TL;DR
- Authentifizierung fragt, wer Sie sind, indem die Anmeldedaten einer Person identifiziert werden, sei es per Passwort, Passkey, Multifaktor-Authentifizierungsabfrage usw., nur um ihre Identität zu validieren.
- Autorisierung sagt Ihnen, was Sie tun können, indem bewertet wird, welche Rolle/welches Attribut/welche Richtlinie für jeden validierten Benutzer/Workload gilt. Sie entscheidet, auf welche Ressourcen/Aktionen nach der Authentifizierung zugegriffen werden darf.
- OpenID Connect (OIDC) wird für die Authentifizierung verwendet, während OAuth 2.0 für die delegationsbasierte Autorisierung von APIs/Services verwendet wird.
- Die Verwechslung von Authentifizierung und Autorisierung kann zu schwerwiegenden Designfehlern führen, etwa dazu, dass einer gültigen Anmeldung plötzlich die Berechtigung erteilt wird, alle möglichen Aktionen auszuführen (auch wenn dies nicht innerhalb ihrer Rechte liegt); Benutzern übermäßig privilegierte Rollen zugewiesen werden; und auf hartcodierte Berechtigungsprüfungen vertraut wird, die schwer nachzuverfolgen, zu verwalten und zu auditieren sind.
Einführung
Dem Internet geht es derzeit nicht besonders gut, und es gerät ins Wanken. Der cPanel- und WHM-Authentifizierungs-Bypass CVE-2026-41940 hat uns gezeigt, wie viele Hosting-Anbieter noch auf älteren Versionen festhängen und wie groß ihre potenziellen Auswirkungen tatsächlich sind. Und dieser Exploit betrifft alle Versionen.
Für alle, die kompromittiert werden, ist das eine gute Erinnerung daran, Ihre Infrastruktur durch starke Netzwerksegmentierung zu schützen.
Microsoft war kürzlich ebenfalls mit einer großen mehrstufigen Phishing-Kampagne konfrontiert, die auf über 35.000 Benutzer in mehr als 13.000 Organisationen abzielte. Hacker nutzten Adversary-in-the-Middle (AiTM)-Techniken, um MFA zu umgehen und Sitzungscookies zu stehlen.
Wenn das verwirrend klingt und Sie den Unterschied zwischen Authentifizierungs- und Autorisierungsangriffen nicht kennen, lesen Sie weiter. Wir erklären es unten.
Was ist Authentifizierung?
Authentifizierung veranlasst den Benutzer nachzuweisen, wer er ist, und schützt sensible Daten vor unbefugtem Zugriff. Sie verhindert unzulässigen Zutritt und fordert den Benutzer auf, Anmeldedaten wie Benutzernamen und Passwörter bereitzustellen, um sich bei Systemen anzumelden.
Für die nicht-digitale Nutzung müssen beglaubigte Dokumente validiert werden. In der präventiven Sicherheit wird Authentifizierung verwendet, um sensible Daten zu schützen.
Gängige Authentifizierungsmethoden
Authentifizierung stützt sich auf einen oder mehrere dieser Faktoren, um Ihre Identität zu verifizieren:
- Passwörter, PINs und Antworten auf gängige Sicherheitsfragen, die nur Sie kennen
- Smartcards, Hardware-Token und OTPs
- Biometrische Merkmale wie Fingerabdruckscans, Gesichtserkennung und Irisscans.
Arten von Authentifizierungsangriffen
Hier sind die gängigen Arten von Authentifizierungsangriffen, die Sie kennen sollten:
- Credential Stuffing und Brute Force. Wiederverwendung von Benutzername-/Passwort-Paaren aus früheren Sicherheitsverletzungen oder massenhaftes Ausprobieren schwacher Anmeldungen, wenn Ratenbegrenzungen unzureichend sind.
- Phishing und MFA-Müdigkeit. Benutzer dazu verleiten, Anmeldedaten preiszugeben oder Abfragen zu bestätigen, häufig durch Social Engineering, das vertrauenswürdige Marken imitiert.
