Delegated Authentication ist Sicherheitskonzept im Bereich der Authentifizierung. Ein Unternehmen kann den Authentifizierungsprozess an einen Drittanbieter auslagern. Der grosse Vorteil dabei ist, dass dieser auf die Identitätsprüfung spezialisiert ist. Das Unternehmen muss also nicht selbst komplexe Authentifizierungssysteme implementieren, um die IT-Sicherheit zu garantieren.
Zudem bringt die Delegated Authentication einen benutzerfreundlichen Vorteil mit sich: Die Anwender, dies sich bei einem Programm oder in einem System anmelden wollen, müssen sich nicht immer separat anmelden, da der der externe Identitätsanbieter ihre Identität überall bestätigen kann, wo Delegated Authentication implementiert ist. So nutzt zum Beispiel auch Single-Sign-On (SSO) das Authentifizierungskonzept. Wie die Delegated Authentication funktionert und welche weiteren Vorteile diese Methode mit sich bringt, lesen Sie hier:
Funktionsweise der Delegated Authentication
Bei der traditionellen Authentifizierung verwendet eine Anwendung ihre eigenen Methoden, um Benutzer zu verifizieren. Delegierte Authentifizierung hingegen ermöglicht es, dass die Identitätsprüfung von einem spezialisierten externen Dienst durchgeführt wird, häufig unter Verwendung von Standards wie OAuth, OpenID Connect oder SAML. Der Ablauf sieht so aus: Der Benutzer versucht auf eine Anwendung zuzugreifen, die Delegated Authentication unterstützt. Die Anwendung leitet den Benutzer an einen externen Authentifizierungsdienst weiter, der die Identität des Benutzers mittels Benutzername, Passwort oder anderer Methoden prüft. Erfolgreiche Verifizierung wird durch ein Bestätigungstoken belegt, das die Anwendung erhält und den Zugriff auf die Anwendung ermöglicht.
Wie sieht das Ganze in den verschiedenen Branchen und Anwendungsbereichen aus?
Zahlungsverkehr:
Für die Identifizierung im Zahlungsverkehr gibt es drei Parteien - den Issuer, Acquirer und die Kartensysteme.
Der Issuer ist quasi die Bank des Kunden und verwaltet den Authentifizierungsprozess.
Der Acquirer übermittelt die Zahlungsinformationen an den Issuer, um die Transaktion zu überprüfen. In einigen Fällen fungiert der Acquirer auch als Zahlungsdienstleister des Unternehmens.
Die Kartensysteme sind zusammen mit dem Issuer – also der Bank – verantwortlich für die Erstellung und Validierung des Authentifizierungsnachweises.
Bei der Delegated Authentication wird die normalerweise von Issuer durchgeführte Authentifizierung an den Acquirer weitergegeben. Dadurch kann der Acquirer den Prozess und seine Qualität kontrollieren, was das Kauferlebnis verbessert und Reibungsverluste reduziert.
- E-Commerce und Online-Dienste:
Die Nutzung von Delegated Authentication, wie Social-Logins oder Single Sign-On-Optionen, erleichtert die Anmeldung für Benutzer und verbessert die Benutzererfahrung. Dadurch steigt die Wahrscheinlichkeit, dass Kunden wiederkommen. - Gesundheitswesen:
Delegated Authentication ermöglicht Patienten den einfachen Zugriff auf ihre medizinischen Informationen über verschiedene medizinische Einrichtungen hinweg. - Unternehmensanwendungen und SaaS-Plattformen:
Unternehmen nutzen Delegated Authentication, um ihren Mitarbeitern den einfachen Zugriff auf verschiedene Cloud-Dienste und SaaS-Anwendungen zu ermöglichen. - Social-Media-Plattformen:
Durch Delegated Authentication können Social-Media-Websites es Benutzern ermöglichen, sich über ihre bestehenden Konten auf anderen Plattformen oder Apps anzumelden. - iGaming-Industrie:
Gambling-Plattformen nutzen Delegated Authentication, um Spielern die Anmeldung mit ihren Social-Media-Logins zu erleichtern. Dies steigert die Nutzerfreundlichkeit und fördert die Kundenbindung.
Zu den Vorteilen von Delegated Authentication gehört vor allem, dass die Sicherheit effektiv erhöht wird. Zudem verbessert es die Authentifizierungserfahrung, was wiederum dazu führt, dass die Conversion Rate bei gleichzeitiger Reduzierung von Betrug, erhöht wird.
Was sind weitere Vorteile von Delegated Authentication?
