Authentisierung ist sowohl in der physischen als auch in der digitalen Welt ein faszinierendes Thema. Ähnlich wie der Schlüssel, mit dem Sie Ihre Haustür öffnen können, verfügt Picturepark über ein intelligentes Sicherheitssystem, um die "richtigen Personen" hereinzulassen und allen anderen den Zugang zu verwehren. Wir werden oft gefragt, wie die Authentisierung in Picturepark funktioniert, deshalb erläutern wir dies im Folgenden näher.

Am Ende dieses Blogs finden Sie auch ein Glossar und die Antworten auf einige häufig gestellte Fragen. Diese haben wir eingefügt, damit Sie das Thema besser verstehen.

Ein 'Schlüssel', der viele Türen öffnet

Die Picturepark Content Platform verwendet ein sicheres Authentisierungssystem, den Picturepark Identity Server (Picturepark IDS), der OpenID Connect nutzt und es Ihnen erlaubt, sich mit dem gleichen Picturepark Account, den Sie bereits für ein System verwenden, bei weiteren Systemen anzumelden. Auf diese Weise können Agenturen mit dem gleichen Picturepark Account mehrere Kunden bedienen und Enterprise Picturepark Benutzer auf unabhängige Tochter-Systeme zugreifen (Stichwort: Mandantenfähigkeit).

Der Picturepark IDS Account ist auch der Schlüssel zu Picturepark Apps, Picturepark Microsites und zu benutzerzentrierten API Anbindungen.

Die Vorteile eines zentralen Picturepark IDS Account für mehrere Systeme:

• Eine zentrale Benutzerverwaltung (Identity Provider) für die Authentisierung.
• Unterschiedliche Berechtigungen durch individuelle Rollenzuweisung pro System.
• Zugriff auf mehrere Picturepark Systeme mit dem gleichen Picturepark IDS Account.
• Ein Account, der sie alle verbindet, Picturepark-Apps, Microsites und Kundensysteme.
• Authentisierung über das hochsichere und flexible Protokoll OpenID Connect (OIDC).
• Einfache Administration und schnellere Entwicklungszyklen für neue Apps.

Separate Benutzer-Datenbanken: Ein Albtraum für Admin & Sicherheit?

Die Picturepark Content Platform ist der Content Hub vieler Picturepark-Kunden, so dass separate Benutzerdatenbanken pro System ein Albtraum in der Administration und Sicherheit sind. Um wertvolle IT-Ressourcen zu sparen, lagert Picturepark die Authentisierung der Benutzer aus, an den Picturepark IDS als Standard Trusted Identity Provider (IdP). Dieser ist via OpenID Connect angebunden, dem Industriestandard-Protokoll für sichere und flexible Authentifizierung. Der Picturepark IDS speichert alle Benutzerattribute, die zur Authentisierung von Benutzern in einer oder mehreren verschiedenen Picturepark Content Platform Systemen benötigt werden, die Berechtigungen werden im Systemen definiert.

Picturepark IDS: Schritt für Schritt

1. 💻 Der Benutzer meldet sich an, via Login-Formular vom gewünschten System.
2. 🏢 Die Anfrage wird an den Picturepark IDS gesendet, der die Identität verifiziert.
3. 🔑 Der Picturepark IDS gestattet oder verwehrt den Zugriff.

Voraussetzungen

Für die Konfiguration zur Authentifizierung mit dem Picturepark IDS benötigen Sie:

1. Eine Picturepark Subscription.

Das ist alles. Der Picturepark IDS ist Bestandteil von Picturepark und benötigt keine zusätzliche Konfiguration, ausser der Erstellung der Benutzer - durch EInladung oder durch Sign-up durch den Benutzer selbst. Melden Sie sich bei unserer Online Demo an: https://picturepark.com/now

Kann ich andere Provider für Federated Authentication nutzen?

Es ist möglich, anstelle des Picturepark IDS einen anderen OpenID Provider zu nutzen, der die Benutzer an den Picturepark IDS zur Verifizierung sendet. Der gewünschte Identity Provider (IdP) muss das standardisierte OpenID Connect Protokoll unterstützen, das wiederum sehr flexibel implementiert werden kann hinsichtlich der notwendigen Metadaten und ACR Werte.

Die Vorteile einen externen OpenID Connect Identity Provider (IdP):

• Nutzung der Accounts von Drittanwendungen für die Picturepark Content Platform.
• Nutzen Sie bestehende Benutzeraccounts, z.B. von Ihrer Firma oder einem anderen unterstützten IdP, für die schnelle, einfache und sichere Anmeldung in Picturepark.
• Einfach ein oder mehrere OpenID Provider zu Picturepark hinzufügen.
• Volle Kontrolle über erlaubte Identity Provider (IdP) zur Anmeldung auf Benutzerebene. Sie fügen den erlaubten IdP pro Benutzer hinzu. Die Mitarbeiter nutzen den ADFS Firmenaccount, die Agenturen die Azure Zugänge und alle anderen Benutzer werden im Picturepark direkt verwaltet.

Externes IdP Szenario

Schauen wir uns an, wie ein typisches Szenario mit einem externen IdP funktioniert:

1. 💻 Der Benutzer meldet sich an, via Button “Verbinden mit IdP” der auf der Login Seite des gewünschten Picturepark erscheint*.
2. 🏢 Die Anfrage wird an den Picturepark IDS gesendet, der die Identität verifiziert.
3. 🌍 Die Anfrage wird an den konfigurierten OpenID Provider geschickt, der die Identität bestätigt und die Benutzerattribute via Claims sendet.
4. 🔑 Der Picturepark IDS gestattet oder verwehrt den Zugriff.

* Besteht bereits eine aktive Session, weil der Benutzer im Browser bereits angemeldet war, dann müssen Sie beim zweiten Mal nicht den Knopf “Verbinden mit IdP” drücken, sondern werden direkt angemeldet. Eine aktive Session läuft nach 30 Tagen Inaktivität ab. Wird der Zugang seitens IdP gesperrt, ist kein Zugriff mehr möglich.

Voraussetzungen

Für die Konfiguration eines OpenID Connect Providers benötigen Sie folgendes:

1. Eine Picturepark Subscription.
2. Ein unterstützter OpenID Provider der aufgesetzt und konfiguriert* ist, z.B. ADFS on Windows Server 2016.

* Sie benötigen für die Picturepark Konfiguration die URL, die Client ID und die Claims.

Einige Claims mit Benutzerattributen werden automatisch gemappt, wie z.B. E-Mail, Vorname, Nachname oder die Sprache.

Fragen und Antworten zur Authentisierung

Wir erhalten in dem Bereich viele Fragen und haben in dieser Sektion einige Antworten zusammengestellt.

Hat Picturepark einen eingebauten Identity Provider?

Ja, die Picturepark Content Platform regelt Zugriffe über den Picturepark IDS - dem default trusted Identity Provider.

Warum dann ein externer Identity Provider?

Der Picturepark IDS wird als Identity Provider von Picturepark verwaltet, während Sie die Benutzer in der Picturepark Benutzerverwaltung verwalten. In einem Unternehmen, werden die Benutzer meist bereits in einer zentralen Benutzerverwaltung erfasst und verwaltet, z.B. im Active Directory, wo alle Benutzer erfasst sind und die Zugriffe auf die Arbeitsplätze.

Um doppelte Datenhaltung zu vermeiden, können Sie die bestehende Benutzerverwaltung an Picturepark anbinden. Dadurch behält Ihre IT Kontrolle über die Benutzerattribute und die Zugriffe (bei gekündigtem Personal oder neuen Mitarbeitern) an der gewohnten, zentralen Stelle und Sie müssen sich um keine weitere Benutzerverwaltung kümmern. Die Option ist als Add-On für die Standard Subscription verfügbar und Bestandteil der Premium und Enterprise Pläne.

Warum OpenID Connect?

Das Protokoll OpenID Connect wurde 2014 veröffentlicht. Der Standard bietet die aktuelle besten Optionen hinsichtlich Usability, Einfachheit und Sicherheit. Bei der Erstellung wurden die Erfahrungen mit älteren Protokollen wie SAML und OpenID 1.0 und 2.0 berücksichtigt. Die Hauptvorteile sind:

• Einfache Nutzung: Die Identity Token werden als JSON Web Token (JWT) empfangen, die als elegant und portabel gelten und eine große Unterstützung für Signatur- und Verschlüsselungsalgorithmen bieten.
• Sie basieren auf dem OAuth 2.0-Protokoll: Der OAuth 2.0-Fluss wird verwendet, um das Token zu erhalten, das Web-Anwendungen und auch native oder mobile Anwendungen unterstützt. Durch die Einführung von OAuth 2.0 gibt es ein Protokoll, das zur Authentifizierung und Autorisierung (Erhalt von Zugriffstoken) verwendet wird.
• Einfach zu integrieren: Die Integration mit Anwendungen ist einfach und unkompliziert, bietet aber dennoch die Funktionen und Sicherheitsoptionen, die für Unternehmensintegrationen erforderlich sind.

Mehr darüber: Unser Glossar

Authentisierung ist ein kniffliges Thema. Daher haben wir uns erlaubt einige Begriffe zu klären.

Authentifizierung ist der Akt des Nachweises, dass "Sie der sind, für den Sie sich ausgeben", der normalerweise über Passwörter erfolgt. Der Akt der Verifizierung der Identität eines Computersystem-Benutzers. Identitätsanbieter bieten die Benutzerauthentifizierung als Dienstleistung an. Siehe Wikipedia-Authentifizierung.

Autorisierung ist der Prozess der Verifizierung, dass "Sie die Erlaubnis haben, das zu tun, was Sie zu tun versuchen", indem Sie Berechtigungen erteilen. Während die Autorisierung oft unmittelbar nach der Authentifizierung erfolgt (z.B. beim Einloggen in ein Computersystem), bedeutet dies nicht, dass die Autorisierung eine Authentifizierung voraussetzt: ein anonymer Agent könnte für eine begrenzte Anzahl von Aktionen autorisiert werden. Picturepark vergibt Berechtigungen über Zuordnungen zu Benutzerrollen. Siehe Wikipedia-Berechtigung.