- Session Hijacking. Stehlen von Tokens aus Browsern, Geräten oder dem Speicher, damit ein Angreifer das Anmeldeformular vollständig umgehen kann.
- Gerätekompromittierung. Übernahme eines vertrauenswürdigen Geräts, das Prüfungen bereits bestanden hat, und anschließender Missbrauch des damit verbundenen Sitzungskontexts.
Was ist Autorisierung?
Autorisierung ist ein Sicherheitsprozess, bei dem bei einem angemeldeten Benutzer geprüft wird, was er innerhalb eines Netzwerks oder Systems tun kann. Sie sagt Ihnen im Grunde, was Sie tun können oder was Sie tun dürfen (innerhalb zulässiger Rechte).
Autorisierung erfolgt erst nach erfolgreicher Authentifizierung, nicht davor. Dabei wird die Benutzeridentität anhand eines Satzes von Regeln oder Richtlinien bewertet und der Zugriff auf bestimmte Ressourcen entsprechend gewährt oder verweigert.
Arten von Autorisierungsmodellen und -protokollen
Hier sind die gängigen Arten von Autorisierungsrollenmodellen, die Sie kennen sollten:
- Rollenbasierte Zugriffskontrolle (RBAC): Berechtigungen werden bestimmten Rollen wie Administratoren, Editoren oder Betrachtern statt einzelnen Benutzern zugewiesen. Dies ist eines der am häufigsten verwendeten Modelle in Unternehmensökosystemen.
- Attributbasierte Zugriffskontrolle (ABAC): Dies sind hochflexible Autorisierungsmodelle, die Attribute zur Entscheidungsfindung verwenden. Dazu können Benutzer- und Abteilungsdetails, Informationen zum Ressourcentyp und Umgebungskontexte gehören (wie Gerätesicherheit, Standort, Tageszeit usw.)
- Discretionary Access Control: Der Eigentümer der Ressource hat die volle Kontrolle darüber, wer worauf Zugriff hat und wer darauf zugreifen kann. Das ist wie Dateifreigabe in Google Drive oder Windows-Ordnern.
- Mandatory Access Control (MAC): Dies ist eines der restriktivsten Autorisierungsmodelle, bei dem der Zugriff auf streng definierten Sicherheitskennzeichnungen basiert. Es verwaltet Ihre Geheimnisse zentral und wird sehr häufig in militärischen und staatlichen Hochsicherheitssystemen verwendet.
- Beziehungsbasierte Zugriffskontrolle (ReBAC): Ihr Zugriff wird anhand der Beziehung zwischen einem Benutzer und einer Ressource entschieden. Das ist etwas personalisierter und ähnelt dem Besitz einer Ressource, wobei das Mitglied Teil der jeweiligen spezifischen Ordner ist.
Und zu modernen Autorisierungstypen und -protokollen sollten Sie Folgendes wissen:
- OAuth 2.0: Dies ist der Industriestandard für delegierte Autorisierung. Es ermöglicht Drittanbieter-Apps den Zugriff auf Ihre Daten, ohne Passwörter zu sehen.
- JSON Web Tokens (JWT): Dies ist eine kompakte, URL-sichere Methode, um Claims zwischen zwei Parteien darzustellen. Der Server gibt ein JWT aus, wenn sich jemand anmeldet, das im Grunde besagt: „Der Benutzer ist für X autorisiert“, und das Sie auch zur Bestätigung weiterer nachfolgender Anfragen vorlegen können.
- Access Control Lists (ACLs): Dies ist eine einfache Liste, die an eine Ressource angehängt wird und Ihre Benutzer und Gruppen benennt. Sie sagt Ihnen auch, welche Berechtigungen sie haben. Der einzige Nachteil ist, dass sie in größerem Maßstab mit dem Wachstum Ihres Unternehmens deutlich schwieriger zu verwalten wird.
Kritische Unterschiede zwischen Authentifizierung und Autorisierung
Sie werden den Unterschied zwischen Authentifizierung und Autorisierung oft in einem Satz zusammengefasst sehen, aber Designarbeit erfordert mehr Details. Hier sind die Bereiche, in denen sich Authentifizierung und Autorisierung unterscheiden.
