{"id":7787,"date":"2026-04-13T04:14:00","date_gmt":"2026-04-13T04:14:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=7787"},"modified":"2026-04-13T04:14:00","modified_gmt":"2026-04-13T04:14:00","slug":"was-ist-federated-identity-management","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=7787","title":{"rendered":"Was ist Federated Identity Management?"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Federated Identity optimiert Komfort und Sicherheit auf Kosten der Komplexit\u00e4t.\n

PeachShutterStock | shutterstock.com<\/p>\n<\/div>\n

Im Kern der Enterprise Security steht die Zerrei\u00dfprobe zwischen Benutzerkomfort und Security-Anforderungen. Dabei handelt es sich um einen Balanceakt, der regelm\u00e4\u00dfig auf Authentifizierungsebene<\/a> ausgetragen wird und sich direkt auf das Onboarding- und Anmeldeerlebnis auswirkt. Geht es darum diesen Konflikt aufzul\u00f6sen, steht Federated Identity an vorderster Front: Sie kann eine gute User Experience<\/a> bieten, ohne dabei das Sicherheitsniveau zu beeintr\u00e4chtigen.<\/p>\n

Federated Identity Management \u2013 Definition<\/h3>\n

Identity & Access Management<\/strong> (IAM<\/a>) ist der \u00fcbergeordnete Bereich, in dem es um digitale Identit\u00e4ten und Zugriffsmanagement geht. Federated Identity Management<\/strong> (oder f\u00f6rderiertes Identit\u00e4tsmanagement) ist eine IAM-Kategorie, die darauf fokussiert, ein einziges Authentifizierungsereignis sicher zu erm\u00f6glichen, um mehrere Interaktionen oder den Austausch von Identit\u00e4tsinformationen abzudecken. Mit anderen Worten: Federated Identity Management (FIM) erm\u00f6glicht vielen Diensten, eine einzige digitale Identit\u00e4t<\/a> gemeinsam zu nutzen. Ein Beispiel f\u00fcr den praktischen Einsatz von FIM w\u00e4re, wenn Sie sich bei Twitter mit ihrem Google-Konto anmelden.<\/p>\n

F\u00f6deriertes Identit\u00e4tsmanagement kann der Benutzererfahrung, der allgemeinen Sicherheit und der Ausfallsicherheit zutr\u00e4glich sein. Daf\u00fcr gilt es, folgende Kompromisse einzugehen:<\/p>\n

erh\u00f6hte architektonische Komplexit\u00e4t,<\/p>\n

Bindung an einen bestimmten Anbieter und<\/p>\n

m\u00f6gliche Servicekosten.<\/p>\n

Federated Identity Management wird bisweilen mit Single Sign-On<\/a> (SSO) in einen Topf geworfen. Genau genommen ist SSO allerdings eine Funktion von FIM \u2013 und einer seiner wesentlichen Use Cases, den wir im Folgenden n\u00e4her betrachten. Zuvor noch ein Hinweis: Das Thema Self-Sovereign Identity (oder dezentrale Identit\u00e4t<\/a>) ist wieder eine andere Baustelle<\/a>.<\/p>\n

Anwendungsfall (Federated) Single-Sign On<\/h3>\n

Man unterscheidet zwei Arten von Single Sign-on: Einerseits das, was f\u00fcr Anwendungen innerhalb einer einzelnen Organisation gilt, und andererseits das, was organisations\u00fcbergreifend gilt. Ersteres wird in der Regel einfach als Single Sign-on bezeichnet, manchmal auch als \u201cEnterprise Single Sign-on\u201d. Letzteres f\u00e4llt unter den Begriff Federated Single Sign-on (FSSO).<\/p>\n

Die High-Level-Architektur, um beide SSO-Formen abzudecken, sieht folgenderma\u00dfen aus:<\/p>\n

