Identity Provider
Ein zentraler Service zur Verwaltung digitaler Identitäten, Authentifizierung und Bereitstellung von Benutzerattributen für Anwendungen und APIs.
Klassifikation
- KomplexitätHoch
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Kompro mittierte IdP‑Instanz erlaubt breiten Systemzugriff
- Fehlkonfiguration von Claims führt zu Überprivilegierung
- Inkompatible Standards zwischen Partnern verhindern Föderation
- Verwende standardisierte Protokolle und geprüfte Libraries
- Implementiere MFA und kurzlebige Tokens
- Betreibe IdP redundant und überwache Verfügbarkeit sowie Latenz
I/O & Ressourcen
- Benutzerverzeichnis (LDAP/AD) oder Identitätsdatenquelle
- Anwendungs‑/Service‑Provider Konfiguration
- Richtlinien für Authentifizierung, MFA und Tokenlebensdauer
- Auth Tokens (OIDC JWTs, SAML Assertions)
- Audit‑ und Login‑Protokolle
- Attributsätze für angebundene Dienste
Beschreibung
Ein Identity Provider (IdP) ist ein Service, der digitale Identitäten zentral verwaltet und Authentifizierung sowie Attribute für Anwendungen liefert. Er ermöglicht Single Sign-On, föderierte Identität und zentrale Zugriffskontrolle über Standards wie SAML und OpenID Connect. Er ist zentral für sichere, skalierbare Zugriffsarchitekturen.
✔Vorteile
- Reduzierte Passwortverwaltung und verbesserte Nutzererfahrung durch SSO
- Konsistente Zugriffskontrolle und Auditierbarkeit
- Ermöglicht Föderation und Partnerintegration
✖Limitationen
- Single Point of Failure ohne Redundanz und Hochverfügbarkeit
- Komplexität beim Support legacy‑Anwendungen ohne Standards
- Verwaltungsaufwand für Benutzer‑ und Attributmapping
Trade-offs
Metriken
- Anzahl erfolgreicher SSO‑Anmeldungen
Misst erfolgreiche Authentifizierungen über den IdP pro Zeiteinheit.
- Mean Time To Recover (MTTR) IdP
Zeit bis zur Wiederherstellung des IdP‑Diensts nach Ausfall.
- Token‑Ausstellungszeit
Durchschnittliche Dauer von Authentifizierungsanforderung bis Token-Ausgabe.
Beispiele & Implementierungen
Keycloak als zentraler IdP
Open‑Source IdP für SSO und Föderation, eingesetzt zur Konsolidierung interner Anwendungen.
Azure AD für SaaS-Integration
Microsofts Cloud‑IdP für Nutzerverwaltung, SSO und B2B-Föderation mit externen Partnern.
OIDC-Provider für API-Authentifizierung
Verwendung eines OIDC‑Providers zur Ausgabe von access tokens für maschinelle Clients und APIs.
Implementierungsschritte
Anforderungsanalyse (Protokolle, MFA, SLA)
Auswahl oder Bereitstellung des IdP (Cloud oder On‑Premise)
Integration, Tests, Monitoring und schrittweiser Rollout
⚠️ Technische Schulden & Engpässe
Tech Debt
- Temporäre Custom‑Claims statt langfristiger Attributstrategie
- Legacy‑Adapters für alte Anwendungen ohne Standardprotokolle
- Fehlende Automatisierung für Provisioning und Zertifikatsrotation
Bekannte Engpässe
Beispiele für Missbrauch
- Verwendung des IdP als Autorisierungslösung ohne feingranulare Policies
- Öffentliche Exposition des IdP‑Admin‑Interfaces ohne Zugriffskontrolle
- Vertrauen auf veraltete Protokolle ohne Sicherheitsupdates
Typische Fallen
- Unvollständiges Attribut‑Mapping führt zu fehlenden Berechtigungen
- Nicht getestete Partnerintegration bricht Produktszenarien
- Unzureichende Token‑Revocation bei Kompromittierung
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Regulatorische Anforderungen (z. B. DSGVO)
- • Legacy‑Anwendungen ohne Standardprotokolle
- • Netzwerk‑Latenz und geografische Verteilung