1. Reihenfolge in Zugriffsabläufen
Authentifizierung erfolgt vor der Autorisierung. Während der Authentifizierungsphase wird ein Identitätskontext erstellt. Dann wird in der Autorisierungsphase dieser Identitätskontext berücksichtigt, wenn entschieden wird, ob eine bestimmte Aktion zugelassen wird.
Mit anderen Worten: Indem Sie diese Phasen unabhängig voneinander ausführen lassen (und sie nicht als einen einzigen Prozess behandeln), können Sie sicherstellen, dass Sie jeden der nachfolgenden Schritte auf Sicherheit validieren, auch wenn „der Benutzer bereits authentifiziert wurde“. In gesunden Systemen durchläuft jede sensible Aktion beide Ebenen.
2. Verwendete Daten
Authentifizierung verwendet Passwörter, PINs, Antworten auf Sicherheitsfragen, Besitzfaktoren (wie OTPs per E-Mail und SMS, Seriennummern von Hardware-Token, digitale Zertifikate), Inhärenzfaktoren (Fingerabdruckvorlagen, geometrische Gesichtsscans, Irismuster) und Entitäts-IDs (eindeutige Kennungen wie E-Mails, Mitarbeiter-IDs und Benutzernamen).
Autorisierung verwendet Daten im Zusammenhang mit Berechtigungsregeln wie Kennzeichnungen, die Identitäten zugewiesen sind (Benutzerrollen), Benutzer- und Ressourcenattribute (spezifische Metadaten über Personen und Objekte, auf die zugegriffen wird) sowie Umgebungskontext (IP-Adressen, Gerätezustand, Zeitpunkte und Standorte).
3. Fehlermodi und Fehlerbehandlung
Fehler bei der Authentifizierung führen typischerweise entweder zu Meldungen über ungültige Anmeldedaten oder zu CAPTCHA-/MFA-Abfragen, während wiederholte Versuche in der Regel zur Sperrung des Benutzerkontos führen. Andererseits erzeugen Autorisierungsfehler Meldungen über verweigerten Zugriff, verbergen Ressourceninformationen oder fordern zusätzliche Autorisierung für Zugriffssteuerungsrechte an.
Die Behandlung von Authentifizierungs- und Autorisierungsfehlern als Standardfehler oder stille Fehler erschwert die Reaktion auf Vorfälle. Eine ordnungsgemäße Protokollierung und Unterscheidung zwischen Autorisierungs- und Authentifizierungsfehlern ermöglicht es den Incident Respondern festzustellen, ob Angreifer bereits die Tür erreicht haben oder das Gelände erkunden.
4. Eigentümerschaft und Verantwortlichkeiten
Die Zuständigkeit für Authentifizierung liegt im Allgemeinen beim Identity-Team oder bei den Plattformteams, die sich mit Single Sign-On (SSO), MFA und Identity Providern befassen. Die Zuständigkeit für Autorisierung hingegen liegt zwischen dem Anwendungsteam, dem Sicherheitsteam und den Datenverantwortlichen, die wissen, was für jede Aktion erforderlich sein muss.
Wenn ein Team die vollständige Kontrolle übernimmt, ohne dass die geschäftlichen Verantwortlichen konsultiert wurden, ist eine Verschiebung bei den Berechtigungen wahrscheinlich.
