A
Aktualisierungs-Token (Refresh token)
Ein Aktualisierungs-Token (Refresh token) ist eine langlebige Berechtigung, die verwendet wird, um neue Zugriffstokens zu erhalten, ohne dass der Benutzer sich erneut authentifizieren muss. Es wird verwendet, um Benutzersitzungen aufrechtzuerhalten und ein besseres Benutzererlebnis zu bieten.
Anspruch (Claim)
Ein Anspruch (Claim) in JSON Web Token (JWT) ist ein Name-Wert-Paar, das spezifische Informationen übermittelt. In einem weiteren Kontext kann ein Anspruch jedes Name-Wert-Paar sein, das Informationen repräsentiert.
API-Schlüssel (API key)
Ein API-Schlüssel ist ein eindeutiger Bezeichner, der zur Authentifizierung und Autorisierung eines Clients beim Zugriff auf eine API verwendet wird. Er dient als geheimes Token, das in API-Anfragen enthalten ist, um die Identität des Clients zu überprüfen und den Zugriff auf bestimmte Ressourcen oder Dienste zu ermöglichen. API-Schlüssel werden typischerweise in Server-zu-Server-Kommunikationen oder beim Zugriff auf öffentliche Daten verwendet.
Attributbasierte Zugriffskontrolle (Attribute-based access control, ABAC)
Attributbasierte Zugriffskontrolle (ABAC) ist ein Zugriffssteuerungsmodell, das Attribute (wie Benutzerrollen, Ressourceneigenschaften und Umweltbedingungen) zur Entscheidungsfindung bei der Zugriffskontrolle nutzt. Es ist eine flexible und dynamische Methode, um den Zugriff auf geschützte Ressourcen zu verwalten.
Auth (Begriffserklärung)
Der Begriff "auth" wird oft als Abkürzung für Authentifizierung (authentication) oder Autorisierung (authorization) verwendet. Diese Konzepte sind miteinander verwandt, aber grundlegend unterschiedlich.
Authentifizierung (Authentication, AuthN)
Authentifizierung ist der Prozess der Überprüfung der Identitätszugehörigkeit (z. B. Benutzer oder Dienst). Sie ist die Grundlage von Identitäts- und Zugriffsmanagement (IAM)-Systemen und unerlässlich für die Sicherung von Anwendungen und Diensten.
Authentifizierungsanforderung (Authentication request)
Eine Authentifizierungsanforderung (Authentication request) ist eine OpenID Connect (OIDC)-Anforderung zur Authentifizierung eines Benutzers. Sie nutzt die OAuth 2.0-Autorisierungsanforderung wieder und erweitert sie, um die Authentifizierung zu unterstützen.
Autorisierung (Authorization)
Autorisierung (Authorization) ist der Prozess der Bestimmung, welche Aktionen eine Identität auf einer Ressource ausführen kann. Es ist ein grundlegender Sicherheitsmechanismus, um Zugriffsrichtlinien zu definieren und durchzusetzen.
Autorisierungsanfrage (Authorization request)
Eine Autorisierungsanfrage (Authorization request) ist eine OAuth 2.0-Anfrage, um einem Client die Berechtigung zu erteilen, im Namen eines Benutzers auf geschützte Ressourcen zuzugreifen. Es ist der erste Schritt der Benutzerautorisierungsflüsse in OAuth 2.0.
Autorisierungscode-Ablauf (Authorization code flow)
Der Autorisierungscode-Ablauf (Authorization code flow) ist ein sicheres OAuth 2.0-Mechanismus, das es Anwendungen ermöglicht, im Namen von Benutzern Zugriffstoken zu erhalten. Es beinhaltet die Benutzerauthentifizierung, die Generierung von Autorisierungscodes und den Token-Austausch.
Autorisierungsserver (Authorization server)
Ein Autorisierungsserver ist eine Komponente des OAuth 2.0-Frameworks, die access tokens (Zugriffstoken) an clients (Klienten) nach erfolgreicher authentication (Authentifizierung) und authorization (Autorisierung) ausgibt. Es ist auch der OpenID Provider (OP) in OpenID Connect (OIDC), der ID tokens (ID-Token) an clients (Klienten) ausgibt.
