Identität und Zugriff
OAuth 2.0
Auch bekannt als: OAuth2
Definition
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
Beispiele
- Eine mobile App holt sich per Authorization Code mit PKCE ein Token für eine Banking-API.
- Ein Backend-Dienst nutzt Client Credentials, um Ereignisse an eine Drittanbieter-API zu senden.
Verwandte Begriffe
OpenID Connect (OIDC)
Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
Autorisierung
Entscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind.
Authentifizierung
Verfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.
Single Sign-On (SSO)
Authentifizierungsverfahren, bei dem sich ein Benutzer einmalig bei einem vertrauenswürdigen Identity Provider anmeldet und anschließend mehrere Anwendungen ohne erneute Eingabe von Zugangsdaten nutzt.
Föderierte Identität
Konstellation, in der unabhängige Organisationen oder Domänen einem gemeinsamen Identity Provider vertrauen, sodass Nutzer dieselbe Identität überall verwenden können.
API Security
API Security — definition coming soon.