Authentifizierung vs. Autorisierung: Wichtige Unterschiede
Möchten Sie Authentifizierung und Autorisierung vergleichen oder sich einen schnellen Überblick verschaffen? Hier ist eine Kurzreferenz:
| Merkmal | Authentifizierung | Autorisierung | Beispiel |
| Primäre Frage | Verifiziert, wer der Benutzer oder Workload ist. | Entscheidet, worauf diese Identität zugreifen kann. | Ein Mitarbeiter meldet sich mit MFA an, dann entscheidet eine Richtlinie, welche HR-Datensätze er einsehen darf. |
| Typische Daten | Anmeldedaten, biometrische Merkmale, Geräte- oder Workload-Identitäten. | Rollen, Attribute, Ressourcenkennzeichnungen, Risikobewertungen. | Ein API-Aufruf enthält ein ID-Token plus einen Rollen-Claim und ein Projekt-Tag. |
| Wichtigste Standards | OIDC, SAML, Plattform-Anmeldeprotokolle. | OAuth 2.0, Policy Engines, ABAC- und RBAC-Regeln. | OIDC meldet einen Benutzer an, OAuth-Scopes definieren, welche APIs er aufrufen kann. |
| Wann es ausgeführt wird | Bevor auf eine geschützte Ressource zugegriffen wird. | Bei jeder Zugriffsentscheidung nach der Authentifizierung. | Die Benutzersitzung ist gültig, aber eine Überweisung mit hohem Risiko löst dennoch eine zusätzliche Prüfung aus. |
| Verhalten bei Fehlern | Blockiert die Anmeldung oder fordert weitere Nachweise an. | Verweigert bestimmte Aktionen, blendet Ressourcen aus oder eskaliert zur Überprüfung. | Zurücksetzen des Passworts schlägt fehl vs. ein Zahlungsfreigabebildschirm, der „nicht erlaubt“ anzeigt. |
Häufige Fehler bei Authentifizierung und Autorisierung in Unternehmen
Hier ist eine Liste häufiger Fehler bei Authentifizierung und Autorisierung, die jedes Unternehmen vermeiden sollte:
Anmeldung als einziges Gate behandeln
Andere Teams könnten denken, dass alles, was der Benutzer innerhalb der Anwendung tut, akzeptabel ist, wenn er bereits angemeldet ist. Prozesse mit hohem Risiko, wie das gleichzeitige Exportieren aller Daten, das Ändern von Konfigurationen oder das Generieren von Tokens, hängen daher nur von diesem einen Anmeldeprozess ab.
Ihre kritischen Aktionen sollten als unabhängige Kontroll-Gates betrachtet werden, die eigene Prüfungen für Autorisierung, Risikobewertung und sogar Authentifizierung durchführen. Das könnte beispielsweise bedeuten, Ihre MFA-Anforderungen für Überweisungen zu erhöhen.
Überprivilegierte Rollen und Berechtigungen „für alle Fälle“
Ein natürlicher Impuls ist es, großzügige Rechte zu vergeben, damit Teammitglieder „schnell vorankommen“ und Angelegenheiten später klären können. Untersuchungen zu Autorisierungsfehlern zeigen, dass dieses „später“ nie eintritt und Konten im Laufe der Zeit unnötige Rechte ansammeln, die ein Angreifer ausnutzen kann.
Ihre Bemühungen werden erfolgreicher sein, wenn Sie von Anfang an Rollen mit engem Umfang entwerfen und sicherstellen, dass sie auf Aufgaben abgestimmt sind. Der Überprüfungsprozess ist ein integraler Bestandteil jeder Rezertifizierung von Zugriffsrechten, ebenso wie die Beseitigung unnötiger Privilegien.
Hartcodierte Prüfungen im Anwendungscode
Wenn die Autorisierungslogik auf verschiedene Services verteilt ist, stellt jede neue Produkteinführung ein neues Risiko für Regressionen beim Berechtigungszugriff dar. Wenn Entwickler Copy-and-Paste-Techniken wie „if user.is_admin” verwenden, bedeutet das, dass sie einige Randfälle übersehen und Auditoren die Arbeit erschweren können.
Das Problem kann gemildert werden, indem die Berechtigungslogik entweder in Richtlinien oder spezialisierten Services zentralisiert wird, auf die Sicherheits- und Compliance-Teams zugreifen können. Die Produkte würden weiterhin bestimmen, welche Richtlinien verwendet werden sollten, während Berechtigungen zentral verwaltet würden.