B
Bereich (Scope)
Ein Bereich (Scope) definiert die Berechtigungen, die eine Anwendung von einem Benutzer anfragt, um auf dessen geschützte Ressourcen zuzugreifen. Es ist ein grundlegendes Konzept in OAuth 2.0 und OIDC (OpenID Connect), das das Zugriffslevel einer Anwendung auf die Daten eines Benutzers kontrolliert.
C
Client
In OAuth 2.0 und OpenID Connect (OIDC) ist ein Client eine Anwendung, die im Namen eines Benutzers oder für sich selbst eine Authentifizierung (Authentication) oder Autorisierung (Authorization) anfordert. Clients können öffentlich oder vertraulich (privat) sein und verwenden verschiedene Grant-Typen, um Tokens zu erhalten.
Client-Credentials-Flow
Der Client-Credentials-Flow ist ein OAuth 2.0 Grant-Typ, der es vertraulichen Clients ermöglicht, Zugriffstoken zu erhalten, um auf geschützte Ressourcen zuzugreifen. Er ist geeignet für Machine-to-Machine (Server-zu-Server) Kommunikation.
Cross-Site-Request-Forgery (CSRF)
Cross-Site-Request-Forgery (CSRF) ist ein Angriff, der Benutzer dazu verleitet, unerwünschte Aktionen in einer Webanwendung auszuführen, bei der sie authentifiziert sind. Es ist eine häufige Sicherheitslücke, die zu unautorisierten Aktionen führen kann.
D
Dienstanbieter (Service provider, SP)
Ein Dienstanbieter (Service provider, SP) ist eine Anwendung oder ein Dienst, der für Authentifizierung (authentication) und Autorisierung (authorization) auf einen Identitätsanbieter (identity provider, IdP) angewiesen ist.
E
Einmalpasswort (One-time password, OTP)
Ein Einmalpasswort (OTP) ist ein einzigartiger, temporärer Code, der für eine einzelne Transaktion oder eine Anmeldesitzung verwendet wird.
Enterprise SSO
Enterprise Single Sign-On (SSO) ist eine spezielle Art von SSO, die für Mitarbeiter innerhalb einer Organisation entwickelt wurde.
eXtensible Access Control Markup Language (XACML)
eXtensible Access Control Markup Language (XACML) ist eine auf XML basierende Sprache zur Ausdruck von Access Control (Zugriffskontroll)-Richtlinien. Es wird hauptsächlich zur Implementierung von Attribut-basierten Access Control (ABAC) Richtlinien verwendet.
G
Gerätefluss (Device flow)
Der OAuth 2.0 Geräteautorisierungsfluss ist eine benutzerfreundliche Anmeldemethode für geräte mit eingeschränkter Eingabemöglichkeit oder kopflose Anwendungen. Durch die Überprüfung eines eindeutigen Gerätecodes können Benutzer das Gerät über ein sekundäres Gerät mit vollständiger Benutzeroberfläche autorisieren.
H
Hybrid Flow
Der Hybrid Flow ist ein OpenID Connect (OIDC) Flow, der den Authorization Code Flow und den Implicit Flow kombiniert. Er wurde entwickelt, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit für Authentifizierung (Authentication) zu bieten.
I
ID-Token
Ein ID-Token ist ein JSON Web Token (JWT), das von einem Authorization Server an eine Client-Anwendung ausgegeben wird. Es enthält Informationen über den authentifizierten Benutzer, wie beispielsweise seine eindeutige Kennung und Claims. Dieser Token wird verwendet, um die Identität des Benutzers zu überprüfen und ermöglicht der Client-Anwendung, im Namen des Benutzers auf geschützte Ressourcen zuzugreifen.
Identitäts- und Zugriffsmanagement (Identity and access management, IAM)
Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) ist ein umfassendes Konzept, das die Prozesse, Technologien und Richtlinien umfasst, die zur Verwaltung digitaler Identitäten und zur Kontrolle des Zugriffs auf Ressourcen verwendet werden. Es ist ein grundlegender Aspekt der Sicherheit in modernen Anwendungen und Systemen.
Identitätsanbieter (Identity provider, IdP)
Ein Identitätsanbieter (IdP) ist ein Dienst, der Identitäten verwaltet. Moderne Identitätsanbieter unterstützen OpenID Connect (OIDC) für die Authentifizierung und OAuth 2.0 für die Autorisierung.
