Was ist ein Identity Provider (IdP)

Die IT-Landschaft eines Unternehmens besteht meist aus fragmentierten Anmeldeseiten und Single Sign-On (SSO) Endpunkten. Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Darüber hinaus soll die Abhängigkeit von herstellerspezifischen Produkten und proprietären Protokollen in einer Web-Authentisierungslandschaft minimiert werden. Hier empfiehlt sich die Nutzung von einem zentralen Service, welcher die Authentifizierung, Token-Generierung und Bereitstellung der Nutzerinformationen für alle angeschlossenen Applikationen in unterschiedlichen Netzwerkzonen ermöglicht. 

Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Kundenspezifisch und anwenderfreundlich

Wie ein Schlüssel für mehrere Schlösser wird der Identity Provider eingesetzt, um den Zugang zu den unterschiedlichen Portalen und Anwendungen für Mitarbeitende so einfach wie möglich zu gestalten.

Unterschiedliche Identity Provider kümmerten sich bisher um die Anmeldungen, dadurch wurde es für das Unternehmen sowie seine Anwender zusehends unübersichtlich. Eine anwenderfreundlichere Lösung war gefragt. 

Bei der Konzeptionierung und anschliessenden Implementierung des zentralen Identity Provider waren für den Kunden die Verbindung (Connectivity) und Funktionalität über verschiedene Netzwerkzonen sowie die Verknüpfung mehrerer Verzeichnisdienste die größten Herausforderungen. Mit einem zentralen IdP erhalten alle Benutzer aus den verschiedenen Bereichen des Unternehmens eine einheitliche Login-Seite.

Ein Identity Provider authentifiziert Benutzer und stellt anschließend ein vertrauenswürdiges Token für andere Systeme aus. Dieses Token enthält Identitätsinformationen und wird von angebundenen Anwendungen geprüft. Typische Protokolle sind SAML, OAuth 2.0 und OpenID Connect, die standardisierte Authentifizierungsprozesse ermöglichen. Dadurch entsteht ein sicherer und skalierbarer Mechanismus zur Verwaltung von Zugriffsrechten.

Die zwei wichtigsten Komponenten des Prozesses zur Nutzung eines zentralen IdP sind die Authentifizierungs- und Autorisierungsmechanismen. Bei der Authentifizierung besteht das Hauptziel darin, die Identität des Benutzers oder des Systems zu bestimmen, um sicherzustellen, dass jede Person diejenige ist, für die sie sich ausgibt. Sobald die Authentifizierung erfolgreich durchgeführt wurde, beginnt der Prozess der Autorisierung. Dieser definiert, welche Zugriffsrechte der Benutzer oder das System haben soll. Dabei sind diese beiden wichtigen Komponenten eng miteinander verknüpft. Um die maximale Sicherheit der Systeme zu gewährleisten, müssen beide korrekt entworfen und konfiguriert werden.

Die formularbasierte Anmeldung, der Klassiker

Eine der bekanntesten Authentifizierungsmethoden ist die formularbasierte Anmeldung via Benutzername und Passwort, falls diese noch zum Einsatz kommen und noch nicht komplett durch eine Multifaktor-Authentifizierung abgelöst wurde.

Die Multifaktor-Authentifizierung (MFA) für ein zentrales IdP-System

Die Multifaktor-Authentifizierung (MFA) ist eine weitere Anmeldemethode, welche vom IdP ermöglicht wird. Dieser Mechanismus ergänzt die Anmeldung mit Passwort, indem nach einem weiteren Identitätsnachweis (Faktor) verlangt wird. Dies kann zum Beispiel eine Mobiltelefon-App, SMS oder ein physisches Gerät sein, welches ein One Time Passwort (OTP) generiert.

Zertifikatsbasierte Authentifizierung mit dem Dienstausweis

Eine der sichersten Zwei-Faktor Authentifizierungen ist die zertifikatsbasierte Authentifizierung. Sie wird in Form einer Smart Card realisiert, welche der Kunde idealerweise auch zeitgleich als Ausweis für die Zutrittsberechtigung in Gebäuden verwendet. Diese enthält die von der PKI-Zertifizierungsstelle (Public Key Infrastructure) ausgestellten Zertifikate inkl. privaten und öffentlichen Schlüsseln. Bereits beim ersten Aufruf des IdP wird überprüft, ob das Endgerät ein Zertifikat mit passendem Verwendungszweck vorweisen kann und fordert diesen zur Auswahl des Zertifikats oder direkt zur Eingabe eines PIN auf. So wird sichergestellt, dass initial eine sichere und einfache Anmeldemethode verwendet wird.

