Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Tokenbasierte Authentifizierung | Ping Identity
Basiswissen über Identität
Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Tokenbasierte Authentifizierung

 

Die Token-basierte Authentifizierung ist eine Strategie zur Verbesserung der Sicherheit in Netzwerken. Nachdem die Benutzer ihre Anmeldedaten eingegeben haben, werden diese überprüft und ein einmaliges verschlüsseltes Token generiert, mit dem sie anschließend auf Online-Ressourcen zugreifen können, ohne bei jeder Anfrage ihren Benutzernamen und ihr Passwort eingeben zu müssen.

 

Token sind grundsätzlich sicherer als Passwörter, denn sie sind verschlüsselte, maschinell generierte Codes, die dazu dienen, die Angaben eines Benutzers über sich selbst und über seine Zugriffsberechtigung für Ressourcen zu bestätigen. Token sind in sich geschlossene Einheiten, die alle Informationen enthalten, die zur Authentifizierung der Identität eines Benutzers und der Gültigkeit der Anfrage erforderlich sind. Da die Serverseite den Status eines Benutzers nicht aufrechterhalten muss, wird die Token-basierte Authentifizierung oft als zustandslose Authentifizierung bezeichnet.

 

Jedes Token gilt ausschließlich für eine spezielle Sitzung eines Benutzers und wird durch einen Algorithmus geschützt, der sicherstellt, dass Server manipulierte Token identifizieren können. Token ermöglichen Administratoren zudem eine fein abgestimmte Zugriffskontrolle auf Ressourcen und übermitteln ihnen die Rollen und Berechtigungen der Benutzer für die jeweiligen Anwendungen. Token können sogar widerrufen werden, wodurch der Zugriff auf die Anwendungen deaktiviert wird.

 

Der wahrscheinlich wichtigste Aspekt ist jedoch die Verbesserung der Benutzererfahrung durch die Token-basierte Authentifizierung. Die Benutzer geben ihre Anmeldedaten ein, um eine Sitzung zu starten. Die Authentifizierungs- und Autorisierungsprozesse laufen vom Benutzer unbemerkt im Hintergrund. Wenn Token ablaufen oder Benutzer sich abmelden, endet die Sitzung, und die Token werden gelöscht.

 

 

Arten von Token

 

Bei Authentifizierungs- und Autorisierungsprozessen werden häufig folgende Arten von Token verwendet:

 

  • Hardware-Token

  • Einmal-Passcode- bzw. OTP-Token

  • JSON-Web-Token (JWT) 

  • API-Token

     

Hardware-Token

Die Benutzer authentifizieren sich, indem sie den Besitz von physischen Geräte wie Smartcards, Schlüsselanhänger oder USB-Geräte nachweisen. Diese Token ergänzen den Authentifizierungsprozess um eine Sicherheitsebene; es gibt sie:

 

  • Kontaktlos: Bei diesen Token muss weder ein Zugangscode eingegeben noch eine Verbindung zu einem Gerät hergestellt werden. Sie verwenden eine drahtlose Verbindung für den Zugriff auf das System. Dieses gewährt oder verweigert den Zugriff auf der Grundlage der Anmeldeinformationen, die mit dieser Verbindung gekoppelt sind.

     

  • Getrennt: Diese Art von Token muss nicht in das System eingesteckt werden, auf das zugegriffen wird. Stattdessen wird das Gerät für die Ausgabe von Einmal-Passcodes eingerichtet, die dann als Teil einer Multi-Faktor-Authentifizierung (MFA) fungieren. Ein getrenntes Token ist in der Regel ein Mobilgerät, wie z. B ein Smartphone

     

  • Verbunden: Diese Token müssen physisch mit einem System verbunden werden, um den Zugriff zu ermöglichen. Hierzu gehören z. B. USB-Token oder ein Schlüsselanhänger. Das Token wird von dem Lesegerät gescannt, das dann die zugehörigen Authentifizierungsinformationen erfasst. 

     

OTP-Token

Die Benutzer authentifizieren sich, indem sie einmalige Passcodes (OTPs) eingeben, die sie per E-Mail oder SMS erhalten. Diese Codes sind normalerweise 30 bis 60 Sekunden lang gültig. Das Token wird vorübergehend für die Dauer der Sitzung gespeichert.

 

OTP-Token können folgende Eigenschaften haben:

 

  • Synchron: Das Token enthält einen privaten Schlüssel zur Erstellung eines OTP, sobald die Sitzung beginnt.

     

  • Asynchron: Der Server präsentierte eine Challenge und das Token generiert die korrekte Antwort.

     

JWT

Die Benutzer authentifizieren sich durch die Eingabe ihres Benutzernamens und Passworts. Diese Informationen werden überprüft, und es wird ein JSON-Web-Token (JWT) generiert. Dieses enthält Informationen über das Token, den verwendeten Verschlüsselungsalgorithmus, die Anmeldedaten des Benutzers und die Authentizität der übermittelten Nachrichten.  

 

JWT bestehen aus:

 

  • Einem Header, der den Typ des Tokens und den verwendeten Verschlüsselungsalgorithmus angibt. 

