Home

Autorisierungsmethoden

Autorisierungsmethoden sind Verfahren, die festlegen, ob ein Akteur auf eine Ressource zugreifen darf und welche Aktionen erlaubt sind. Im Gegensatz zur Authentifizierung, die Identität prüft, konzentriert sich die Autorisierung auf Berechtigungen, Regeln und Richtlinien.

Gängige Modelle und Ansätze umfassen: Zugriffskontrolllisten (ACLs), die festlegen, welche Principals Zugriff auf eine Ressource haben;

Token-basierte und protokollgestützte Ansätze spielen eine zentrale Rolle in modernen Architekturen. OAuth 2.0 bzw. OAuth 2.1

Best Practices umfassen das Prinzip der geringsten Privilege, regelmäßige Überprüfungen von Berechtigungen, zeitlich begrenzte Token, robuste

rollenbasierte
Zugriffskontrolle
(RBAC),
bei
der
Berechtigungen
Rollen
zugeordnet
und
Benutzern
diese
Rollen
zugewiesen
werden;
attributbasierte
Zugriffskontrolle
(ABAC),
bei
der
Entscheidungen
auf
Eigenschaften
von
Benutzer,
Ressource
und
Umgebung
beruhen;
policy-basierte
Zugriffskontrolle
(PBAC),
bei
der
zentrale
Richtlinien
verwendet
werden;
sowie
kapazitätsbasierte
bzw.
capability-basierte
Systeme,
in
denen
Rechte
als
Fähigkeiten
als
Tokens
verteilt
werden.
ermöglicht
die
Autorisierung
durch
Zugriffstoken
mit
definierten
Scopes;
OpenID
Connect
ergänzt
OAuth
um
Authentifizierung,
wobei
Token
auch
Berechtigungen
tragen.
JSON
Web
Tokens
(JWT)
und
API-Keys
dienen
als
Träger
von
Berechtigungen;
SAML
wird
in
vielen
Unternehmen
für
Richtlinien-
und
Attributweitergabe
genutzt.
In
manchen
Szenarien
kommen
auch
zentralisierte
Policy-Engines
zum
Einsatz,
die
Entscheidungen
durch
Policy
Decision
Points
(PDP)
treffen
und
an
Policy
Enforcement
Points
(PEP)
durchgreifen.
Token-Revocation,
sowie
umfassende
Auditing-
und
Revisionsmechanismen.
Autorisierung
wird
sowohl
auf
Anwendungs-
als
auch
auf
API-
und
Cloud-Ebene
implementiert,
oft
durch
kombinierte
Modelle
und
standardisierte
Protokolle.