Risikobasierte Authentifizierung (RBA) für den Verdachtsfall

Die risikobasierte Authentifizierung (RBA) oder adaptive Authentifizierung ist eine weitere Sicherheitsebene, die bei dem Kunden am IdP implementiert wird. Der risikobasierte Authentifizierungsmechanismus bewertet das Risikoprofil eines Benutzers auf der Grundlage von Faktoren wie Endgerät, Standort und das Netzwerk, über welches der Benutzer versucht auf die Ressource zuzugreifen. Diese faktoren spielen hier ebenso eine Rolle, wie die Empfindlichkeit der Ressource selbst. Im Falle eines verdächtigen Zugriffs auf eine Ressource wird eine zusätzliche Authentifizierung verlangt.

Die Verwendung eines IdP hat den großen Vorteil, dass eine oder jede Kombination der oben genannten Authentifizierungsmethoden für die jeweiligen Anwendungen implementiert und bearbeitet werden kann. Damit ist die Notwendigkeit für unterschiedliche Authentifizierungen der einzelnen Applikationen nicht mehr gegeben. Darüber hinaus kann der Authentifizierungsmechanismus dieser Anwendung bei etwaigen Änderungen über den IdP bearbeitet werden.

Autorisierung auf Basis der Authentifizierung

Die optionale Autorisierung durch den IdP erfolgt auf Basis der bereits genannten Stärke-Stufen der Authentifizierung, welche pro Applikation definiert werden. Der IdP kann mit diesen Informationen die jeweiligen Zugriffsentscheidungen treffen und gewährt dem Anwender Zugriff auf das Zielsystem, fordert eine stärkere Authentifizierungsstufe oder blockiert den Zugriff.

Identität und Single Sign-On für Applikationen

Sobald die Identität und die Zugriffsrechte des Benutzers festgestellt wurden, kann ein Austausch von dessen Attributen mittels SSO-Protokolls erfolgen. Die Auswahl des Protokolls ist abhängig von den Fähigkeiten der Service Provider (SP). Aktuelle Anwendungen nutzen überwiegend SAML 2.0 oder OIDC für die Authentifizierung und nehmen jeweils den Token dieser Protokolle entgegen.

Die Herausforderung bei diesem Prozess besteht darin, dass jede Anwendung unterschiedliche Attribute für die Authentifizierung verlangt, zum Beispiel E-Mail-Adresse oder UserID usw.

Mit den Informationen aus dem Token kann die Applikation bei Bedarf eine Autorisierung selbst durchführen. Zum Beispiel wird anhand einer Liste von Rollenmitgliedschaften entschieden, welche Zugriffsrechte der Benutzer hat, da der IdP diese Informationen in den Token schreiben kann.

Es muss vorab klar definiert sein, welche Daten in den jeweilige Token geschrieben werden, um dann die einzufügenden Attribute zu konfigurieren. Für SAML 2.0 wird die existierende Assertion im XML-Dateiformat erweitert und für OIDC der JSON Web Token (JWT) angepasst.

IdP für mehr Komfort und besseren Überblick

Die Implementierung eines IdP spiegelt den Grundgedanken wider, die Anwendung separat zu betrachten und über standardisierte Protokolle erreichbar zu machen, um so eine maximale Flexibilität zu erreichen und Software-Produkte austauschbar zu machen.

Vorteile:

• Kein Vendor Lock-in-Effekt
• Access Enforcement kann mit anderen Produkten erfolgen
• Nutzung einer existierenden Identity Plattform
• Einheitlicher Login Prozess aus Benutzersicht

Nachteile:

• Initiale Konfiguration aufwendig
• Der IdP muss gegen Ausfall abgesichert sein

Ein falsch konfigurierter Identity Provider kann zu erheblichen Sicherheitslücken führen, da Authentifizierungsentscheidungen zentral gesteuert und oft unzureichend überwacht werden. Typische Risiken umfassen zu weit gefasste Zugriffsrechte, fehlerhafte Token-Validierung oder unzureichend abgesicherte Federation-Konfigurationen. Besonders kritisch wird dies in Multi-Cloud-Umgebungen, in denen ein kompromittierter IdP potenziell Zugriff auf zahlreiche angebundene Systeme ermöglicht. Fehlende oder schwache Mechanismen wie Risk-Based Authentication und adaptive MFA erhöhen zusätzlich die Angriffsfläche. Dadurch wird der IdP selbst zum Single Point of Failure innerhalb der gesamten Identity- und Sicherheitsarchitektur.

