Authentifizierung und Autorisierung in der Web-API mit Ping Identity

Programmierschnittstellen erleichtern den Datentransfer zwischen Systemen und stellen wichtige Zugangspunkte dar, die Organisationen mit Mitarbeitern oder Dritten verbinden. Im Prinzip straffen sie organisatorische Abläufe und sorgen somit für eine höhere Effizienz der Prozesse. Allerdings sind ungeschützte oder kompromittierte APIs hauptverantwortlich für schwere Datenverluste. Umso wichtiger ist die API-Sicherheit. Die Strategie für die API-Sicherheit hängt jedoch vom Typ der übertragenen Daten ab.

Um den Zugriff auf eine Web-API zu steuern, stehen Nutzern einige Optionen zur Verfügung. Während die Authentifizierung die Identität des Nutzers kennt, entscheidet die Autorisierung, ob ein Nutzer eine Aktion überhaupt ausführen darf. So könnte ein Nutzer beispielsweise lediglich zum Abrufen einer Ressource berechtigt sein, jedoch nicht zum Erstellen einer solchen. Beide Funktionen sind bisweilen in Einzellösungen miteinander verbunden: So gibt es Systeme, die einen Code bereitstellen, der sowohl den Nutzer authentifiziert als auch seine Autorisierung nachweist. Doch im Prinzip geht es immer um ein System, das die Identität der Nutzer nachweist.

Versucht eine Client-Anwendung auf eine andere Anwendung zugreifen, fragt das API-Gateway, ob der Client auch der ist, der er vorgibt zu sein. Dies erfolgt mit Hilfe eines Authentifizierungsprotokolls, welches die Anmeldedaten des Clients, der die Verbindung anfordert, an de Zugriffsserver sendet. So kann sichergestellt werden, ob dem Client der Zugriff gewährt werden kann. Hierbei soll auch ausgeschlossen werden, dass die Zugriffsanfrage versehentlich oder durch einen Cyberkriminellen erfolgt, der sich illegal Zugang zu Unternehmensressourcen erschleichen möchte.

Es gibt diverse Methoden, um API-Anfragen zu authentifizieren. Die gängigsten sind die HTTP-Basis-Authentifizierung, die Authentifizierung über API-Schlüssel und die OAuth-Authentifizierung.

Die Auswahl der für eine bestimmte API am besten geeigneten Authentifizierungsmethode, ist einerseits abhängig vom Sicherheitsniveau, welches für die Validierung von Clients erforderlich ist, und andererseits von der Komplexität der Implementierung und Wartung.

Die HTTP-Basis-Authentifizierung ist am einfachsten zu implementieren, jedoch leider recht anfällig für Bedrohungen, da das Passwort nicht verschlüsselt ist. Ebenfalls keine Probleme bei der Implementierung bereitet die Authentifizierung über API-Schlüssel. Da dieser selbst eine Identität darstellt, mit der die Anwendung oder der Nutzer identifiziert werden kann, muss er eindeutig, zufällig und nicht erratbar sein. Ebenso wichtig wie die Generierung von sicheren API-Schlüsseln ist die sichere Speicherung derselben. Anstatt den Schlüssel im Klartext zu speichern oder zu verschlüsseln, sollte er als Hash-Wert in der Datenbank verwahrt werden. Selbst wenn sich jemand unbefugt Zugriff auf diese Datenbank verschafft, können die API-Schlüssel nicht ausgelesen werden. Während die OAuth-2.0-Authentfizierung eine skalierbare Sicherheit und das beste Benutzererlebnis bietet, ist sie aufwändiger bei Implementierung und Wartung. Jedoch besteht der Vorteil darin, dass Nutzer ein bestehendes Konto verwenden und Anbieter einen bestehenden Authentifizierungsmechanismus einsetzen können, was die Dinge wiederum vereinfacht. Ein höheres Sicherheitslevel bietet die Kombination von OAuth 2.0 mit OpenID Connect, da auf diese Weise zusätzlich eine starke Autorisierung unterstützt wird.