A
Aktualisierungs-Token (Refresh token)
Ein Aktualisierungs-Token (Refresh token) ist eine langlebige Berechtigung, die verwendet wird, um neue Zugriffstokens zu erhalten, ohne dass der Benutzer sich erneut authentifizieren muss. Es wird verwendet, um Benutzersitzungen aufrechtzuerhalten und ein besseres Benutzererlebnis zu bieten.
Mehr erfahren
Anspruch (Claim)
Ein Anspruch (Claim) in JSON Web Token (JWT) ist ein Name-Wert-Paar, das spezifische Informationen übermittelt. In einem weiteren Kontext kann ein Anspruch jedes Name-Wert-Paar sein, das Informationen repräsentiert.
Mehr erfahren
API-Schlüssel (API key)
Ein API-Schlüssel ist ein eindeutiger Bezeichner, der zur Authentifizierung und Autorisierung eines Clients beim Zugriff auf eine API verwendet wird. Er dient als geheimes Token, das in API-Anfragen enthalten ist, um die Identität des Clients zu überprüfen und den Zugriff auf bestimmte Ressourcen oder Dienste zu ermöglichen. API-Schlüssel werden typischerweise in Server-zu-Server-Kommunikationen oder beim Zugriff auf öffentliche Daten verwendet.
Mehr erfahren
Attributbasierte Zugriffskontrolle (Attribute-based access control, ABAC)
Attributbasierte Zugriffskontrolle (ABAC) ist ein Zugriffssteuerungsmodell, das Attribute (wie Benutzerrollen, Ressourceneigenschaften und Umweltbedingungen) zur Entscheidungsfindung bei der Zugriffskontrolle nutzt. Es ist eine flexible und dynamische Methode, um den Zugriff auf geschützte Ressourcen zu verwalten.
Mehr erfahren
Auth (Begriffserklärung)
Der Begriff "auth" wird oft als Abkürzung für Authentifizierung (authentication) oder Autorisierung (authorization) verwendet. Diese Konzepte sind miteinander verwandt, aber grundlegend unterschiedlich.
Mehr erfahren
Authentifizierung (Authentication)
Authentifizierung (Authentication) ist der Prozess der Überprüfung des Identitätsbesitzes (z.B. Benutzer oder Dienst). Sie ist die Grundlage von Identitäts- und Zugriffskontrollmanagementsystemen (IAM) und essenziell für die Sicherheit von Anwendungen und Diensten.
Mehr erfahren
Authentifizierungsanforderung (Authentication request)
Eine Authentifizierungsanforderung (Authentication request) ist eine OpenID Connect (OIDC)-Anforderung zur Authentifizierung eines Benutzers. Sie nutzt die OAuth 2.0-Autorisierungsanforderung wieder und erweitert sie, um die Authentifizierung zu unterstützen.
Mehr erfahren
Autorisierung (Authorization)
Autorisierung (Authorization) ist der Prozess der Bestimmung, welche Aktionen eine Identität auf einer Ressource ausführen kann. Es ist ein grundlegender Sicherheitsmechanismus, um Zugriffsrichtlinien zu definieren und durchzusetzen.
Mehr erfahren
Autorisierungsanfrage (Authorization request)
Eine Autorisierungsanfrage (Authorization request) ist eine OAuth 2.0-Anfrage, um einem Client die Berechtigung zu erteilen, im Namen eines Benutzers auf geschützte Ressourcen zuzugreifen. Es ist der erste Schritt der Benutzerautorisierungsflüsse in OAuth 2.0.
Mehr erfahren
Autorisierungscode-Ablauf (Authorization code flow)
Der Autorisierungscode-Ablauf (Authorization code flow) ist ein sicheres OAuth 2.0-Mechanismus, das es Anwendungen ermöglicht, im Namen von Benutzern Zugriffstoken zu erhalten. Es beinhaltet die Benutzerauthentifizierung, die Generierung von Autorisierungscodes und den Token-Austausch.