Ein Identity Provider ist die technische Instanz, während Single Sign-On ein Nutzungskonzept beschreibt. Der IdP ermöglicht SSO, indem er die einmalige Anmeldung verwaltet und vertrauenswürdige Tokens ausstellt. SSO selbst bedeutet lediglich, dass Nutzer sich einmal anmelden und mehrere Anwendungen nutzen können. Ohne einen IdP als zentrale Instanz lässt sich SSO nicht effizient umsetzen.

Ein Identity Provider wird erforderlich, sobald mehrere Anwendungen oder Systeme integriert werden müssen. Besonders in hybriden oder cloudbasierten IT-Landschaften steigt der Bedarf an zentraler Authentifizierung schnell an. Auch regulatorische Anforderungen und Sicherheitsrichtlinien machen den Einsatz eines IdP sinnvoll. Ohne IdP entstehen oft fragmentierte und unsichere Login-Prozesse.

Ein Identity Provider trägt wesentlich zur Einhaltung regulatorischer Anforderungen bei, indem er Authentifizierungs- und Zugriffsprozesse zentral steuert und nachvollziehbar dokumentiert. Durch Funktionen wie Protokollierung, Audit-Trails und zentrale Richtlinienverwaltung lassen sich Zugriffe revisionssicher überwachen und kontrollieren. Standards wie ISO 27001 oder regulatorische Vorgaben fordern genau diese Transparenz und Nachvollziehbarkeit im Umgang mit Identitäten und Berechtigungen. Zusätzlich ermöglichen integrierte Mechanismen wie Multi-Faktor-Authentifizierung und rollenbasierte Zugriffskontrolle eine risikobasierte Durchsetzung von Sicherheitsrichtlinien. Dadurch wird der IdP zu einem zentralen Baustein für Governance, Risk und Compliance innerhalb moderner IT- und IAM-Architekturen.

Ein Identity Provider reduziert die Komplexität der Benutzerverwaltung erheblich und erhöht gleichzeitig die Sicherheit. Unternehmen profitieren von zentralisierten Authentifizierungsprozessen und konsistenten Sicherheitsrichtlinien. Zudem ermöglicht ein IdP die bessere Umsetzung von Zero-Trust-Architekturen und Multi-Faktor-Authentifizierung. Dies führt zu besserer Kontrolle über Zugriffe und geringeren administrativen Aufwänden.

Die Einführung eines Identity Providers ist zunächst mit Investitionen in Technologie, Integration und organisatorische Anpassungen verbunden. Unternehmen müssen bestehende Systeme anbinden, Prozesse harmonisieren und gegebenenfalls neue Sicherheitsmechanismen implementieren. Kurzfristig entstehen dadurch Kosten, die häufig als Hürde wahrgenommen werden. Gleichzeitig reduziert ein IdP jedoch sofort die Komplexität in der Benutzerverwaltung und minimiert redundante Authentifizierungsprozesse. Mittelfristig führt dies zu geringeren Supportkosten, da Passwort-Resets und Zugriffsprobleme deutlich seltener auftreten. Zusätzlich sinkt das Risiko von Sicherheitsvorfällen, was potenziell hohe Folgekosten vermeidet. Studien und Projekterfahrungen zeigen, dass sich ein Identity Provider typischerweise innerhalb von etwa 2,5 Jahren amortisiert, wie bei Inventx. Dieser Effekt entsteht durch Effizienzgewinne, reduzierte Sicherheitsrisiken und bessere Skalierbarkeit. Ein IdP ist damit nicht nur eine technische, sondern vor allem eine strategisch wirtschaftliche Entscheidung.

Zu den bekanntesten Identity Providern zählen Microsoft Entra External ID, Okta, Ping Identity und OneLogin. Diese Lösungen bieten unterschiedliche Schwerpunkte. Sie unterstützen gängige Standards und lassen sich in bestehende IT-Landschaften integrieren. Die Auswahl hängt von Anforderungen wie Skalierbarkeit, Compliance und Integrationsfähigkeit ab.