Die bekanntesten Frameworks und Standards für die Authentifizierung und Autorisierung im Identitäts- und Access-Management (IAM) sind OAuth, OpenID Connect (OIDC) und SAML (Security Assertion Markup Language).
Der Hauptunterschied zwischen diesen Standards besteht darin, dass OAuth (jetzt OAuth 2.0) ein Autorisierungs-Framework ist, das dem Schutz spezifischer Ressourcen wie Anwendungen oder Dateigruppen dient, während SAML und OIDC als Authentifizierungsstandards zur Absicherung von Anmeldeerfahrungen verwendet werden.
Security Assertion Markup Language (SAML) ist ein offener Standard, der Single Sign-on ermöglicht. Er ist der älteste der drei Standards und wird normalerweise von Unternehmen verwendet, um ihren Benutzern den Zugriff auf kostenpflichtige webbasierte Anwendungen und Dienste anzubieten. Salesforce und Gmail sind Beispiele für Anwendungen, auf die Mitarbeiter nach erfolgreicher SAML-Anmeldung zugreifen können.
SAML ist ein XML-basiertes Framework, d. h. es ist äußerst flexibel, kann auf jeder Plattform eingesetzt und über eine Vielzahl von Protokollen (z. B. HTTP und SMTP) übertragen werden. Die Authentifizierungsinformationen werden zwischen Identitätsprovidern und Serviceprovidern ausgetauscht, um die Identität und die Berechtigungen des Benutzers zu überprüfen und ihm dann den Zugriff auf die Anwendungen zu gewähren oder zu verweigern.
SAML ist in Unternehmen weit verbreitet und wurde entwickelt, um SSO für browserbasierte Anwendungen und Dienste zu unterstützen. Das SSO für mobile Anwendungen oder Anwendungen, die über APIs auf Ressourcen zugreifen, wird nicht unterstützt.
OAuth (das jetzt OAuth 2.0 heißt) ist ein offenes Standard-Framework für die API-Autorisierung. Es ist wichtig zu beachten, dass OAuth ein Autorisierungs- und kein Authentifizierungsprotokoll ist, aber die Informationen über den Benutzer für Autorisierungszwecke verwendet werden können. Es legt fest, wie ein API-Client Sicherheitstoken erhält, die eine Reihe von Berechtigungen für die von dieser API bereitgestellten Ressourcen ausdrücken.
Anstatt von einem Benutzer zu verlangen, dass er seine Anmeldeinformationen einer Anwendung weitergibt, damit diese auf eine weitere Anwendung zugreifen kann, delegiert OAuth die Autorisierungsentscheidungen an einen separaten Autorisierungsserver, der das Benutzerkonto hostet. Im Wesentlichen handelt OAuth im Namen des Benutzers und bietet delegierten Zugang zu einem Drittanbieterdienst, ohne dass der Benutzer seine Anmeldeinformationen an diesen Drittanbieter weitergeben braucht.
Der vielleicht wichtigste Punkt ist wohl, dass OAuth kein Authentifizierungsprotokoll ist. OAuth definiert zum Beispiel kein spezielles Token-Format oder einen allgemeinen Satz von Geltungsbereichen für das Zugriffstoken. Der Standard beeinflusst auch nicht, wie eine geschützte Ressource ein Zugriffstoken validiert.
OAuth unterstützt zudem Service-zu-Service- und Gerät-zu-Service-Anwendungsfälle, was bei SAML nicht der Fall ist.
Das OpenID Connect (OIDC)-Protokoll ergänzt OAuth 2.0 um eine Authentifizierungs- und Identitätsschicht und ist eines der modernsten Sicherheitsprotokolle, die es gibt. Wie auch OAuth delegiert es die Benutzerauthentifizierung an den Serviceprovider, der das Benutzerkonto hostet und Anwendungen von Drittanbietern autorisiert, darauf zuzugreifen. OIDC bietet aber auch Zugang zu mobilen Anwendungen, APIs und browserbasierten Anwendungen.
Jedes Mal, wenn sich ein Benutzer mit OIDC bei einer Anwendung oder einem Dienst anmeldet, wird er zu seinem OpenID-Provider umgeleitet, wo er sich authentifiziert, um dann automatisch zu der Anwendung oder dem Dienst zurückzukehren.
OIDC dient in Situationen, in denen
Sie eine Anwendung von Grund auf neu entwickeln – vor allem, wenn Sie Ihre Anwendung auf mobilen Geräten verfügbar machen möchten.
Sie festlegen möchten, welche Aktionen ein Benutzer in einer Anwendung nach seiner Authentifizierung ausführen kann.
JWTs werden Ihnen mehr nützen als XML.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern
Vielen Dank! Behalten Sie Ihren Posteingang im Auge. Wir melden uns bald bei Ihnen.