Identity Provider und Single Sign-on

Kurz und einfach

Identity Provider

Ein Identity Provider (Abgekürzt IDP oder auf Deutsch etwas holprig " Identitätsanbieter") ist ein Dienst, der digitale Benutzer verwaltet, welche verwendet werden können, um sich bei anderen Diensten anzumelden:

Alice, eine Disponentin bei Pedal Pushers, meldet sich zu Beginn ihrer Schicht in der Dispositions-Applikation an, um die ausstehenden Lieferungen zu überprüfen. Anschliessend öffnet sie eine Anwendung von einem Logistik-Partner, ohne sich erneut anmelden zu müssen. Später muss sie aufgrund von Krankheit Schichten in der Schichtplanungs-Anwendung anpassen. Auch hier ist keine erneute Anmeldung erforderlich.
Am Ende ihrer Schicht meldet sich Alice von einer der Anwendungen ab und wird automatisch von allen anderen Anwendungen abgemeldet.

Ein Beispiel für einen IDP ist die Möglichkeit, sich auf zahlreichen Seiten mit dem Google Login anzumelden.
Neben Google gibt es auch andere, spezialisierte IDPs, bekannte sind etwa Okta, Auth0 und Keycloak.
Für Idefix verwenden wir Zitadel.

Dank der engen Zusammenarbeit und Vernetzung in der Schweizer Kurierbranche ist es möglich, gemeinsam einen Identity Provider zu nutzen, und so betriebsübergreifend Benutzern Zugriff auf Applikationen zu geben. Dank der Architektur von Zitadel ist dies möglich, ohne dass die einzelnen Betriebe auf die Benutzerdaten von anderen Betrieben zugreifen können.

Die Verwendung eines IDP bringt viele Vorteile, birgt aber auch gewisse, handhabbare, Risiken.

Benutzerfreundlichkeit

Die Benutzer müssen sich nur noch einmalig anmelden (Single-Sign-On) und anschliessend verschiedene Applikationen nutzen, ohne sich erneut anmelden zu müssen.

Die Benutzerverwaltung wird ebenfalls stark vereinfacht. User müssen nur einmalig erfasst werden und können bei Austritt zentral deaktiviert werden. So lässt sich verhindern, dass Benutzer nach Austritt noch Zugriff auf Firmendaten haben.

Sicherheit

Da ein spezialisiertes System verwendet wird, kann die Sicherheit deutlich erhöht werden. Die heiklen Daten und der Loginprozess sind nicht mehr in den einzelnen Applikationen gespeichert und implementiert, sondern im zentralen Identity Provider. Die einzelnen Applikationen können mit Plugins oder einfacher Logik Benutzer mit dem Identity Provider authentifizieren. Dafür werden etablierte Standards (OpenID Connect, SAML) verwendet, womit sich Applikationen, die über diese Protokolle Benutzer authentifizieren, an beliebige Identity Provider anbinden lassen.

Die Speicherung der sensiblen Daten und die Implementierung der verschiedenen Loginmethoden wird durch den Identity Provider erledigt. So ist sichergestellt, dass die Datenschutzanforderungen eingehalten werden und aktuelle, sichere und einfache Loginmethoden eingesetzt werden können.

Phishing-Attacken werden erschwert, da Anwender ihren Benutzernamen und Passwort nur an einer einzigen Stelle eingeben müssen und nicht mehr an zahlreichen, verstreuten Stellen. Es wird Bewusstsein geschaffen, wo man guten Gewissens Nutzername und Passwort eingeben kann.
(vgl. de.wikipedia.org/wiki/Single_Sign-on)

Risiken

Neben vielen Vorteilen bringt die Verwendung eines Identity Providers auch einige Risiken mit sich. Es entsteht ein "Single Point of Failure". Wenn der IDP Anfragen nicht bearbeiten kann, können alle abhängigen Applikationen ebenfalls nicht verwendet werden. Der IDP muss also hochverfügbar sein.

Weiter besteht eine längerfristige Abhängigkeit, dass der IDP-Dienst betrieben, unterhalten und weiterentwickelt wird.

Erfahre in diesem Artikel, wie Zitadel diesen Chancen und Risiken begegnet.

Quellen

[Cloudflare] : www.cloudflare.com/de-de/learning/access-management/what-is-an-identity-provider/