Mehr erfahren
Autorisierungsserver (Authorization server)
Ein Autorisierungsserver ist eine Komponente des OAuth 2.0-Frameworks, die access tokens (Zugriffstoken) an clients (Klienten) nach erfolgreicher authentication (Authentifizierung) und authorization (Autorisierung) ausgibt. Es ist auch der OpenID Provider (OP) in OpenID Connect (OIDC), der ID tokens (ID-Token) an clients (Klienten) ausgibt.
Mehr erfahren
B
Bereich (Scope)
Ein Bereich (Scope) definiert die Berechtigungen, die eine Anwendung von einem Benutzer anfragt, um auf dessen geschützte Ressourcen zuzugreifen. Es ist ein grundlegendes Konzept in OAuth 2.0 und OIDC (OpenID Connect), das das Zugriffslevel einer Anwendung auf die Daten eines Benutzers kontrolliert.
Mehr erfahren
C
Client
In OAuth 2.0 und OpenID Connect (OIDC) ist ein Client eine Anwendung, die im Namen eines Benutzers oder für sich selbst eine Authentifizierung (Authentication) oder Autorisierung (Authorization) anfordert. Clients können öffentlich oder vertraulich (privat) sein und verwenden verschiedene Grant-Typen, um Tokens zu erhalten.
Mehr erfahren
Client-Credentials-Flow
Der Client-Credentials-Flow ist ein OAuth 2.0 Grant-Typ, der es vertraulichen Clients ermöglicht, Zugriffstoken zu erhalten, um auf geschützte Ressourcen zuzugreifen. Er ist geeignet für Machine-to-Machine (Server-zu-Server) Kommunikation.
Mehr erfahren
Cross-Site-Request-Forgery (CSRF)
Cross-Site-Request-Forgery (CSRF) ist ein Angriff, der Benutzer dazu verleitet, unerwünschte Aktionen in einer Webanwendung auszuführen, bei der sie authentifiziert sind. Es ist eine häufige Sicherheitslücke, die zu unautorisierten Aktionen führen kann.
Mehr erfahren
D
Dienstanbieter (Service provider, SP)
Ein Dienstanbieter (Service provider, SP) ist eine Anwendung oder ein Dienst, der für Authentifizierung (authentication) und Autorisierung (authorization) auf einen Identitätsanbieter (identity provider, IdP) angewiesen ist.
Mehr erfahren
E
Einmalpasswort (One-time password, OTP)
Ein Einmalpasswort (OTP) ist ein einzigartiger, temporärer Code, der für eine einzelne Transaktion oder eine Anmeldesitzung verwendet wird.
Mehr erfahren
Enterprise SSO
Enterprise Single Sign-On (SSO) ist eine spezielle Art von SSO, die für Mitarbeiter innerhalb einer Organisation entwickelt wurde.
Mehr erfahren
eXtensible Access Control Markup Language (XACML)
eXtensible Access Control Markup Language (XACML) ist eine auf XML basierende Sprache zur Ausdruck von Access Control (Zugriffskontroll)-Richtlinien. Es wird hauptsächlich zur Implementierung von Attribut-basierten Access Control (ABAC) Richtlinien verwendet.
Mehr erfahren
G
Gerätefluss (Device flow)
Der OAuth 2.0 Geräteautorisierungsfluss (device authorization flow) ist eine benutzerfreundliche Anmeldemethode für Geräte mit eingeschränkten Eingabemöglichkeiten oder kopflose Anwendungen. Durch die Überprüfung eines einzigartigen Gerätecodes können Benutzer das Gerät über ein sekundäres Gerät mit vollständiger Benutzeroberfläche autorisieren.
Mehr erfahren
H
Hybrid Flow
Der Hybrid Flow ist ein OpenID Connect (OIDC) Flow, der den Authorization Code Flow und den Implicit Flow kombiniert. Er wurde entwickelt, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit für Authentifizierung (Authentication) zu bieten.
