Was ist Identitätsföderation, und welche Rolle spielt ein Identitätsanbieter?
Kurzantwort
Identitätsföderation stellt Vertrauen zwischen einem Identitätsanbieter (IdP), der Benutzer authentifiziert, und Dienstanbietern (vertrauenden Parteien) her, die diese Authentifizierung nutzen. Der IdP verifiziert den Benutzer und stellt eine signierte Assertion oder ein Token aus; der Dienstanbieter vertraut ihm, statt eigene Anmeldedaten zu verwalten. Das ermöglicht domänenübergreifendes SSO und zentrale Kontrolle, konzentriert aber das Risiko: Kompromittiert man den IdP, kompromittiert man alles, was ihm vertraut.
Wenn sich ein Benutzer „mit seinem Firmenkonto" bei einer SaaS-App eines Drittanbieters anmeldet, ist das Identitätsföderation in Aktion. Sie erlaubt Organisationen, die Authentifizierung zu zentralisieren und dennoch viele unabhängige Anwendungen zu nutzen.
Die Beteiligten
- Identitätsanbieter (IdP). Die Instanz, die den Benutzer authentifiziert und einen Identitätsnachweis ausstellt — Entra ID, Okta, Google usw. Er hält die Anmeldedaten und führt die Anmeldung durch.
- Dienstanbieter (SP) / vertrauende Partei. Die Anwendung, die der Benutzer erreichen will. Sie verifiziert die Anmeldedaten nicht selbst; sie vertraut den Assertionen des IdP.
- Die Vertrauensbeziehung. Vorab durch den Austausch von Metadaten und Signaturschlüsseln aufgebaut, damit der SP kryptografisch prüfen kann, dass eine Assertion wirklich vom IdP stammt und nicht gefälscht wurde.
Wie ein föderierter Login abläuft
Der Benutzer landet beim SP, der ihn zum IdP umleitet. Der IdP authentifiziert ihn (Passwort + MFA usw.) und gibt eine signierte Assertion oder ein Token zurück (eine SAML-Assertion oder ein OIDC-ID-Token), das beschreibt, wer er ist. Der SP prüft die Signatur, liest die Claims und gewährt eine Sitzung — ohne je das Passwort des Benutzers zu sehen.
Warum zentralisieren — und was es kostet
Der Vorteil ist real: ein Ort, um MFA und bedingten Zugriff durchzusetzen, ein Ort, um einen ausscheidenden Mitarbeiter zu deaktivieren, konsistente Identität über Dutzende Apps und kein Passwort-Wildwuchs. Der Nachteil ist die Risikokonzentration — der IdP wird zu einem einzigen Punkt katastrophalen Versagens. Kompromittiert man ihn (oder seine Signaturschlüssel), kann ein Angreifer gültige Assertionen für jede verbundene App prägen. Deshalb verlangen IdPs die stärksten Schutzmaßnahmen: phishing-resistente MFA für Administratoren, Schlüsselschutz und enge Überwachung.
Föderation vs. ein großes Verzeichnis
Ein einziges Verzeichnis bedeutet, dass ein System alle Konten besitzt. Föderation lässt getrennt verwaltete Domänen einander vertrauen — nützlich für Partner, Fusionen und SaaS, wo Sie den Benutzerspeicher der anderen Seite nicht kontrollieren.
Worauf Interviewer achten: Sie trennen IdP und vertrauende Partei klar, beschreiben das Vertrauensmodell der signierten Assertion, und markieren den IdP als das konzentrierte Risiko, das am stärksten geschützt werden muss.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied zwischen dem IdP und dem Dienstanbieter / der vertrauenden Partei?
- Warum konzentriert Föderation das Risiko auf den IdP, und wie mindert man es?
- Worin unterscheidet sich Föderation von einem einzigen großen Verzeichnis?