Verbesserte Sicherheit: Drittanbieter von Authentifizierungsdiensten sind oft erfahrener und versierter im Bereich der Sicherheit als viele Unternehmen. Die Auslagerung der Authentifizierung an einen vertrauenswürdigen Anbieter ermöglicht den Nutzen bewährter Sicherheitsmassnahmen, wodurch das Risiko von Sicherheitsverletzungen, insbesondere bei sicherheitskritischen Anwendungen, reduziert wird.
- Benutzerfreundlichkeit:
Delegated Authentication ermöglicht eine reibungslose Anmeldung und Registrierung für Benutzer. Durch die Verwendung ihrer vorhandenen Anmeldeinformationen von einem bekannten und vertrauenswürdigen Dienst müssen sie sich nicht bei jedem einzelnen Dienst oder jeder Anwendung separat anmelden. Dies verbessert die Benutzererfahrung und fördert die Kundenbindung. - Single Sign-On (SSO):
Delegated Authentication ist ein wichtiger Bestandteil von Single Sign-On, bei dem Benutzer sich einmal anmelden und dann automatisch Zugriff auf mehrere verbundene Anwendungen erhalten. Dadurch erhöht sich die Produktivität der Benutzer, da sie sich nicht wiederholt bei verschiedenen Anwendungen einloggen müssen. - Zeit- und Kosteneffizienz:
Die Auslagerung der Authentifizierung an einen spezialisierten Drittanbieter kann für Unternehmen kostengünstiger sein als die Entwicklung und Wartung eines eigenen umfassenden Authentifizierungssystems. Es spart Zeit und Ressourcen, da das Unternehmen nicht jedes Mal von Grund auf ein Authentifizierungssystem implementieren muss, wenn eine neue Anwendung entwickelt wird. - Skalierbarkeit und Verfügbarkeit:
Drittanbieter von Authentifizierungsdiensten verfügen in der Regel über leistungsfähige und skalierbare Infrastrukturen, die hohe Benutzerlasten und Anforderungen bewältigen können. Dadurch wird eine zuverlässige Authentifizierung und Verfügbarkeit, auch in Spitzenzeiten, gewährleistet. - Compliance und Datenschutz:
Zuverlässige Drittanbieter von Authentifizierungsdiensten können spezielle Anforderungen in Bezug auf Compliance und Datenschutz erfüllen. Die Nutzung eines solchen Anbieters hilft dem Unternehmen sicherzustellen, dass es geltende Gesetze und Vorschriften einhält.
Delegated Authentication in der Praxis – Ein Beispiel
Stellen wir uns vor, es gibt ein Patientenportal, das den Patienten ermöglicht, auf ihre medizinischen Daten wie Aufzeichnungen, Termine, Labortests und andere gesundheitsbezogene Informationen zuzugreifen. Mehrere medizinische Einrichtungen oder Gesundheitsdienstleister nutzen dieses Portal, jedoch haben sie jeweils ihre eigene interne Authentifizierung für ihre Mitarbeiter und Systeme.
Anstatt ein eigenes Authentifizierungssystem für das Patientenportal zu entwickeln, entscheidet sich das Unternehmen hinter dem Portal dafür, die Authentifizierung an die verschiedenen medizinischen Einrichtungen zu delegieren. Hierfür wird ein zuverlässiger Drittanbieter für die Delegated Authentication ausgewählt.
In einem Patientenportal haben Patienten die Möglichkeit, auf ihre medizinischen Daten zuzugreifen, wie Aufzeichnungen, Termine, Labortests und andere relevante Informationen. Um dies zu ermöglichen, wird die Authentifizierung des Benutzers an einen zuverlässigen Drittanbieter ausgelagert.
Der Ablauf sieht folgendermassen aus:
Wenn der Patient das Portal besucht und auf seine Daten zugreifen möchte, leitet das Portal den Benutzer an den Drittanbieter weiter, der für die Authentifizierung verantwortlich ist. Dort wird der Benutzer aufgefordert, sich mit seinen Anmeldedaten (Benutzername und Passwort) oder anderen Authentifizierungsmethoden zu identifizieren. Der Drittanbieter überprüft die Identität des Benutzers und stellt ein Bestätigungstoken aus, das besagt, dass die Authentifizierung erfolgreich war. Sobald das Patientenportal das Bestätigungstoken empfängt, gewährt es dem Patienten den Zugriff auf seine persönlichen medizinischen Informationen. Dank dieses Verfahrens ist der sichere und bequeme Zugriff auf die Gesundheitsdaten über verschiedene medizinische Einrichtungen hinweg möglich.