Home

Autorisierungsprüfung

Autorisierungsprüfung bezeichnet den Prozess, zu entscheiden, ob eine bestimmte Aktion oder der Zugriff auf eine Ressource basierend auf Berechtigungen erlaubt ist. Sie folgt in der Regel der Authentifizierung und dient der Feststellung, ob der identifizierte Subjekt entsprechend seiner Rollen oder Attribute berechtigt ist, die angeforderte Operation auszuführen. Ziel ist ein feingranularer, konsistenter Zugriffsschutz über Systeme hinweg.

Typische Modelle und Mechanismen sind Zugriffskontrolllisten (ACL), Rollenbasierte Zugriffskontrolle (RBAC) sowie attributbasierte Zugriffskontrolle (ABAC). In verteilten

Standards und Technologien spielen eine wichtige Rolle. XACML (eXtensible Access Control Markup Language) bietet eine formale

Hinter ihr stehen Governance- und Sicherheitsziele wie Minimierung von Rechten, Trennung von Funktionen, Auditing und Compliance.

Systemen
wird
häufig
ein
Policy
Decision
Point
(PDP)
genutzt,
der
auf
Grundlage
von
Richtlinien
eine
Autorisierungsentscheidung
trifft,
während
ein
Policy
Enforcement
Point
(PEP)
die
Entscheidung
durchsetzt.
Moderne
Anwendungen
verwenden
häufig
Policy-as-Code,
zentrale
Autorisierungsdienste
oder
API-Gateways,
um
konsistente
Entscheidungen
zu
gewährleisten.
Sprache
zur
Beschreibung
von
Zugriffsrichtlinien,
während
OAuth
2.0/Scopes
als
Mechanismus
zur
Berechtigungsdelegation
in
vielen
Web-
und
API-Umgebungen
genutzt
werden.
Die
Autorisierungsprüfung
kann
sowohl
in
On-Premise-Systemen
als
auch
in
der
Cloud
erfolgen
und
umfasst
oft
Kontextinformationen
wie
Zeit,
Standort
oder
Sicherheitsstufen.
Typische
Anwendungsbeispiele
finden
sich
im
Dateizugriff,
API-Schutz,
Cloud-Identity-Management
und
Unternehmensanwendungen.