Authentifizierung vs. Autorisierung in Zero Trust und modernen Architekturen
Identität wird in Zero-Trust-Architekturen zum neuen Sicherheitsperimeter. Systeme verifizieren Ihre Identität und den Gerätezustand während Sitzungen kontinuierlich. Berechtigungen sind nicht mehr statisch, sondern werden zum Zeitpunkt jeder Anfrage auf Grundlage einer Vielzahl von Echtzeitsignalen bewertet.
Moderne Autorisierungs-Engines verwenden Policy Decision Points (PDPs), um diese Signale zu bewerten, bevor Zugriff gewährt wird. Sie berücksichtigen Ressourcensensitivität, Gerätezustand, Benutzeridentität und Standort/Netzwerke.
In Cloud-nativen Umgebungen wird auch Machine-to-Machine (M2M)-Sicherheit berücksichtigt, da Autorisierung nicht nur für Menschen gedacht ist. Service-Identitäten (nicht-menschliche Benutzer) werden jetzt ebenfalls authentifiziert und autorisiert, bevor ihnen die Nutzung moderner Protokolle wie SPIFFE und MTLS erlaubt wird, um zu verhindern, dass sich automatisierte Systeme lateral durch Netzwerke bewegen und dadurch Folgevorfälle verhindern (falls eines kompromittiert wird).
So entwerfen Sie sicherere Authentifizierungs- und Autorisierungsabläufe: Beste Praktiken für Authentifizierung vs. Autorisierung
Die besten Designs für Authentifizierung und Autorisierung blicken nach vorn. Sie bereiten Ihre Organisation auf die Art und Weise vor, wie Angreifer Identitäten im Jahr 2026 missbrauchen, nicht auf veraltete Bedrohungsmodelle. Dies sind die besten Praktiken für Authentifizierung und Autorisierung, die Sie jetzt übernehmen können:
- Verwenden Sie OIDC für die Anmeldung und OAuth für den API-Zugriff. Halten Sie Identitätsnachweis und delegierten Zugriff getrennt, damit Sie ID-Tokens für die Authentifizierung und Scopes für die Autorisierung validieren können, ohne ihre Zuständigkeiten zu vermischen.
- Setzen Sie Least Privilege von Anfang an um, nicht als Bereinigungsaufgabe. Erstellen Sie Rollen und Richtlinien, die realen Aufgaben entsprechen, verlangen Sie eine Begründung für weitreichende Rechte und planen Sie regelmäßige Zugriffsüberprüfungen, um ungenutzte Berechtigungen zu entfernen, bevor Angreifer sie finden.
- Bevorzugen Sie richtlinienbasierte Autorisierung gegenüber verstreuten Prüfungen. Verschieben Sie Zugriffsregeln in dedizierte Policy Engines oder Services und lassen Sie Anwendungen diese bei jeder sensiblen Aktion aufrufen. So bleiben Audits, Änderungen und Tests an einem Ort.
- Aktivieren Sie kontinuierliche und risikobewusste Authentifizierung. Kombinieren Sie Signale wie Offenlegung von Anmeldedaten, Gerätezustand, Geolokalisierung und Verhaltensanalysen, damit Aktionen mit hohem Risiko eine zusätzliche MFA oder den Widerruf von Tokens auslösen, anstatt sich auf ein einzelnes Anmeldeereignis zu verlassen.
- Verkürzen Sie Token-Laufzeiten und verwenden Sie Just-in-Time-Elevation. Geben Sie kurzlebige Tokens mit engen Scopes aus und gewähren Sie temporären Administratorzugriff nur dann, wenn jemand ihn anfordert und zusätzliche Prüfungen besteht. Lassen Sie diesen Zugriff automatisch ablaufen, sobald die Aufgabe abgeschlossen ist.
- Vereinheitlichen Sie Identity-Logs mit Endpoint- und Workload-Telemetrie. Leiten Sie Authentifizierungs- und Autorisierungsereignisse in denselben Data Lake, der EDR- und Cloud-Workload-Signale erfasst, damit Sie Angriffe nachverfolgen können, die Identitäts-, Geräte- und Workload-Grenzen überschreiten.