Impliziter Flow (Implicit flow)
Der OIDC (OpenID Connect) implizite Flow (Implicit flow) ist eine Authentifizierungsmethode für SPAs, die es ihnen ermöglicht, schnell Tokens direkt vom Authorization Server (Autorisierungsserver) zu erhalten. Während es den Prozess vereinfacht, da kein Backend-Server erforderlich ist, geht dies mit geringerer Sicherheit aufgrund der Token-Exposition in der URL einher.
J
JSON Web Encryption (JWE)
JSON Web Encryption (JWE) ist ein Standardverfahren zum Verschlüsseln und Entschlüsseln von Daten im JSON-Format. Es wird häufig verwendet, um sensible Informationen in übermittelten JSON Web Tokens (JWTs) zu schützen.
JSON Web Signature (JWS)
JSON Web Signature (JWS) ist eine Standardmethode, um Daten im JSON-Format zu signieren und zu verifizieren. Es wird oft verwendet, um die Integrität und Authentizität von JSON Web Tokens (JWTs) in OpenID Connect (OIDC) sicherzustellen.
JSON Web Token (JWT)
JSON Web Token (JWT) ist ein offener Standard, definiert in RFC 7519, der sichere Kommunikation zwischen zwei Parteien ermöglicht. Er ist kompakt, URL-sicher und eigenständig, was ihn ideal für die Übertragung von Authentifizierungs- und Autorisierungsdaten zwischen Diensten macht.
JSON-Web-Schlüssel (JSON Web Key, JWK)
Ein JSON-Web-Schlüssel (JWK) ist ein JSON-basiertes Format zur Darstellung kryptografischer Schlüssel. Wenn mehrere JWKs zusammengefasst werden müssen, werden sie in einem JSON Web Key Set (JWKS) organisiert.
Just-in-time (JIT) Bereitstellung
Just-in-time (JIT) Bereitstellung ist ein Prozess des Identity and Access Management (IAM), bei dem Benutzerkonten dynamisch bereitgestellt werden, wenn sich ein Benutzer zum ersten Mal anmeldet.
K
Kryptografisch sicherer Pseudozufallszahlengenerator
Ein kryptografisch sicherer Pseudozufallszahlengenerator (CSPRNG) ist ein Pseudozufallszahlengenerator, der Zufallszahlen erzeugt, die für den Einsatz in kryptografischen Anwendungen geeignet sind, bei denen die Sicherheit der Daten wichtig ist.
M
Machine-to-Machine (M2M)
Machine-to-Machine (M2M)-Kommunikation bezieht sich auf den automatisierten Datenaustausch zwischen Geräten ohne menschliche Intervention. Im Kontext von Authentifizierung (Authentication) und Autorisierung (Authorization) beinhaltet die M2M-Kommunikation oft eine Client-Anwendung, die auf Ressourcen zugreifen muss, wobei die Client-Anwendung entweder eine Maschine (Dienst) ist oder eine Maschine, die im Namen eines Benutzers handelt.
Magic Link
Ein Magic Link ist eine einmalige URL, die verwendet werden kann, um den Authentifizierungsprozess abzuschließen.
Management API
Die Management API im Kontext des Identitäts- und Zugriffsmanagements (IAM) ermöglicht die programmgesteuerte Verwaltung von Ressourcen wie Benutzern, Anwendungen, Rollen und Berechtigungen. Typischerweise RESTful, bietet sie eine Abstraktionsschicht zwischen dem IAM-System und der Benutzeroberfläche und ermöglicht Automatisierung, Integration und die Entwicklung benutzerdefinierter Funktionen.
Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA)
Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsmechanismus, der von Benutzern verlangt, mindestens zwei Arten von Identifikation bereitzustellen, um den Authentifizierungsprozess abzuschließen. Sie fügt eine zusätzliche Sicherheitsschicht hinzu, die das Risiko unbefugten Zugriffs erheblich reduziert.
Multi-Tenancy (Multi-Tenancy)
Multi-Tenancy (Multi-Tenancy) ist eine Softwarearchitektur, bei der eine einzelne Anwendungsinstanz mehreren Kunden (Mandanten) dient und deren Daten isoliert und sicher hält. Es ist in der Cloud-Computing und SaaS üblich, um Ressourcen zu optimieren und die Wartung zu vereinfachen.
O
OAuth 2.0
OAuth 2.0 ist ein weit verbreitetes Autorisierungs-Framework, das es einer Anwendung (client) ermöglicht, im Namen eines Benutzers oder der Anwendung selbst einen begrenzten Zugriff auf geschützte Ressourcen zu erhalten.
