Was ist ein Dienstanbieter (Service provider, SP)?
Im Bereich des Identitäts- und Zugriffsmanagement (Identity and access management, IAM) , ist ein Dienstanbieter (Service provider, SP) (oder eine verlassende Partei im Kontext von OpenID Connect (OIDC) ) eine Anwendung oder ein Dienst, der auf einen Identitätsanbieter (Identity provider, IdP) für Authentifizierung (authentication) und Autorisierung (authorization) angewiesen ist. Er ist verantwortlich für die Bereitstellung von Diensten für Benutzer und die Durchsetzung von Zugriffskontrolle (Access control) Richtlinien basierend auf den von dem Identitätsanbieter ausgegebenen Token.
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdP_SP_0' d='M268%2c41.569L288.833%2c37.974C309.667%2c34.379%2c351.333%2c27.19%2c382.583%2c25.424C413.833%2c23.658%2c434.667%2c27.316%2c454.843%2c30.858C475.02%2c34.4%2c494.54%2c37.828%2c504.3%2c39.541L514.06%2c41.255'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdP_SP_1' d='M268%2c64L288.833%2c64C309.667%2c64%2c351.333%2c64%2c382.583%2c64C413.833%2c64%2c434.667%2c64%2c454.833%2c64C475%2c64%2c494.5%2c64%2c504.25%2c64L514%2c64'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdP_SP_2' d='M268%2c98.667L288.833%2c104.222C309.667%2c109.778%2c351.333%2c120.889%2c382.583%2c123.618C413.833%2c126.347%2c434.667%2c120.694%2c454.857%2c115.216C475.047%2c109.738%2c494.593%2c104.434%2c504.366%2c101.782L514.14%2c99.13'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg transform='translate(393%2c 20)' class='edgeLabel'%3e%3cg transform='translate(-82.7109375%2c -12)' class='label'%3e%3cforeignObject height='24' width='165.421875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eAuthentifiziert Benutzer%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(393%2c 64)' class='edgeLabel'%3e%3cg transform='translate(-53.21875%2c -12)' class='label'%3e%3cforeignObject height='24' width='106.4375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eGibt Token aus%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(393%2c 132)' class='edgeLabel'%3e%3cg transform='translate(-100%2c -36)' class='label'%3e%3cforeignObject height='72' width='200'%3e%3cdiv style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eStellt Benutzerinformationen bereit%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(138%2c 64)' id='flowchart-IdP-0' class='node default'%3e%3crect height='78' width='260' y='-39' x='-130' style='' class='basic label-container'/%3e%3cg transform='translate(-100%2c -24)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='48' width='200'%3e%3cdiv style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIdentit%c3%a4tsanbieter (Identity Provider)%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(643.609375%2c 64)' id='flowchart-SP-1' class='node default'%3e%3crect height='78' width='251.21875' y='-39' x='-125.609375' style='' class='basic label-container'/%3e%3cg transform='translate(-95.609375%2c -24)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='48' width='191.21875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eDienstanbieter%3cbr /%3e(Anwendung%2c Service%2c API)%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Standards für Dienstanbieter
Es gibt keinen strikten Standard für Dienstanbieter, da sie jede Art von Anwendung oder Dienst sein können, der Identitätsmanagement benötigt. Dienstanbieter folgen jedoch oft den Standards, die vom Identitätsanbieter, auf den sie sich stützen, festgelegt werden. Zum Beispiel, wenn der Identitätsanbieter OpenID Connect (OIDC) unterstützt, wird der Dienstanbieter typischerweise OIDC für Authentifizierung (authentication) und Autorisierung (authorization) verwenden.
Architektur des Dienstanbieters
Der Begriff “Dienstanbieter” spezifiziert keine bestimmte Architektur oder Implementierung. In der Regel müssen Dienstanbieter beim Identitätsanbieter registriert werden, um Vertrauen aufzubauen und sichere Kommunikation zu ermöglichen. Der Registrierungsprozess umfasst normalerweise den Austausch von Metadaten und Client-Berechtigungsnachweisen.
Zum Beispiel beinhaltet die Dienstanbieter-Metadaten im Kontext von OpenID Connect typischerweise:
- Client ID: Eine eindeutige Kennung für den Dienstanbieter.
- Client secret: Ein gemeinsames Geheimnis zur Authentifizierung des Dienstanbieters.
- Weiterleitungs-URIs (Redirect URIs) : Die URIs, an die der Identitätsanbieter die Benutzer nach der Authentifizierung (authentication) und Autorisierung (authorization) zurückleitet.
Sobald registriert, kann der Dienstanbieter den Authentifizierung (Authentication) Prozess einleiten, indem er Benutzer an den vom Identitätsanbieter angegebenen Endpunkt weiterleitet.
Wenn Dienstanbieter für nicht-interaktive Anwendungsfälle gebaut werden, werden sie oft als Clients bezeichnet, die Machine-to-Machine (M2M) Kommunikation erfordern.