\n

Der Blick auf eine High-Level-SSO-Architektur.<\/p>\n

Foto: Foundry \/ Matthew Tyson<\/p>\n<\/div>\n

In jedem Fall erfordert Federated Identity Management eine zentrale Institution, die die gemeinsamen Anmeldeinformationen zwischen den verschiedenen Diensten vermittelt. Dabei kann es sich um einen Identity Manager handeln, der:<\/p>\n

von der Organisation selbst erstellt wurde (etwa unter Verwendung von Active Directory<\/a>).<\/p>\n

\u00fcber einen Identit\u00e4tsanbieter in unterschiedlichem Umfang bereitgestellt wird.<\/p>\n

Enterprise Single Sign-on<\/strong> deckt oft Situationen ab, in denen sich Mitarbeiter mehrfach bei internen Systemen anmelden m\u00fcssen, beispielsweise an HR-Portal und IT-Ticketsystem. Dieses Konzept birgt offensichtliche UX-, aber auch systemische Probleme, weil Identit\u00e4tsinformationen \u00fcber heterogene Systeme verteilt werden. Dieser Umstand beeintr\u00e4chtigt die Sicherheit und erschwert es, Richtlinien durchzusetzen. So m\u00fcssen etwa bei On- und Off-Boarding eines Mitarbeiters gleich zwei verschiedene Datenspeicher ge\u00e4ndert werden.<\/p>\n

Federated Single Sign-on<\/strong> erm\u00f6glicht die gemeinsame Nutzung von Anmeldeinformationen \u00fcber Unternehmensgrenzen hinweg. Als solches st\u00fctzt es sich in der Regel auf eine gro\u00dfe, gut etablierte Einheit mit weitreichendem Trust \u2013 beispielsweise Google, Microsoft oder Amazon. Selbst eine kleine Applikation kann relativ einfach um die Option \u201cAnmelden bei Google\u201d erg\u00e4nzt werden und den Nutzern eine einfache Anmeldem\u00f6glichkeit bieten, bei der sensible Informationen in den H\u00e4nden der gro\u00dfen Organisation bleiben.<\/p>\n

Federated SSO implementieren<\/h3>\n

Der Aufbau einer Federated SSO-L\u00f6sung richtet sich nach den jeweils spezifischen Anforderungen. Die allgemeinen Schritte sind dabei jedoch identisch:<\/p>\n

Identity Provider einrichten:<\/strong> Entweder, Sie stellen eine zentralisierte Identity Infrastructure bereit oder Sie richten ein Konto bei einem Federated-Identity-Anbieter ein (Google, Microsoft, Okta). Auch eine M\u00f6glichkeit: Sie kreieren eine Mischform.<\/p>\n

Provider mit Anwendungsinformationen f\u00fcttern:<\/strong> So konfigurieren Sie den Identity Provider und schaffen die Grundlage, dass sich Applikationen mit dem Anbieter verbinden k\u00f6nnen.<\/p>\n

Provider-Anmeldeinformationen hinzuf\u00fcgen:<\/strong> Diese werden Sie im n\u00e4chsten Schritt verwenden, um Ihren Anwendungen mitzuteilen, wie sie sich authentifizieren sollen.<\/p>\n

Applikationen einrichten:<\/strong> In Ihrem Anwendungscode f\u00fcgen Sie Abh\u00e4ngigkeiten f\u00fcr die Authentifizierung und Interaktion mit dem Identity-Provider-Service hinzu.<\/p>\n

Neue Authentifizierung integrieren:<\/strong> Mit dem konfigurierten SSO-Service haben Ihre Benutzer eine M\u00f6glichkeit, sich zu authentifizieren. Das funktioniert auch in \u201ctransparent\u201d: Anwendungen erkennen und authentifizieren User mit einer Live-Session bei einem anderen Service automatisch. <\/p>\n

