Blog

Föderierte Identitätsverwaltung

Föderierte Identitätsverwaltung

Föderation / Identitätsmanagement / MFA

Föderierte Identitätsverwaltung

Was ist Federated Identity Management (FIM)?

Federated Identity Management ist eine Anpassung, die es mehreren Unternehmen ermöglicht, Abonnenten dieselbe Identität für den Zugriff auf verschiedene Domänen zu ermöglichen, ohne unterschiedliche Anmeldungen für verschiedene Dienstanbieter durchführen zu müssen.

Beispiel – Sie können sich anmelden bei Azurblau mit Ihrem Office 365 Kontodetails.

Hier werden die Anmeldeinformationen des Benutzers über einen Identity Provider (IdP) validiert, der mit den Domänen mehrerer Unternehmen verbunden werden kann, anstatt die Authentifizierung beim Service Provider (SP)/Anwendungen selbst zu verwalten. Wenn ein Benutzer versucht, auf einen bestimmten SP oder eine bestimmte Anwendung zuzugreifen, leitet der SP den Benutzer daher auf die IDP-Anmeldeseite um. Der Benutzer meldet sich am IDP an und wird dann zum angeforderten SP/Anwendung umgeleitet. Im Allgemeinen wird die Autorisierung der Benutzeridentität ausgeführt durch:

1) Security Assertion Markup Language (SAML)

2) Offene Autorisierung (OAuth)

3) OpenID-Connect (OIDC)

So funktioniert das föderierte Identitätsmanagement

Das Endziel jeder Autorisierung ist eine sichere Anmeldung bei mehreren Dienstanbietern mit derselben Identität. Die Vorgehensweise kann jedoch je nach verwendetem Protokoll unterschiedlich sein.

Lassen Sie uns die Arbeitsweise von Föderierte Identitätsverwaltung.

Federated Identity Management mit SAML

Für Federated Identity Management, das das SAML-Protokoll verwendet, befolgt der Benutzer im Allgemeinen das folgende Verfahren:

1) Der Benutzer fordert über einen Webbrowser den Zugriff auf die gesicherte Anwendung/den SP an.

2) Der Dienstanbieter leitet zur Authentifizierung mit SAML-Authentifizierungsanforderung an einen bestimmten Identitätsanbieter (der beim Dienstanbieter registriert ist) weiter.

3) Der Browser stellt Authentifizierungsanfragen an den registrierten Identitätsanbieter. Der IdP validiert die SAML-Anfrage und gibt dem Benutzer/Browser ein Anmeldeformular.

4) Bei erfolgreicher Berechtigungsprüfung/oder Authentifizierung generiert der Identitätsanbieter eine XML-basierte Bestätigung, die die Identität des Benutzers verifiziert, und leitet diese an den Browser weiter. 

5) Der Browser leitet die XML-Einfügung an den Dienstanbieter weiter und setzt Cookies im Browser ein.

6)Der Benutzer/Browser erhält den Zugang, da er jetzt authentifiziert ist.

Federated Identity Management mit OAuth/ OpenID Connect

OpenID Connect baut auf dem OAuth 2.0-Protokoll auf und verwendet ein zusätzliches JSON Web Token (JWT), ein sogenanntes ID-Token, um Bereiche zu standardisieren, die OAuth 2.0 der Wahl überlässt, z. B. Bereiche und Endpunkterkennung. Es konzentriert sich speziell auf die Benutzerauthentifizierung und wird häufig verwendet, um Benutzeranmeldungen auf Verbraucherwebsites und mobilen Apps zu ermöglichen.

Der Benutzer befolgt die folgenden Anweisungen für das OpenID Connect-Protokoll:

1) Der Benutzer fordert den Zugriff auf den Ressourcenserver an, der dann an den Identitätsanbieter umgeleitet wird.

2) Sobald die Autorisierungsanfrage an den Identitätsanbieter übergeben wurde, gibt er die Anmeldeseite an den Benutzer zurück.

3) Nachdem der IDP die Benutzeranmeldeinformationen validiert hat, leitet er den Benutzer an den Ressourcenserver weiter.

4) Es leitet den Benutzer zum Ressourcenserver um.

 5) Sobald der Benutzer die Seite anfordert, wird ein Token vom Ressourcenserver an den IDP angefordert.

6) Token wird vom IdP validiert.

7)Token wird vom IDP direkt an den Ressourcenserver zurückgegeben und der Benutzer meldet sich erfolgreich an.

RCDevs-Sicherheitslösungen und Federated Identity Management

RCDevs OpenID / SAML Identity Provider arbeitet mit dem OpenOTP-Backend. Die RCDevs SSO-Lösung unterstützt PKI-Anmeldungen (mit Benutzerzertifikaten), OTP, FIDO2 und biometrische VOICE-Authentifizierung. Ein weiterer Vorteil von RCDevs ist die Möglichkeit, WebADM-Client-Richtlinien pro SP zu definieren. Dies bietet hohe Flexibilität in Bezug auf Authentifizierungszwecke, Zugriffsrichtlinien, die zulässigen Domänen für den Zugriff auf eine Anwendung usw.

Hauptmerkmale von FIM:

-Unterstützt SAML 2.0-Authentifizierungs- und Abmeldeanforderungen.

-Unterstützt IdP-initiierte und SP-initiierte SAML-Anfragen für Cloud SSO.

-Unterstützt OpenID-Connect und OAuth2

-Gibt Gruppenmitgliedschaften und konfigurierbare Benutzerattribute zurück

-Sehr einfache Konfiguration für Unternehmens-SAML mit Metadaten-URL

-Unterstützt alle von RCDevs unterstützten Authentifizierungsmethoden (Push, FIDO, SMS OTP, VOICE Biometric…)

-Unterstützt OpenID-Benutzerprofilbereiche

-Unterstützt alle Richtlinienfunktionen des WebADM-Kontrollzentrums

Die Integration der OpenOTP SSO-Lösung ist einfach:

SAML-Identitätsanbieter

OpenID – SAML-IdP-Webdienst

Mehr, Info-Check RCDevs-Seite.

de_DEDE