Mehr erfahren
I
ID-Token
Ein ID-Token ist ein JSON Web Token (JWT), das von einem Authorization Server an eine Client-Anwendung ausgegeben wird. Es enthält Informationen über den authentifizierten Benutzer, wie beispielsweise seine eindeutige Kennung und Claims. Dieser Token wird verwendet, um die Identität des Benutzers zu überprüfen und ermöglicht der Client-Anwendung, im Namen des Benutzers auf geschützte Ressourcen zuzugreifen.
Mehr erfahren
Identitäts- und Zugriffsmanagement (Identity and access management, IAM)
Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) ist ein umfassendes Konzept, das die Prozesse, Technologien und Richtlinien umfasst, die zur Verwaltung digitaler Identitäten und zur Kontrolle des Zugriffs auf Ressourcen verwendet werden. Es ist ein grundlegender Aspekt der Sicherheit in modernen Anwendungen und Systemen.
Mehr erfahren
Identitätsanbieter (Identity provider, IdP)
Ein Identitätsanbieter (IdP) ist ein Dienst, der Identitäten verwaltet. Moderne Identitätsanbieter unterstützen OpenID Connect (OIDC) für die Authentifizierung und OAuth 2.0 für die Autorisierung.
Mehr erfahren
Impliziter Flow (Implicit flow)
Der OIDC (OpenID Connect) implizite Flow (Implicit flow) ist eine Authentifizierungsmethode für SPAs, die es ihnen ermöglicht, schnell Tokens direkt vom Authorization Server (Autorisierungsserver) zu erhalten. Während es den Prozess vereinfacht, da kein Backend-Server erforderlich ist, geht dies mit geringerer Sicherheit aufgrund der Token-Exposition in der URL einher.
Mehr erfahren
J
JSON Web Encryption (JWE)
JSON Web Encryption (JWE) ist ein Standardverfahren zum Verschlüsseln und Entschlüsseln von Daten im JSON-Format. Es wird häufig verwendet, um sensible Informationen in übermittelten JSON Web Tokens (JWTs) zu schützen.
Mehr erfahren
JSON Web Signature (JWS)
JSON Web Signature (JWS) ist eine Standardmethode, um Daten im JSON-Format zu signieren und zu verifizieren. Es wird oft verwendet, um die Integrität und Authentizität von JSON Web Tokens (JWTs) in OpenID Connect (OIDC) sicherzustellen.
Mehr erfahren
JSON Web Token (JWT)
JSON Web Token (JWT) ist ein offener Standard, definiert in RFC 7519, der sichere Kommunikation zwischen zwei Parteien ermöglicht. Er ist kompakt, URL-sicher und eigenständig, was ihn ideal für die Übertragung von Authentifizierungs- und Autorisierungsdaten zwischen Diensten macht.
Mehr erfahren
JSON-Web-Schlüssel (JSON Web Key, JWK)
Ein JSON-Web-Schlüssel (JWK) ist ein JSON-basiertes Format zur Darstellung kryptografischer Schlüssel. Wenn mehrere JWKs zusammengefasst werden müssen, werden sie in einem JSON Web Key Set (JWKS) organisiert.
Mehr erfahren
Just-in-time (JIT) Bereitstellung (Just-in-time provisioning)
Die Just-in-time (JIT) Bereitstellung ist ein Prozess im Identity and Access Management (IAM), bei dem Benutzerkonten dynamisch und automatisch erstellt werden, wenn ein Benutzer versucht, zum ersten Mal auf ein System oder eine Anwendung zuzugreifen. Dieser Ansatz hilft, den Onboarding-Prozess zu optimieren und sicherzustellen, dass Benutzerkonten nur bei Bedarf erstellt werden, wodurch der Verwaltungsaufwand reduziert und die Sicherheit verbessert wird.
