GlobalSign Blog

04 Jun 2015

OAuth - Viel mehr als nur Facebook

Wir haben vor kurzem 10 Jahre SAML gefeiert, einen der vorherrschenden Standards in der Welt von Identity & Access Management. SAML gibt es schon eine ganze Weile. Es ermöglicht Online-Diensten, Identitäts- und Attributdaten von Dritten (Identitätsprovidern) zu akzeptieren und Identitäten über Domänen oder verbundene Dienste zu übertragen, wodurch Endbenutzer eine reibungslose Single Sign-On Erfahrung machen.

Demgegenüber ist OAuth durch Facebook sehr beliebt geworden. Tausende von Online-Sites unterstützen Facebook Identitäten, mit denen Benutzer mit ihren sozialen Identitäten bequemen Zugang zu den Diensten haben. Aber OAuth ist nicht nur Facebook. Es ist ein vollwertiges Autorisierungs-Protokoll, das viele Anwendungsfälle über das einfache soziale Login ermöglicht.

Viele mobile Apps verwenden Facebook, um einen Benutzer eindeutig zu identifizieren, wenn die Apps sich mit den Servern verbinden und Daten abrufen. Die Verwendung von Facebook ist für die Endnutzer einfach und bequem. Die App-Entwickler können die Nutzeraktivität verfolgen und evtl. das Nutzerverhalten und andere Daten auf den Servern speichern. Soziale Identitäten sind allgemein schwach und sollten nicht zum Schutz von vertraulichen Daten, wie Gesundheits- oder Finanzdaten, verwendet werden.

Nicht nur mobile Apps, sondern auch Desktopanwendungen und vor allem verbundene Geräte (Internet of Everything) können problemlos OAuth zur Identifizierung des Benutzers integrieren. Aber nicht alle Geräte und Apps sind gleich. Apps, die vertrauliche Daten generieren, verarbeiten und kommunizieren sollten stärkere Methoden zur Verifizierung der Benutzeridentität verwenden und verbundene Geräte ohne Eingabemethoden können nicht wirklich direkte Methoden verwenden, die eine Benutzereingabe erfordern.

GlobalSign SSO, Teil unserer IAM-Lösungs-Suite, verfügt über integrierte Unterstützung für OAuth 2.0 und kann als Autorisierungs-Server fungieren. GlobalSign SSO unterstützt auch über 20 verschiedene sofort zu verwendende Authentifizierungsmethoden. Mit diesen beiden Features können Entwickler von mobilen Apps, Desktopanwendungen und Geräten problemlos die richtige Methode zur Verifizierung der Benutzeridentität bereitstellen, indem Sie einfach ein paar Zeilen Code in die App oder das Gerät einfügen.

Eine mobile App kann sich über die eingebettete Browser-Komponente mit GlobalSign SSO verbinden. Die Webkomponente (z.B. in iOS, Webview) empfängt den Inhalt von GlobalSign SSO, wenn geeignete Authentifizierungsmechanismen konfiguriert werden können. (Facebook, Google+, mobile PKI, SMS OTP, National eID, Bank IDs etc). Dadurch kann der Entwickler der App/Anwendung möglichst einfache Änderungen und Ergänzungen an seinen Apps verwenden und trotzdem von mehreren Authentifizierungsmethoden profitieren, von sozialen bis Multifaktor Out-of-Band-Methoden. Ein weiterer Vorteil dieses Ansatzes ist, dass Authentifizierungsmethoden jederzeit ohne Änderungen am App-/Anwendungscode hinzugefügt oder entfernt werden können.

Eines der einzigartigen Features von GlobalSign SSO ist die sogenannte User Driven Federation. Mit diesem Feature können Endbenutzer verschiedene Identitäten kombinieren und die zweckmäßigste für die Authentifizierung verwenden. PKI-Smartcards können nicht in Mobilgeräten oder Geräteszenarios eingesetzt werden, es sei denn das Gerät verfügt über einen Smartcard-Leser. Aber mit User Driven Federation kann der Endbenutzer seine PKI-Anmeldeinformationen mit etwas, das im Mobil-Anwendungsfall nutzbar ist, kombinieren. Obwohl er nicht die PKI-Smartcard für die Authentifizierung verwenden würde, könnte er eine andere Identität verwenden, die von der Smartcard-Identität verifiziert wird.

Mit GlobalSign SSO ist es einfach, über Facebook hinaus zu gehen. Die Authentifizierung eines Benutzers z.B. in einer mobilen App mit stärkeren Methoden als sozialen Identitäten benötigt nur ein paar Zeilen eingebetteten Code.

von Lea Toms

Artikel teilen