VergissPasswort

Wie kann die die 2FA-Integration erfolgen?

Die Integration der starken Authentisierung kann auf unterschiedlicher Weise erfolgen.
Im einfachsten Fall wird die Integration direkt im Online-Dienst vorgenommen. Allerdings hat dies den großen Nachteil, dass der Online-Dienst immer dann angepasst werden muss, wenn Änderungen an der eingesetzten Authentisierungstechnologie notwendig werden.
Direkt
Um den Prozess der starken Authentisierung von den fachlichen Abläufen im Online-Diensten zu entkoppeln, empfiehlt sich der Einsatz eines spezialisierten Authentisierungsdienstes, der über standardisierte Protokolle für das föderierte Identitätsmanagement angesprochen werden kann. Hierdurch können leicht unterschiedliche Mechanismen zur starken Authentisierung unterstützt und notwendige Fortentwicklungen in der Authentisierungstechnologie ohne Auswirkungen auf den Online-Dienst vorgenommen werden.
FIM
In diesem Fall erfolgt nach dem Zugriff des Benutzers auf den Onlinie-Dienst (1) eine Umleitung des Benutzers zum Authentisierungsdienst (2), der die starke Authentifizierung des Benutzers im Auftrag des Onlinie-Dienstes mit einem sicherheitstechnisch geeigneten Verfahren durchführt (3) und das Ergebnis der Authentifizierung in einer gesicherten Weise zum Online-Dienst zurückschickt (4), bevor der Benutzer im Erfolgsfall Zugriff erhält.
Damit die ausgelagerte Authentifizierung nicht missbraucht werden kann, müssen geeignete Sicherheitsmaßnahmen implementiert werden, die regelmäßig im Rahmen von geeigneten Zertifizierungsverfahren (z.B. gemäß ISO 27001 auf Basis von IT-Grundschutz) geprüft und zertifiziert werden. Soweit im Rahmen der starken Authentifizierung auch personenbezogene Daten verarbeitet werden, sind die Anforderungen des Bundesdatenschutzgesetzes zu berücksichtigen, deren Erfüllung beispielsweise im Rahmen einer Zertifizierung gemäß des Trusted Cloud Datenschutz-Profils für Cloud Dienste nachgewiesen werden kann.
Das heute am weitesten verbreiteten Protokolle für das föderierte Identitätsmanagement und die Auslagerung der starken Authentisierung an einen spezialisierten Authentisierungsdienst ist das im Jahr 2005 vom Security Services Technical Committee der internationalen Standardisierungsorganisation OASIS standardisierte SAML (Security Assertion Markup Language) Protokoll, bei dem XML-basierte Nachrichten ausgetauscht werden.
SAML
Hierbei wird in Schritt (2) im Zuge der Umleitung an den Authentisierungsdienst ein so genannter AuthnRequest an den Authentisierungsdienst geschickt und in Schritt (4) das Ergebnis der Authentifizierung in einer Response-Nachricht an den Online-Dienst zurückgeschickt.
Ein weiteres Protokoll für die Auslagerung der starken Authentisierung ist das auf dem OAuth 2.0 Authorization Framework basierende OpenID Connect Protokoll.
OIDC
Anders als bei SAML bietet der Authentisierungsdienst bei OpenID Connect zusätzlich zum Authentisierungsendpunkt weitere Endpunkte (Authorization Endpoint (A), Token Endpoint (T) und UserInfo Endpoint (UI)) an, die im Zuge eines Authentisierungsvorganges vom Online-Dienst angefragt werden müssen, um das Ergebnis der Authentifizierung und möglicherweise weitere Identitätsinformationen (Claims) zu erhalten.