Authentifizierungsprotokolle werden gelegentlich mit einem Authentifizierungs-„Standard“ verwechselt. Ein Authentifizierungsprotokoll besteht aus verschiedenen spezifischen Regeln und Verfahren, auf die sich alle Entitäten einigen müssen, bevor eine Kommunikation möglich ist. Jede der Parteien muss die Protokollsprache in allen Schritten befolgen, damit die anfordernde Entität die empfangende Entität sicher authentifizieren kann und umgekehrt. Heutzutage können die Unternehmen aus vielen Authentifizierungsprotokollen wählen. In diesem Artikel werden Kerberos, Lightweight Directory Application Protocol (LDAP) und WS-Trust vorgestellt.
Kerberos wurde entwickelt, um sowohl die Authentifizierung als auch die Autorisierung zu unterstützen, damit ein Benutzer nach seiner Authentifizierung gleichzeitig auch autorisiert ist. Das von vielen Unternehmen für Single Sign On (SSO) verwendete Kerberos-Protokoll sendet zur Authentifizierung keine Passwörter über das Netzwerk. Stattdessen arbeitet Kerberos mit einer starken, zeitlich begrenzten Kryptographie mit mehreren geheimen Schlüsseln und einem Drittanbieter-Dienst für die Authentifizierung von Client-Server-Anwendungen und Benutzeridentitäten.
Kerberos ist zwar ein komplexer Prozess am Backend, bietet aber eine nahezu reibungslose Erfahrung am Frontend. Benutzer melden sich einfach bei einem Gerät an, werden automatisch authentifiziert und können anschließend auf Netzwerkressourcen und viele Anwendungen von Drittanbietern zugreifen, zu deren Nutzung sie zuvor berechtigt wurden. Kerberos rationalisiert den Arbeitsalltag, so dass sich die Mitarbeiter auf ihre eigentliche Aufgaben konzentrieren können, ohne Zeit mit wiederholten Anmeldungen bei den benötigten Systemen und Ressourcen zu verlieren.
LDAP wurde ursprünglich entwickelt, um die Authentifizierungssitzungen von Mitarbeitern abzusichern. Es verwendet starke Verschlüsselungsregeln, die verhindern, dass Benutzer schwache Passwörter erstellen. Eine LDAP-Authentifizierungssitzung beginnt, sobald ein Nutzer (Client) eine Verbindung zu einem LDAP-Server herstellt, auf dem Administratoren zuvor bereits Benutzerdaten hinterlegt haben. Wenn die Verbindung steht, können die beiden Entitäten Daten austauschen.
Im aktiven Verzeichnis eines Netzwerks dient das LDAP zur Ablage von Daten in einer hierarchischen Form, damit Benutzer schnell benötigte Informationen finden. Wenn ein Nutzer eine LDAP-Datenbank nach einem bestimmten Objekt abfragt, wird LDAP den Verzeichnisbaum von oben nach unten durchforsten, um das vom Nutzer angeforderte Objekt zu finden. Alle Berechtigungen sind in den einzelnen Domänen der Hierarchie hinterlegt, so dass bereits in dieser Phase eine Authentifizierung gewährt oder verweigert werden kann, ohne dass die allgemeine Netzwerkadministration in Anspruch genommen wird.
Das WS-Trust-Protokoll dient dem Aufbau und der Verwaltung von Vertrauensbeziehungen zwischen zwei oder mehreren Anwendungen oder Geräten. Unternehmen können mithilfe des WS-Trust-Protokolls das Basis-Messaging-Framework für sichere Meldungen von Maschine zu Maschine definieren. WS-Trust kann Sicherheitstoken ausstellen, erneuern und validieren. Genauer gesagt verwendet das Protokoll einen Security Token Service (STS), um Operationen mit Sicherheitstoken durchzuführen.
Auf der Seite des Webservice-Clients gestattet das WS-Trust dem STS die Umwandlung eines lokalen Sicherheitstokens in ein standardmäßiges Sicherheitstoken in der Security Assertion Markup Language (SAML), das die Identitätsangaben des Benutzers enthält. Beim Anbieter des Webservices validiert der STS dann diese eingehenden Sicherheitstoken und kann auch ein neues lokales Token erzeugen, das von weiteren Anwendungen verwendet werden kann. Die zentrale Funktion von WS-Trust besteht in der Erstellung von Anfrage-Antwort-Nachrichtenpaaren unter Verwendung eines STS.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern