Sicherheit in Applikationen ist ein zentrales Thema. Unsere Erfahrung zeigt, dass die Application Security jedoch aus den unterschiedlichsten Gründen teilweise (oder sogar ganz) ausser Acht gelassen wird. In diesem Blogbeitrag zeigen wir, welche modernen Möglichkeiten einer Web App Authentication bestehen und wie diese eingesetzt werden können.
Authentifizierung ist ein Thema, dass in der Planung und Entwicklung von Applikationen häufig ausser Acht gelassen wird. Viele Unternehmen setzen aus Gewohnheit auf die alte Kombination von Benutzernamen/Passwort – dies ist jedoch weder optimal noch benutzerfreundlich. Steht die Funktion einer Lösung im Zentrum, wird es bereits schwierig. Investitionen in die Erhebung von internen nicht-funktionale Anforderungen werden aufgrund von fehlendem Budget und vordergründig mangelndem Businessnutzen häufig blockiert.
Oft wird aus diesem Grund aus einem Proof-Of-Concept mit http-Protokoll und einer einfachen Benutzer-Authentifizierung ein Produkt. Ein grundsätzlich pragmatisches Vorgehen, das jedoch einige Tücken aufweist: So ist am Ende solcher Projekte meistens das «Hardening» noch offen. Zusätzlich möchte sich niemand intern exponieren, wenn die Anwendung für eine moderne Authentifizierung umgeschrieben werden muss.
Die Authentifizierung sollte bereits Teil des Entwicklungs-Konzepts sein und von Beginn an in das Projekt aufgenommen werden. Dies ist insbesondere vor dem Hintergrund wichtig, dass sich die Kommunikation einer modernen Authentifizierung massgeblich vom klassischen Benutzername/Passwort-Ansatz unterscheidet und eine spätere Änderung fast nicht bzw. wenn, dann nur mit grossen Anpassungen und Kosten möglich ist.
Mit einer guten Planung und der Integration der Anforderungen an die Sicherheitsmassnahmen zu Beginn eines Projektes wird der Grundstein gelegt. Ebenso sollte eine Überprüfung im Laufe Projektes stattfinden.
Dieser OAuth 2.0 Flow zeigt die erste Anmeldung einer Applikation (z.B. Facebook) bei einem Ressource-Server (z.B. Twitter). Die nachfolgenden Sequenzen laufen dabei beispielsweise so ab:
3. Eine Login-Abfrage authentifiziert den Benutzer. Diese werden an den Autorisierung-Server gesendet. Dies ist die einzige Kommunikation, in der das effektive Passwort übermittelt wird.
4. Es wird ein einmaliger Code erstellt, welcher mittels Redirect-URL an die Applikation gesendet wird (Callback). Dieser ist nur kurze Zeit gültig. Die Redirect-URL wurde beim Einrichten von OAuth auf dem Autorisierung-Server hinterlegt.
5. Die Applikation erhält den Grant und sendet ihn an den Autorisierung-Server.
6. Als Antwort gibt es einen Access Key. Zusätzlich wird meist ein Refresh Token und weitere Daten (z.B. Benutzerdaten) mitgesendet. Der Refresh-Token kann innerhalb einer gegebenen Frist genutzt werden, um einen neuen Access/Refresh Token zu lösen. Die Tokens werden normalerweise als JWT Token verpackt. Dieser ist digital signiert und verschlüsselt.
7. Der Access Token kann nun verwendet werden, um die erlaubten (Scope) Ressourcen zu laden.
8. Die angefragten Ressourcen stehen als Antwort zur Verfügung.
Wichtige Vorteile bei der Verwendung des modernen Sicherheitsstandards sind:
Ein realer Anwendungsfall gestaltet sich die Architektur meistens komplexer als im vorangehenden theoretischen Beispiel.
In dieser Applikation wird in einer statischen Webanwendung (Static Web Site) ein Embedded Power BI Bericht gegen einen Service Principal (Service Account) von Azure AD authentifiziert. Die Authentifizierung findet gegen einen OpenID Connect Authentifizierung-Server statt. Mittels Access Token werden Ressourcen geladen und die Authentifizierung gegen das Azure AD freigegeben. Mittels AD Token wird ein Power BI Embeded Token erstellt. Die Azure Function fungiert hier als Backend, zusammen mit der statischen Webseite und Power BI als Applikation.
Im Internet finden sich unzählige Skizzen zu Authentifizierung-Flows, wobei alle unterschiedlich sind. Wichtig ist, das Konzept grundsätzlich zu verstehen. Die Visualisierung kann je nach Anforderung, Details der beteiligten Systeme und der Interpretation verschieden sein.
Authentifizierungskonzepte sind meist sehr abstrakt. Ohne praktische Erfahrung ist die Erstellung einer Architektur eine Herausforderung, sobald sie vom Standard abweicht. Die Schwierigkeit ist zu definieren, wie die Kommunikation stattfindet, wo die sensitiven Informationen liegen und wie diese übermittelt werden dürfen. Das obige Beispiel zeigt eindeutig, dass eine Sicherheitsarchitektur bereits vor Beginn der Umsetzung als Teil eines Applikationskonzept erstellt werden muss.
In vielen von uns umgesetzten Projekten durften wir unsere Expertise im Bereich der modernen Authentifizierung unter Beweis stellen. Gerne unterstützen wir auch Sie in aktuellen Herausforderungen und freuen uns, gemeinsam mit Ihnen die richtige Architektur erarbeiten zu können.
Wer steckt eigentlich hinter Allgeier? Marina verstärkt bei Allgeier seit Juli 2023 das Finanzteam. Im Interview erfahren wir mehr über ihre beruflichen Herausforderungen, worauf es in ihrem Job ankommt und wo man sie in ihrer Freizeit findet.
Ausgestattet mit modernster KI-Technologie, bietet die Plattform eine optimierte Verwaltung und Analyse digitaler Inhalte.
Kann AR die Produktion revolutionieren? Wo liegen mögliche Einsatzfelder und konkrete Vorteile? Im vierten Blog der Smart Maintenance Reihe werfen wir einen Blick in die Zukunft.
Smart Maintenance ist kein Trend, sondern eine Notwendigkeit, um wettbewerbsfähig zu bleiben. Doch welche Phasen durchläuft die Implementierung einer intelligenten Wartung?
Dass Smart Maintenance nicht nur für die Industrie relevant ist, zeigte der Vortrag von Mirko Maurer bei der maintenance Schweiz. Was Resilienz damit zu tun hat, erfahren Sie hier.
KI goes Microsoft 365: Was der intelligente Assistent Copilot kann und wie er die Zusammenarbeit auf neue Beine stellt.
Smarte Technologien, wertvolle Daten und vernetzte Mitarbeiter: Von der Herausforderung Smart Maintenance zu implementieren und wie man sie bewältigt. Alles im aktuellen Blog!
Vernetzt, automatisiert und mit Echtzeit-Daten gespickt – das sind die Kennzeichen von Industrie 4.0. Doch welche Rolle spielt Smart Maintenance dabei konkret? Wie kann es zur Effizienzsteigerung und Kostenreduktion führen – das verraten wir im neuen Blogbeitrag.
Zwischen Flexibilität und Festungsanlage: Wie Unternehmen in der modernen Arbeitswelt Sicherheit gewährleisten können. Ein Expertengespräch mit Christian Dunkel über Secure Workplace.