- Testen Sie Fehlerpfade genauso sorgfältig wie Erfolgspfade. Fügen Sie automatisierte Tests und Chaos-ähnliche Übungen hinzu, bei denen Authentifizierungs- und Autorisierungsbedingungen absichtlich fehlschlagen, damit Sie bestätigen können, dass sich Fehler, Warnungen und Protokollierung wie erwartet verhalten.
Wenn Sie diese Praktiken konsequent befolgen, werden Sie weniger „mysteriöse Admin“-Konten sehen, eine klarere Zuordnung bei Vorfällen erhalten und ein deutlich kleineres Zeitfenster haben, in dem ein Angreifer eine gestohlene Identität nutzen kann, bevor Ihre Kontrollen reagieren.
Wie SentinelOne die Identitätssicherheit stärkt
Die Singularity Platform von SentinelOne wird von Autonomous Security Intelligence (ASI) unterstützt — dem in das Fundament der Plattform integrierten Intelligence Fabric, das bösartiges Verhalten identifiziert, kritische Arbeit automatisiert und mit Maschinengeschwindigkeit auf Bedrohungen reagiert. Während Identity Provider verwalten, wer sich anmelden kann und worauf zugegriffen werden kann, fügt Singularity Identity die Ebene der Sicherheitsdurchsetzung hinzu — indem Missbrauch von Anmeldedaten erkannt, laterale Bewegung gestoppt und Ihre Authentifizierungs- und Autorisierungsrichtlinien vor Bedrohungen geschützt werden, die standardmäßige Zugriffskontrollen umgehen.
Sie können Singularity™ Identity verwenden, um Zugriffsversuche zu überwachen und zu blockieren und zu verhindern, dass Bedrohungsakteure Benutzeranmeldedaten von Endpunkten abgreifen.
Die Richtlinien für bedingten Zugriff von Singularity Identity können autonom eine zusätzliche Authentifizierung auslösen — etwa zusätzliche MFA-Abfragen — wenn verdächtiges Verhalten von Benutzern oder Geräten erkannt wird. Es hilft auch, MFA-Müdigkeit zu verhindern, und lässt keine Bypass-Angriffe zu, indem Anmeldeereignisse mit Gerätezustand und Verhaltenssignalen korreliert werden.
Singularity Identity identifiziert kontinuierlich Schwachstellen in Ihrer Authentifizierungsinfrastruktur — einschließlich offengelegter Servicekonten, schwacher Passwortkonfigurationen und Active Directory-Fehlkonfigurationen — bevor Angreifer sie ausnutzen können. Erfahren Sie mehr auf der Singularity Identity-Produktseite. Sie können SentinelOne auch verwenden, um Privilegieneskalationen zu verhindern und Angreifer zu blockieren, die bereits authentifiziert wurden, aber versuchen, Administrator- oder Root-Rechte zu erlangen. Dadurch werden Angriffe mit lateraler Bewegung verhindert und direkt gestoppt.
SentinelOne verwendet Deception-Technologie und Köder, um unbefugte Benutzer dazu zu bringen, sich selbst preiszugeben, wenn sie versuchen, auf Daten zuzugreifen, die sie nicht sehen sollten. In einer Zero-Trust-Architektur bietet Singularity Identity eine kontinuierliche Validierung der Absicht und kann den Zugriff mit Maschinengeschwindigkeit widerrufen, wenn das Verhalten eines Benutzers von seiner autorisierten Funktion abweicht. Es identifiziert auch Fehlkonfigurationen in Access Control Lists (ACLs) und kann diese beheben.
Erhalten Sie Echtzeitschutz für Identitäten und vollständige Transparenz in hybriden Umgebungen, um Exponierungen zu erkennen, Missbrauch von Anmeldedaten zu stoppen und Identitätsrisiken zu reduzieren.