Weil es eine einfache L\u00f6sung ist, entscheiden sich die meisten Unternehmen heute f\u00fcr einen Cloud Identity Provider im Rahmen eines SaaS-Angebots<\/a> \u2013 sowohl, wenn es um Enterprise als auch wenn es um Federated SSO geht.<\/p>\n

SSO-Protokolle implementieren<\/h3>\n

F\u00fcr SSO-Interaktionen werden im Wesentlichen drei Protokolle verwendet: SAML<\/a>, OIDC<\/a> und OAuth 2.0<\/a>. Je nachdem, welches Protokoll der von Ihnen verwendete Identity-Anbieter unterst\u00fctzt, werden Sie eines davon verwenden, um die sicheren Token-Informationen zwischen Ihren Anwendungen zu \u00fcbermitteln. Jedes der Protokolle stellt einen offenen Standard dar, der auf einen bestimmten Anwendungsfall ausgerichtet ist.<\/p>\n

SAML<\/strong> ist ein XML-basiertes Protokoll, das h\u00e4ufig in Unternehmen verwendet wird, um Enterprise SSO zu unterst\u00fctzen oder um zwischen verschiedenen Business-Service-Anbietern hin- und herzuspringen. Es kann auch f\u00fcr die allgemeine gemeinsame Nutzung von Identit\u00e4ten verwendet werden, einschlie\u00dflich Federated SSO (insofern der Identity Provider das unterst\u00fctzt).<\/p>\n

OAuth 2.0<\/strong> ist ein Authentifizierungsprotokoll, das die gemeinsame Nutzung von Ressourcendaten zwischen Anbietern auf der Grundlage der Zustimmung des Benutzers erm\u00f6glicht. Oauth fokussiert auf die gemeinsame Nutzung der Authentifizierung zwischen Diensten ohne die Angabe von Anmeldeinformationen.<\/p>\n

OIDC (OpenID Connect<\/strong>) stellt eine auf OAuth 2.0 aufbauende Schicht dar, die in der Regel f\u00fcr Social Logins (etwa \u201cSign in with GitHub\u201d) verwendet wird. OIDC enth\u00e4lt einige Erweiterungen gegen\u00fcber OAuth, einschlie\u00dflich Identity Assertions, Userinfo API und Standard Discovery \u2013 standardisierte Mechanismen f\u00fcr die sichere Bereitstellung und Nutzung von Identit\u00e4tsinformationen.<\/p>\n

Diese Protokolle kommen einzeln oder im Kombination mit anderen Technologien zum Einsatz. So k\u00f6nnen beispielsweise JSON Web Token verwendet werden, um OAuth 2.0 Credential Token-Informationen in einem sichereren Format zu kapseln.<\/p>\n

Gl\u00fccklicherweise ist der Prozess zur Implementierung dieser Protokolle umfassend dokumentiert und wird von einer Vielzahl von Technologie-Stacks unterst\u00fctzt. Der gr\u00f6\u00dfte Teil der Arbeit wird durch Abstraktionen auf h\u00f6herer Ebene in vielen Sprachen und Frameworks gekapselt. Spring Security<\/a> bietet beispielsweise SSO-Unterst\u00fctzung, ebenso wie Passport<\/a> im NodeJS\/Express-\u00d6kosystem. (fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Federated Identity optimiert Komfort und Sicherheit auf Kosten der Komplexit\u00e4t. PeachShutterStock | shutterstock.com Im Kern der Enterprise Security steht die Zerrei\u00dfprobe zwischen Benutzerkomfort und Security-Anforderungen. Dabei handelt es sich um einen Balanceakt, der regelm\u00e4\u00dfig auf Authentifizierungsebene ausgetragen wird und sich direkt auf das Onboarding- und Anmeldeerlebnis auswirkt. Geht es darum diesen Konflikt aufzul\u00f6sen, steht Federated […]<\/p>\n","protected":false},"author":0,"featured_media":3409,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-7787","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7787"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7787"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7787\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3409"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7787"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7787"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7787"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}