Mehr erfahren
M
Machine-to-Machine (M2M)
Machine-to-Machine (M2M)-Kommunikation bezieht sich auf den automatisierten Datenaustausch zwischen Geräten ohne menschliche Intervention. Im Kontext von Authentifizierung (Authentication) und Autorisierung (Authorization) beinhaltet die M2M-Kommunikation oft eine Client-Anwendung, die auf Ressourcen zugreifen muss, wobei die Client-Anwendung entweder eine Maschine (Dienst) ist oder eine Maschine, die im Namen eines Benutzers handelt.
Mehr erfahren
Magic Link
Ein Magic Link ist eine einmalige URL, die zur Durchführung des Authentifizierungsprozesses verwendet werden kann.
Mehr erfahren
Management API
Die Management API im Kontext des Identitäts- und Zugriffsmanagements (IAM) ermöglicht die programmgesteuerte Verwaltung von Ressourcen wie Benutzern, Anwendungen, Rollen und Berechtigungen. Typischerweise RESTful, bietet sie eine Abstraktionsschicht zwischen dem IAM-System und der Benutzeroberfläche und ermöglicht Automatisierung, Integration und die Entwicklung benutzerdefinierter Funktionen.
Mehr erfahren
Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA)
Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsmechanismus, der von Benutzern verlangt, mindestens zwei Arten von Identifikation bereitzustellen, um den Authentifizierungsprozess abzuschließen. Sie fügt eine zusätzliche Sicherheitsschicht hinzu, die das Risiko unbefugten Zugriffs erheblich reduziert.
Mehr erfahren
Multi-Tenancy (Multi-tenancy)
Multi-Tenancy (Multi-tenancy) ist eine Softwarearchitektur, bei der eine einzelne Instanz einer Anwendung mehreren Kunden (Tenants) dient und deren Daten isoliert und sicher hält. Es ist üblich im Cloud-Computing und SaaS, um Ressourcen zu optimieren und die Wartung zu vereinfachen.
Mehr erfahren
O
OAuth 2.0
OAuth 2.0 ist ein weit verbreitetes Autorisierungs-Framework, das es einer Anwendung (client) ermöglicht, im Namen eines Benutzers oder der Anwendung selbst einen begrenzten Zugriff auf geschützte Ressourcen zu erhalten.
Mehr erfahren
OAuth 2.0-Berechtigungsgewährung (OAuth 2.0 grant)
Eine OAuth 2.0-Berechtigungsgewährung (manchmal auch als "OAuth 2.0 grant type" oder "OAuth 2.0 flow" bezeichnet) ist eine Methode, die von Clients verwendet wird, um ein Zugriffstoken (access token) von einem Autorisierungsserver (authorization server) zu erhalten. Sie ist ein wesentlicher Bestandteil, damit OAuth-Clients Identitäten authentifizieren und autorisieren können.
Mehr erfahren
OAuth 2.1
OAuth 2.1 ist ein vorgeschlagenes Update des OAuth 2.0 Autorisierungs-Frameworks, das darauf abzielt, die Sicherheit und Benutzerfreundlichkeit zu verbessern, indem unsichere Flows abgeschafft und neue Best Practices eingeführt werden.
Mehr erfahren
Offline-Zugang (Offline access)
Offline-Zugang ermöglicht es Clients, neue Access Tokens (Zugriffstoken) zu erhalten, ohne dass der Benutzer sich erneut authentifizieren muss. Dies ist nützlich für langlebige Sitzungen und eine bessere Benutzererfahrung.
Mehr erfahren
Opaques Token (Opaque token)
Ein opaques Token ist eine Art von Token, dessen Format vom issuer (Aussteller) bestimmt wird, typischerweise als Zeichen- oder Zahlenfolge erscheint und eine Validierung durch den issuer (Aussteller) erfordert, anstatt alle notwendigen Informationen für eine direkte Validierung zu enthalten.
Mehr erfahren
OpenID Connect (OIDC)
OpenID Connect (OIDC) ist eine Authentifizierungsschicht (Identity Layer) über OAuth 2.0, die es Clients ermöglicht, Benutzer zu authentifizieren und Identitätsinformationen auf standardisierte Weise zu erhalten.
