Was ist ein identity provider (IdP)?
Ein Identitätsanbieter (IdP oder IDP) speichert und verwaltet die digitalen Identitäten der Benutzer. Stellen Sie sich einen IdP als eine Gästeliste vor, aber für digitale und Cloud-gehostete Anwendungen anstelle eines Ereignisses. Ein IdP kann Benutzeridentitäten über Benutzername-Passwort-Kombinationen und andere Faktoren überprüfen oder einfach eine Liste von Benutzeridentitäten bereitstellen, die ein anderer Dienstanbieter (wie ein SSO) überprüft.
IDPs sind nicht auf die Überprüfung menschlicher Benutzer beschränkt., Technisch gesehen kann ein IdP jede Entität authentifizieren, die mit einem Netzwerk oder System verbunden ist, einschließlich Computern und anderen Geräten. Jede von einem IdP gespeicherte Entität wird als „Principal“ (anstelle eines „Benutzers“) bezeichnet. IDPs werden jedoch am häufigsten im Cloud Computing zur Verwaltung von Benutzeridentitäten verwendet.
Was ist Benutzeridentität?
Die digitale Benutzeridentität ist mit quantifizierbaren Faktoren verbunden, die von einem Computersystem verifiziert werden können. Diese Faktoren werden als „Authentifizierungsfaktoren“ bezeichnet.,“Die drei Authentifizierungsfaktoren sind:
- Wissen: etwas, das Sie kennen, wie ein Benutzername und ein Passwort
- Besitz: etwas, das Sie haben, wie ein Smartphone
- Intrinsische Eigenschaften: etwas, das Sie sind, wie Ihr Fingerabdruck oder ein Retina-Scan
Ein IdP kann nur einen dieser Faktoren verwenden, um einen Benutzer oder alle drei zu identifizieren. Die Verwendung von mehr als einem wird als Multi-Faktor-Authentifizierung (MFA) bezeichnet.
Warum sind IDPs notwendig?,
Die digitale Identität muss irgendwo verfolgt werden, insbesondere für Cloud Computing, bei dem die Benutzeridentität bestimmt, ob jemand auf vertrauliche Daten zugreifen kann oder nicht. Cloud-Dienste müssen genau wissen, wo und wie Sie die Benutzeridentität abrufen und überprüfen können.
Datensätze von Benutzeridentitäten müssen ebenfalls gesichert gespeichert werden, um sicherzustellen, dass Angreifer sie nicht verwenden können, um sich als Benutzer auszugeben., Ein Cloud-Identitätsanbieter trifft in der Regel zusätzliche Vorkehrungen zum Schutz von Benutzerdaten, während ein Dienst, der nicht ausschließlich der Speicherung von Identität gewidmet ist, diese möglicherweise an einem ungesicherten Ort speichert, z. B. auf einem Server, der für das Internet geöffnet ist.
Wie arbeiten IDPs mit SSO-Diensten?
Ein SSO-oder Single Sign-On-Dienst ist ein einheitlicher Ort, an dem sich Benutzer bei allen Cloud-Diensten gleichzeitig anmelden können. Die Implementierung von SSO ist nicht nur für Benutzer bequemer, sondern macht auch Benutzeranmeldungen häufig sicherer.
Zum größten Teil sind SSOs und IDPs getrennt., Ein SSO-Dienst verwendet einen IdP, um die Benutzeridentität zu überprüfen, speichert jedoch nicht die Benutzeridentität. Ein SSO-Anbieter ist eher ein Go-Between als ein One-Stop-Shop; Stellen Sie sich vor, es sei wie eine Sicherheitsfirma, die eingestellt wird, um ein Unternehmen sicher zu halten, aber nicht wirklich Teil dieses Unternehmens ist.
Obwohl sie getrennt sind, sind IDPs ein wesentlicher Bestandteil des SSO-Anmeldeprozesses. SSO-Anbieter überprüfen die Benutzeridentität mit dem IdP, wenn sich Benutzer anmelden. Sobald dies erledigt ist, kann das SSO die Benutzeridentität mit einer beliebigen Anzahl verbundener Cloud-Anwendungen überprüfen.
dies ist Jedoch nicht immer der Fall., Ein SSO und IdP könnten theoretisch ein und dasselbe sein. Dieses Setup ist jedoch viel offener für On-Path-Angriffe, bei denen ein Angreifer eine SAML Assertion* fälscht, um Zugriff auf eine Anwendung zu erhalten. Aus diesem Grund werden IdP und SSO typischerweise getrennt.
*Eine SAML-Assertion ist eine spezielle Nachricht, die von SSO-Diensten an jede Cloud-Anwendung gesendet wird, die die Benutzerauthentifizierung bestätigt, sodass der Benutzer auf die Anwendung zugreifen und diese verwenden kann.
Wie sieht das alles in der Praxis aus? Angenommen, Alice benutzt ihren Arbeitslaptop im Büro ihres Arbeitgebers., Alice muss sich bei der Live-Chat-Anwendung des Unternehmens anmelden, um sich besser mit ihren Mitarbeitern abzustimmen. Sie öffnet eine Registerkarte in ihrem Browser und lädt die Chat-Anwendung. Unter der Annahme, dass ihr Unternehmen einen SSO-Dienst verwendet, finden die folgenden Schritte hinter den Kulissen statt:
- Die Chat-App fragt das SSO nach der Identitätsprüfung von Alice.
- Das SSO sieht, dass Alice sich noch nicht angemeldet hat.
- Das SSO fordert Alice zur Anmeldung auf.
Zu diesem Zeitpunkt leitet Alices Browser sie zur SSO-Anmeldeseite weiter. Die Seite enthält Felder, in die Alice ihren Benutzernamen und ihr Passwort eingeben kann., Da ihr Unternehmen eine Zwei-Faktor-Authentifizierung benötigt, muss Alice auch einen Kurzcode eingeben, den das SSO automatisch auf ihr Smartphone schreibt. Nachdem dies erledigt ist, klickt sie auf “ Anmelden.“Jetzt passieren folgende Dinge:
- Das SSO sendet eine SAML-Anfrage an den IdP, der von Alices Firma verwendet wird.
- Der IdP sendet eine SAML-Antwort an das SSO, die Alices Identität bestätigt.
- Das SSO sendet eine SAML-Assertion an die Chat-Anwendung, die Alice ursprünglich verwenden wollte.
Alice wird zurück zu ihrer Chat-Anwendung weitergeleitet. Jetzt kann sie mit ihren Kollegen chatten., Der gesamte Vorgang dauerte nur Sekunden.
Wie integriert sich Cloudflare in Identitätsanbieter?
Cloudflare Access lässt sich in SSOs und IDPs integrieren, um den Benutzerzugriff zu verwalten. Cloudflare Access ist Teil der Cloudflare for Teams-Produktsuite, mit der interne Teams geschützt werden können.