     

  • Einer Payload, die Authentifizierungsdaten und andere Informationen über den Benutzer oder das Konto enthält.

     

  • Eine Signatur mitsamt eines kryptografischen Schlüssels, der dann für die Überprüfung der Authentizität der Angaben in der Payload genutzt wird.

     

API-Token

Diese Token werden als eindeutige Kennungen für Anwendungen verwendet, die Zugriff auf einen Dienst anfordern. Der Dienst generiert ein API-Token für die Anwendung, das mit dem für die Authentifizierung hinterlegten abgeglichen werden kann, um Zugang zu erhalten.

 

 

Wie funktioniert die tokenbasierte Authentifizierung?

 

Es gibt verschiedene tokenbasierte Authentifizierungsverfahren, aber grundsätzlich funktionieren sie folgendermaßen.

 

 

  1. Ein Nutzer bittet um Zugriff auf einen geschützten Server, eine Website, eine Anwendung oder eine Ressource und wird aufgefordert, sich zu authentifizieren.

     

  2. Der Server überprüft die Anmeldeinformationen des Benutzers, um festzustellen, ob seine persönlichen Angaben der Wahrheit entsprechen.

     

  3. Nach der Überprüfung stellt der Server dem Benutzer ein Sicherheits-Token aus, das ihm Zugriff auf Ressourcen gewährt, für die er autorisiert ist.

     

  4. Das Token wird im Browser des Benutzers für die Dauer der Sitzung gespeichert und bei jedem seiner Zugriffsversuche auf einen anderen Teil des Servers erneut abgefragt. Der Zugang des Benutzers zu diesen Ressourcen ist im Token festgelegt.

     

  5. Das Token verliert seine Gültigkeit, wenn die Sitzung endet, der Benutzer sich abmeldet oder die Verbindung zum Server unterbrochen wird.

 

Tokenbasierte Authentifizierungs- und Autorisierungsstandards

 

Die bekanntesten Authentifizierungs- und Autorisierungs-Frameworks und -Standards, OAuth, OpenID Connect (OIDC) und SAML verwenden alle tokenbasierte Authentifizierungsmethoden.  

 

Der Hauptunterschied zwischen diesen Standards besteht darin, dass OAuth (jetzt OAuth 2.0) ein Autorisierungs-Framework ist, das dem Schutz spezifischer Ressourcen wie Anwendungen oder Dateigruppen dient, während SAML und OIDC als Authentifizierungsstandards für sichere Anmeldeerfahrungen verwendet werden.

 

SAML

Security Assertion Markup Language (SAML) ist ein offener Standard, der Single Sign-on (SSO) ermöglicht. SAML-Token sind XML-Darstellungen von Aussagen einer Entität über eine andere. Das SAML-Token wird mit einem Zertifikat signiert, das mit dem Security-Token-Dienst verbunden ist, und enthält einen für den Zieldienst verschlüsselten Proof-Schlüssel. Das Token wird vorgelegt und der Benutzer erhält schließlich Zugang zur Anwendung. Weitere Informationen dazu finden Sie unter SAML.

 

SAML ist in Unternehmen weit verbreitet und wurde entwickelt, um SSO für browserbasierte Anwendungen und Dienste zu unterstützen. Das SSO für mobile Anwendungen oder Anwendungen, die über APIs auf Ressourcen zugreifen, wird nicht unterstützt. 

 

OAuth

OAuth ist kein Authentifizierungsprotokoll, sondern ein Open-Standard-Framework für die API-Autorisierung. Es definiert weder ein bestimmtes Token-Format noch einen gemeinsamen Satz von Geltungsbereichen für das Zugriffstoken und hat auch nichts mit der Art und Weise zu tun, wie eine geschützte Ressource ein Zugriffstoken validiert. 

 

Stattdessen legt OAuth fest, wie ein API-Client Sicherheitstoken erhält, die eine Reihe von Berechtigungen für die über diese API bereitgestellten Ressourcen enthalten. Weitere Informationen dazu finden Sie unter OAuth.

 

OIDC

OIDC verwendet JWT und Zugriffstoken, um Authentifizierungs- und Autorisierungsprozesse abzuschließen. JWT enthalten Informationen über den Benutzer, wie z. B. seinen Benutzernamen, wann er versucht hat, sich bei der Anwendung oder dem Dienst anzumelden, und wie lange er auf die Online-Ressourcen zugreifen darf.

 

Zugriffstoken ermöglichen den Zugriff auf geschützte Ressourcen und werden von der API gelesen und validiert. Diese Token können JWT sein, aber auch ein anderes Format haben. Ihr Zweck besteht darin, der API mitzuteilen, dass der Inhaber dieses Tokens berechtigt ist, auf die API zuzugreifen und bestimmte Aktionen durchzuführen, die durch den gewährten Geltungsbereich festgelegt sind. Weitere Informationen dazu finden Sie unter OIDC.

 

Weitere Informationen zu diesen Standards finden Sie unter Authentifizierungs- und Autorisierungsstandards.

Ressourcen zu diesem Thema

Blog
Der ultimative Leitfaden zur tokenbasierten Authentifizierung

   

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.