Mehr erfahren
OpenID Connect (OIDC) Discovery
OpenID Connect (OIDC) Discovery ist ein Mechanismus, der es Clients ermöglicht, die Endpunkte und Konfigurationen des OpenID Providers automatisch zu entdecken.
Mehr erfahren
P
Passkey (Passkey)
Passkey (Passkey) ist ein phishing-resistentes und bequemes Anmeldedaten-Ersetzungswerkzeug, das Passwörter ersetzt und für Anmeldungen und Multi-Faktor-Authentifizierung (MFA) verwendet werden kann.
Mehr erfahren
Passwortlos (Passwordless)
Passwortlos (Passwordless) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich bei Computersystemen anzumelden, ohne ein Passwort oder ein anderes wissensbasiertes Geheimnis eingeben oder sich merken zu müssen.
Mehr erfahren
Proof Key for Code Exchange (PKCE)
Proof Key for Code Exchange (PKCE) ist eine Sicherheitserweiterung für OAuth 2.0, die Autorisierungscodes vor Abfangen und Missbrauch schützt. Es wird für alle Arten von Clients in OAuth 2.1 erzwungen.
Mehr erfahren
R
Redirect-URI
Eine Redirect-URI ist eine URI, zu der der Authorization Server den Benutzer-Agent nach einer Authorization Request (Autorisierungsanforderung) umleitet. Sie ist ein wesentlicher Parameter in den OAuth 2.0 und OpenID Connect (OIDC) Grants, die Benutzerinteraktion erfordern.
Mehr erfahren
Ressourcenbesitzer (Resource owner)
Ein Ressourcenbesitzer (Resource owner) ist eine Identität (normalerweise ein Benutzer), die in der Lage ist, den Zugriff auf eine geschützte Ressource zu gewähren. In OAuth 2.0 kann der Ressourcenbesitzer den Client autorisieren, in seinem Namen auf seine Ressourcen in einem Ressourcenserver zuzugreifen.
Mehr erfahren
Ressourcenindikator (Resource indicator)
Der Ressourcenindikator in OAuth 2.0 ist ein erweitertes Parameter, definiert in RFC 8707, das es Clients ermöglicht, den Standort des Resource Servers im Authorization Request (Autorisierungsanfrage) zu spezifizieren. Es bietet eine skalierbare Möglichkeit, mehrere Resource Server in einem einzigen Authorization Server (Autorisierungsserver) zu verwalten.
Mehr erfahren
Ressourcenserver (Resource server)
Ressourcenserver bezieht sich auf den Server, der die geschützten Ressourcen hostet, auf die der Client zugreifen möchte. Er hat auch die Verantwortung, die Zugriffstoken zu überprüfen und die geschützten Ressourcen dem Client bereitzustellen.
Mehr erfahren
Rolle (Role)
Eine Rolle ist eine Sammlung von Berechtigungen in Zugangskontrollsystemen, die definiert, welche Aktionen Benutzer ausführen dürfen. Sie bietet eine effiziente Möglichkeit, Zugriffsrechte an Benutzer zu verwalten und zuzuweisen.
Mehr erfahren
Rollenbasierte Zugriffskontrolle (Role-based access control, RBAC)
Die rollenbasierte Zugriffskontrolle (RBAC) ist ein Zugriffskontrollmodell, das Berechtigungen nicht direkt Benutzern, sondern Rollen zuweist und so einen flexiblen und effizienten Weg bietet, Zugriffsrechte in Systemen zu verwalten.
Mehr erfahren
S
Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML) ist ein XML-basierter Standard zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Identity Providers und Service Providers.
Mehr erfahren
Signierschlüssel (Signing key)
Ein Signierschlüssel ist ein kryptografischer Schlüssel, der verwendet wird, um JSON Web Tokens (JWTs) in OpenID Connect (OIDC) zu signieren und zu verifizieren. Er dient zur Gewährleistung der Integrität und Authentizität der vom OpenID-Anbieter ausgegebenen Tokens.