OAuth 2.0-Berechtigungsgewährung (OAuth 2.0 grant)
Eine OAuth 2.0-Berechtigungsgewährung (manchmal auch als "OAuth 2.0 grant type" oder "OAuth 2.0 flow" bezeichnet) ist eine Methode, die von Clients verwendet wird, um ein Zugriffstoken (access token) von einem Autorisierungsserver (authorization server) zu erhalten. Sie ist ein wesentlicher Bestandteil, damit OAuth-Clients Identitäten authentifizieren und autorisieren können.
OAuth 2.1
OAuth 2.1 ist ein vorgeschlagenes Update des OAuth 2.0 Autorisierungs-Frameworks, das darauf abzielt, die Sicherheit und Benutzerfreundlichkeit zu verbessern, indem unsichere Flows abgeschafft und neue Best Practices eingeführt werden.
Offline-Zugang (Offline access)
Offline-Zugang ermöglicht es Clients, neue Access Tokens (Zugriffstoken) zu erhalten, ohne dass der Benutzer sich erneut authentifizieren muss. Dies ist nützlich für langlebige Sitzungen und eine bessere Benutzererfahrung.
Opaques Token
Ein opaques Token ist eine Art von Token, dessen Format vom Issuer (Issuer) bestimmt wird. Es erscheint typischerweise als Zeichen- oder Zahlenfolge und erfordert eine Validierung durch den Issuer (Issuer), anstatt alle notwendigen Informationen für eine direkte Validierung zu enthalten.
OpenID Connect (OIDC)
OpenID Connect (OIDC) ist eine Authentifizierungsschicht (Identity Layer) über OAuth 2.0, die es Clients ermöglicht, Benutzer zu authentifizieren und Identitätsinformationen auf standardisierte Weise zu erhalten.
OpenID Connect (OIDC) Discovery
OpenID Connect (OIDC) Discovery ist ein Mechanismus, der es Clients ermöglicht, die Endpunkte und Konfigurationen des OpenID Providers automatisch zu entdecken.
P
Passkey
Passkey ist ein phishing-resistentes und praktisches Anmeldeverfahren, das Passwörter ersetzt und für die Anmeldung und Multi-Faktor-Authentifizierung verwendet werden kann.
Passwortlos (Passwordless)
Passwortlos (Passwordless) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich in Computersysteme einzuloggen, ohne ein Passwort oder ein anderes wissensbasiertes Geheimnis eingeben (oder sich merken) zu müssen.
Proof Key for Code Exchange (PKCE)
Proof Key for Code Exchange (PKCE) ist eine Sicherheitserweiterung für OAuth 2.0, die Autorisierungscodes vor Abfangen und Missbrauch schützt. Es wird für alle Arten von Clients in OAuth 2.1 erzwungen.
R
Redirect-URI
Eine Redirect-URI ist eine URI, zu der der Authorization Server den Benutzer-Agent nach einer Authorization Request (Autorisierungsanforderung) umleitet. Sie ist ein wesentlicher Parameter in den OAuth 2.0 und OpenID Connect (OIDC) Grants, die Benutzerinteraktion erfordern.
Ressourcenbesitzer (Resource owner)
Ein Ressourcenbesitzer (Resource owner) ist eine Identität (normalerweise ein Benutzer), die in der Lage ist, den Zugriff auf eine geschützte Ressource zu gewähren. In OAuth 2.0 kann der Ressourcenbesitzer den Client autorisieren, in seinem Namen auf seine Ressourcen in einem Ressourcenserver zuzugreifen.
Ressourcenindikator (Resource indicator)
Der Ressourcenindikator in OAuth 2.0 ist ein erweitertes Parameter, definiert in RFC 8707, das es Clients ermöglicht, den Standort des Resource Servers im Authorization Request (Autorisierungsanfrage) zu spezifizieren. Es bietet eine skalierbare Möglichkeit, mehrere Resource Server in einem einzigen Authorization Server (Autorisierungsserver) zu verwalten.
Ressourcenserver (Resource server)
Ressourcenserver bezieht sich auf den Server, der die geschützten Ressourcen hostet, auf die der Client zugreifen möchte. Er hat auch die Verantwortung, die Zugriffstoken zu überprüfen und die geschützten Ressourcen dem Client bereitzustellen.
