Was ist ein Identity Provider (IdP)?
Ein Identity Provider (IdP) ist ein zentraler Dienst, der Identitäten verwaltet und Nutzer gegenüber Anwendungen („Diensteanbietern“) authentifiziert. Statt sich bei jeder Anwendung separat anzumelden, melden sich Nutzer einmal beim IdP an; der IdP bestätigt die Identität gegenüber den angeschlossenen Diensten (z. B. über SAML, OIDC).
Typische Funktionen
- Single Sign-On (SSO): Einmal anmelden, Zugriff auf mehrere Anwendungen – siehe SSO.
- Multi-Faktor-Authentifizierung: MFA wird zentral im IdP konfiguriert und gilt für alle angeschlossenen Dienste.
- Verwaltung von Benutzern und Rollen: Zentrales On-/Offboarding, Berechtigungen.
- Protokollierung: Anmeldungen, Fehlversuche und MFA-Events werden geloggt – wichtig für Incident Response und Erkennung von Credential Stuffing.
Relevanz für die IT-Sicherheit
IdP-Logs (Anmeldungen, fehlgeschlagene Versuche, geografische/zeitliche Muster) sind eine wichtige Quelle für Detection. Massenhaft fehlgeschlagene Logins oder Anmeldungen von ungewöhnlichen Regionen können auf Angriffe hinweisen. Zusammen mit Rate-Limiting und Anomalie-Erkennung auf Login-Endpunkten erhöht die Auswertung von IdP- und MFA-Events die Chance, automatisierte Angriffe zu erkennen. Für Admin- und Remote-Zugänge sollte der IdP phishing-resistente MFA erzwingen.
Beispiele
Typische IdPs sind Microsoft Entra ID (Azure AD), Okta, Auth0, Keycloak (self-hosted) sowie branchenspezifische Lösungen. In Unternehmen steuert der IdP oft den Zugang zu Cloud- und On-Premise-Anwendungen und ist zentral für IAM (Identity and Access Management).
Kurz gesagt
Ein Identity Provider (IdP) verwaltet Identitäten und Anmeldungen zentral – oft mit MFA und SSO. IdP-Logs sind wertvoll für die Erkennung von Angriffen und Anomalien.