Mehr erfahren
Single Sign-on (SSO)
Single Sign-on (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, mit einem einzigen Satz von Anmeldedaten auf mehrere Systeme zuzugreifen. Als ein Schlüsselelement von Identity and Access Management (IAM) Systemen wird SSO in modernen cloud-basierten Anwendungen und Diensten häufig verwendet, um den Benutzerzugang zu vereinfachen und die Sicherheit zu erhöhen.
Mehr erfahren
T
Tokenanforderung (Token request)
Tokenanforderung (Token request) bezeichnet die OAuth 2.0-Anforderung zum Austausch von Anmeldeinformationen (z. B. Autorisierungscode, Aktualisierungs-Token) gegen einen Satz von Tokens, typischerweise einschließlich eines oder mehrerer der folgenden: Zugriffstoken (access token), ID-Token (ID token) oder Aktualisierungs-Token (refresh token).
Mehr erfahren
Tokenintrospektion (Token introspection)
Tokenintrospektion ist eine OAuth 2.0-Erweiterung, die es Clients ermöglicht, den Autorisierungsserver abzufragen, um Zugriffstoken zu validieren und Metadaten darüber abzurufen.
Mehr erfahren
U
Userinfo-Endpoint
Der Userinfo-Endpoint ist ein OpenID Connect (OIDC) Endpoint, der den Clients Benutzerinformationen zur Verfügung stellt. Er ist ein ergänzender Endpoint zum ID-Token und ermöglicht es den Clients, zusätzliche Benutzerinformationen abzurufen.
Mehr erfahren
W
WebAuthn
WebAuthn ist eine API für den Zugriff auf öffentliche Schlüssel-Credentials und erleichtert die Implementierung von Passwörtern (Passkeys).
Mehr erfahren
Webhook
Webhooks sind eine Methode, mit der Webanwendungen in Echtzeit miteinander kommunizieren können. Sie ermöglichen es einer Anwendung, automatisierte Nachrichten oder Informationen an eine andere Anwendung zu senden, wenn ein bestimmtes Ereignis eintritt. Im Gegensatz zu traditionellen APIs, bei denen eine Anwendung eine andere nach Updates abfragen muss, senden Webhooks Daten an die empfangende Anwendung, sobald das Ereignis eintritt.
Mehr erfahren
Z
Zeitbasierte Einmalpasswort (Time-based one-time password, TOTP)
Ein zeitbasiertes Einmalpasswort (TOTP) ist ein temporärer, einzigartiger Code, der von einem Algorithmus generiert wird, der die aktuelle Zeit als Schlüsselfaktor verwendet.
Mehr erfahren
Zielgruppe (Audience)
Der Audience-Anspruch (Claim) in einem Token gibt den vorgesehenen Empfänger an, typischerweise die Client-Anwendung oder die API-Ressource. Er stellt sicher, dass das Token nur vom richtigen Dienst verwendet wird, was die Sicherheit durch Verhinderung von unbefugtem Zugriff erhöht.
Mehr erfahren
Zugriffskontrolle (Access control)
Zugriffskontrolle (Access control) ist die Beschränkung, wer welche Aktionen auf bestimmte Ressourcen in einem System durchführen kann. Es ist ein grundlegender Sicherheitsmechanismus, um Zugriffsrichtlinien zu definieren und durchzusetzen.
Mehr erfahren
Zugriffstoken (Access token)
Ein Zugriffstoken (Access token) ist ein Berechtigungsnachweis, der verwendet wird, um im Namen einer Identität (z. B. Benutzer oder Dienst) auf geschützte Ressourcen zuzugreifen. Es ist ein Inhabertoken, das basierend auf den Gültigkeitsbereichen (Berechtigungen) des Tokens Zugriff auf Ressourcen gewährt.
Mehr erfahren