Passwortmüdigkeit ist ein Sicherheitsrisiko. Je öfter sich Benutzer anmelden oder sich ein neues Passwort merken müssen, desto mehr Möglichkeiten bieten sie Angreifern, dieses Passwort zu stehlen.
- Der Dienstanbieter muss sich nicht um den Schutz personenbezogener Daten kümmern, da dies in die Zuständigkeit des IdP fällt.
Arten von Identitätsanbietern
Die beiden Haupttypen von Identitätsmanagement-Anbietern sind unternehmensbasiert und unternehmensübergreifend. Ein unternehmensbasierter Identitätsanbieter kann in einem Unternehmen für die Identitäts- und Zugriffsverwaltung (IAM) oder im privaten Bereich zur Authentifizierung von Benutzern für Online-Aktivitäten verwendet werden, die hinter einer Registrierungswand stattfinden, wie zum Beispiel Online-Shopping und Zugriff auf abonnementbasierte Inhalte.
Identitätsanbieter können auch nach den Sprachen kategorisiert werden, die sie für die Kommunikation mit Dienstanbietern verwenden.
SAML ist eine Sprache, die besser für die Belange von Unternehmen geeignet ist, da sie mehr Kontrolle bietet und es den Unternehmen ermöglicht, ihre SSO-Anmeldungen sicherer zu machen. SSO ist ein wichtiger Aspekt von Identity as a Service (IDaaS) und AaaS (Authentication as a Service).
Gängige Identitätsanbieter
Zu den bekannten Unternehmen, die IdP-Dienste anbieten, gehören die folgenden:
- Apple
- Microsoft
- Box
- Amazon Web Services (AWS)
Bekannte Identitätslösungen für den Einsatz in Unternehmen sind die folgenden:
- AD (Active Directory)
- Azure AD Native
- G Suite
- Lightweight Directory Access Protocol (LDAP)
- PingFederate
- SharePoint
Die Risiken der Nutzung eines Identitätsanbieters
Der Nachteil bei der Nutzung eines Identity Providers ist, dass sensible Informationen immer noch an eine dritte Partei übergeben werden, wenn auch an eine zuverlässige. Es besteht immer das Risiko, dass der Identitätsanbieter gehackt wird oder durch schlechte Datenhygiene die Kontrolle über die Informationen verliert, die er besitzt.
Service Provider und Identity Provider
Wenn von Identitätsanbieter die Rede ist, ist der Dienstanbieter (Service Provider) die Einrichtung, die die digitale Ressource verwaltet, auf die ein Benutzer zuzugreifen versucht. Der Identitätsanbieter liefert dem Dienstanbieter auf Anfrage des Benutzers die Authentifizierungsdaten. Diese Unterscheidung kann verwirrend sein, da ein Identitätsanbieter technisch gesehen auch ein Dienstanbieter ist.