Rolle
Eine Rolle ist ein Kernkonzept in rollenbasierten Zugriffskontrollsystemen (RBAC), das eine Sammlung von Berechtigungen darstellt, die definiert, welche Aktionen Benutzer ausführen können, und bietet eine effiziente Möglichkeit, Zugriffsrechte für Benutzer zu verwalten und zuzuweisen.
Rollenbasierte Zugriffskontrolle (RBAC)
Rollenbasierte Zugriffskontrolle (RBAC) ist ein Zugriffskontrollmodell, das Berechtigungen Rollen zuweist, anstatt sie direkt Benutzern zuzuweisen, und so eine flexible und effiziente Möglichkeit bietet, Zugriffsrechte in Systemen zu verwalten.
S
Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML) ist ein XML-basierter Standard zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Identity Providers und Service Providers.
Signierschlüssel (Signing key)
Ein Signierschlüssel ist ein kryptografischer Schlüssel, der verwendet wird, um JSON Web Tokens (JWTs) in OpenID Connect (OIDC) zu signieren und zu verifizieren. Er dient zur Gewährleistung der Integrität und Authentizität der vom OpenID-Anbieter ausgegebenen Tokens.
Single Sign-on (SSO)
Single Sign-on (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, mit einem einzigen Satz von Anmeldedaten auf mehrere Systeme zuzugreifen.
T
Tokenanforderung (Token request)
Tokenanforderung (Token request) bezeichnet die OAuth 2.0-Anforderung zum Austausch von Anmeldeinformationen (z. B. Autorisierungscode, Aktualisierungs-Token) gegen einen Satz von Tokens, typischerweise einschließlich eines oder mehrerer der folgenden: Zugriffstoken (access token), ID-Token (ID token) oder Aktualisierungs-Token (refresh token).
Tokenintrospektion (Token introspection)
Tokenintrospektion ist eine OAuth 2.0-Erweiterung, die es Clients ermöglicht, den Autorisierungsserver abzufragen, um Zugriffstoken zu validieren und Metadaten darüber abzurufen.
U
Userinfo-Endpoint
Der Userinfo-Endpoint ist ein OpenID Connect (OIDC) Endpoint, der den Clients Benutzerinformationen zur Verfügung stellt. Er ist ein ergänzender Endpoint zum ID-Token und ermöglicht es den Clients, zusätzliche Benutzerinformationen abzurufen.
W
WebAuthn
WebAuthn ist eine API zum Zugriff auf öffentliche Schlüsselanmeldeinformationen und erleichtert die Implementierung von Passkeys.
Webhook
Webhooks sind eine Methode, mit der Webanwendungen in Echtzeit miteinander kommunizieren können. Sie ermöglichen es einer Anwendung, automatisierte Nachrichten oder Informationen an eine andere Anwendung zu senden, wenn ein bestimmtes Ereignis eintritt.
Z
Zeitbasierte Einmalpasswort (Time-based one-time password, TOTP)
Ein zeitbasiertes Einmalpasswort (TOTP) ist ein temporärer, einzigartiger Code, der von einem Algorithmus generiert wird, der die aktuelle Zeit als Schlüsselfaktor verwendet.
Zielgruppe (Audience)
Der Audience-Anspruch (Claim) in einem Token gibt den vorgesehenen Empfänger an, typischerweise die Client-Anwendung oder die API-Ressource. Er stellt sicher, dass das Token nur vom richtigen Dienst verwendet wird, was die Sicherheit durch Verhinderung von unbefugtem Zugriff erhöht.
Zugriffskontrolle (Access control)
Zugriffskontrolle (Access control) ist die Beschränkung, wer welche Aktionen auf bestimmte Ressourcen in einem System durchführen kann. Es ist ein grundlegender Sicherheitsmechanismus, um Zugriffsrichtlinien zu definieren und durchzusetzen.
Zugriffstoken (Access token)
Ein Zugriffstoken (Access token) ist ein Berechtigungsnachweis, der verwendet wird, um im Namen einer Identität (z. B. Benutzer oder Dienst) auf geschützte Ressourcen zuzugreifen. Es ist ein Inhabertoken, das basierend auf den Gültigkeitsbereichen (Berechtigungen) des Tokens Zugriff auf Ressourcen gewährt.