Picturepark IDS (kurz: PIDS) ist der Picturepark Identity Server, der standardmässig trusted Identity Provider Ihrer Picturepark Content Platform eingerichtet ist. Alle Identitäts-Informationen (z.B. Benutzerattribute) werden im Picturepark IDS gespeichert. Sie können auf mehrere Pictureparks mit der gleichen Identität zugreifen.

Immer dann, wenn Office 365 z.B. einen Benutzer verifizieren muss, übernimmt Azure AD das gesamte Identitäts- und Zugriffsmanagement und ist damit der trusted Identity Provider.

Identity Provider (kurz: IdP, IDP) sind Systeme, die Identitätsinformationen (z.B. Benutzerattribute) verwalten und pflegen. Identity Provider bieten die Benutzerauthentifizierung als Dienstleistung an. Picturepark lagert die Benutzerauthentifizierung an den Picturepark Identity Server als voreingestellten, vertrauenswürdigen Identity Provider aus und ist damit eine Relying-Party-Anwendung für diesen. Siehe Wikipedia Identity Provider.

Immer dann, wenn Office 365 z.B. einen Benutzer verifizieren muss, übernimmt Azure AD das gesamte Identitäts- und Zugriffsmanagement und ist damit der trusted Identity Provider.

OpenID Connect ist ein führender Standard für Authentifizierung, insbesondere Identitätsbereitstellung und Single Sign-On. Er verwendet JSON-basierte Identitäts-Token (JWT), die über OAuth 2.0-Flüsse bereitgestellt werden, die für Web-, browserbasierte und native/mobile Anwendungen entwickelt wurden. OpenID Connect ermöglicht Clients aller Art, einschließlich webbasierter, mobiler und JavaScript-Clients, Informationen über authentifizierte Sitzungen und Endbenutzer anzufordern und zu empfangen. Die Spezifikation ist erweiterbar, so dass Teilnehmer optionale Funktionen wie die Verschlüsselung von Identitätsdaten, die Ermittlung von OpenID-Providern und die Sitzungsverwaltung nutzen können, wenn dies für sie sinnvoll ist. Sehen Sie hier die Picturepark OpenID Konfiguration für die Live-Umgebung. Fügen Sie der URL des Identity Providers folgendes hinzu: .known/openid-configuration, um die Konfiguration für Ihre Plattform zu erhalten. Identität, Authentifizierung + OAuth = OpenID-Verbindung (YouTube)

OpenID-Provider sind Implementierungen, die auf OpenID Connect basieren, wie Server oder Dienste oder Software Bibliotheken. OpenID-Provider sind auf der offiziellen OpenID-Connect-Seite aufgeführt: https://openid.net/developers/certified. Beliebte Dienste wie Google, Microsoft oder Amazon unterstützen OpenID, aber jeder OpenID-Provider kann unterschiedliche Metadaten definieren, die die OpenID Connect-Konfiguration beschreiben. Deshalb werden nicht alle OpenID-Provider von Picturepark unterstützt.

Falls Sie vorhaben, die föderierte Authentifizierung für Ihr Picturepark zu aktivieren, können Sie zuerst die Unterstützung Ihres bevorzugten Identity Providers mit Picturepark prüfen.

ACR-Werte sind optionale Parameter, die als Zeichenfolge mit Leerzeichen bereitgestellt werden. Diese Werte geben zusätzlichen Kontext, den der Autorisierungsserver zur Verarbeitung der Client-Authentifizierungsanforderung verwenden soll. Wenn der Client einen Wert angibt, den der IdP versteht, wird er genutzt, aber wenn der IdP ihn nicht versteht, wird die Authentifizierungsanfrage entweder abgelehnt oder die acr_values werden an den Client zurückgesendet, der dann entscheiden kann, ob der Authentifizierungsgrad zufriedenstellend ist, und mit der Authentifizierung fortfahren oder sie ablehnen kann. Die Werte erscheinen in der Reihenfolge ihrer Präferenz. Mögliche Werte können Multi-Faktor- oder Phishing-resistent sein. Weitere Informationen finden Sie hier: https://ldapwiki.com/wiki/Acr_values.

Der Flow zur Authentifizierungs definiert, wie die Token zur Identifizierung der Benutzer ausgetauscht werden. Der externe Identity Provider von Picturepark muss den Authorization Code Flow mit PKCE unterstützen. PKCE, ausgesprochen "pixy", ist ein Akronym für Proof Key for Code Exchange, das vom Benutzer nicht verlangt, ein client_secret zur Verfügung zu stellen. Der Standard Autorisierungscode Flow würde dies erfordern. Der Hauptvorteil ist das geringere Risiko für native Anwendungen, da im Quellcode keine Secrets eingebettet sind, was wiederum die Gefahr des Reverse Engineering begrenzt. Bei Bedarf kann Picturepark ein Client Secret senden oder verarbeiten.