Fazit
Authentifizierung und Autorisierung sind beide Teil von Cloud- und Cybersicherheit. Solange Sie mit menschlichen und nicht-menschlichen Benutzern arbeiten, werden Sie beides benötigen. Sie sind eine Designentscheidung, die prägt, wie sich jedes Konto, jeder Service und jeder Agent innerhalb Ihrer Umgebung verhält. Wenn Sie sie als getrennte Ebenen behandeln und mit Workflows zur kontinuierlichen Verifizierung verbinden, lassen sich missbrauchte Identitäten deutlich leichter erkennen und eindämmen.
Da Identitätsangriffe weiter zunehmen, bietet die Singularity Platform von SentinelOne — über Identitäts-, Endpoint- und Cloud-Workload-Schutz hinweg — Sicherheitsteams den einheitlichen Kontext, den sie benötigen, um sowohl menschliche als auch nicht-menschliche Identitäten zur Laufzeit zu schützen. Buchen Sie eine Live-Demo, um es in Aktion zu sehen.
FAQs
Nein, Autorisierung ist ohne Authentifizierung nicht möglich. Die Autorisierung prüft, was eine authentifizierte Identität tun darf. Wenn Sie nicht zuerst verifiziert haben, wer jemand ist, gibt es keinen Benutzer, auf den Berechtigungen angewendet werden können. Einige Websites lassen Sie als Gast ohne Anmeldung browsen, aber das ist keine echte Autorisierung – es ist nur offener, nicht authentifizierter Zugriff. Eine gute Regel ist, dass Sie immer zuerst authentifizieren sollten, bevor Sie Rollen oder Zugriffskontrollen durchsetzen.
OAuth 2.0 ist für die Autorisierung. Es gibt Apps begrenzten Zugriff auf die Inhalte eines Benutzers, ohne dessen Passwort weiterzugeben. OIDC basiert auf OAuth und übernimmt die Authentifizierung, indem es ein ID-Token mit Identitätsansprüchen hinzufügt. Wenn Sie also verifizieren müssen, wer jemand ist, verwenden Sie OIDC. Wenn Sie nur delegierten Zugriff benötigen, reicht OAuth aus. Sie arbeiten zusammen, erfüllen aber unterschiedliche Aufgaben.
Rollen sind Sammlungen von Berechtigungen, die Sie Benutzern zuweisen, wie „Admin“ oder „Viewer“. Attribute sind Fakten über einen Benutzer, ein Gerät oder eine Sitzung – Dinge wie Abteilung, Freigabestufe oder Standort. Die Autorisierung kann nur Rollen prüfen, oder Sie können Attribute kombinieren, um feinere Entscheidungen zu treffen. Zum Beispiel könnten Sie den Zugriff nur erlauben, wenn die Rolle Manager ist und das Attribut department=sales lautet. Es gibt viele Möglichkeiten, diese Richtlinien einzurichten.
SSO authentifiziert Sie einmal und teilt diese Identität über Apps hinweg, aber jede App führt weiterhin ihre eigenen Autorisierungsprüfungen durch. MFA erhöht, wie stark Sie nachweisen, wer Sie sind. Sie können Richtlinien erstellen, die MFA verlangen, bevor der Zugriff auf sensible Daten autorisiert wird. Wenn MFA fehlschlägt, bekommt die Autorisierung nie die Chance, fortzufahren. MFA gewährt also nicht von selbst Berechtigungen, kann diese aber abhängig von der Stärke der Anmeldung steuern.
Für die Authentifizierung erfassen Sie erfolgreiche und fehlgeschlagene Anmeldungen, Sperrungen, MFA-Aufforderungen und Quell-IP-Adressen. Für die Autorisierung erfassen Sie Zugriffsverweigerungen, Berechtigungsänderungen, Rollenzuweisungen und Privilegieneskalationen. Sie sollten diese aus Ihrem Identity-Provider, Ihren Apps und Ihren Sicherheitstools beziehen. Wenn Sie über diese Protokolle verfügen, können Sie nachvollziehen, ob ein Vorfall mit gestohlenen Zugangsdaten oder mit dem Missbrauch gewährter Rechte begann. Sie helfen Ihnen dabei, eine klare Zeitleiste zu erstellen.

