What Is Federated Identity and How Does It Work?

Föderierte Identität ist ein System, das die digitale Identität eines Nutzers über mehrere getrennte Organisationen hinweg verknüpft. Dadurch können sich Nutzer einmal anmelden und auf verschiedene Anwendungen zugreifen, ohne sich bei jeder einzelnen erneut authentifizieren zu müssen. Wenn Sie auf einer Website eines Drittanbieters auf „Mit Google anmelden“ klicken, nutzen Sie föderierte Identität – Google bestätigt, wer Sie sind, sodass die andere Website Ihre Zugangsdaten nicht selbst verwalten muss.

Dieser Ansatz ist zur Grundlage dafür geworden, wie moderne Organisationen Nutzer über organisatorische Grenzen hinweg mit Diensten verbinden. Im Folgenden erklären wir, wie föderierte Authentifizierung tatsächlich funktioniert, vergleichen die wichtigsten Protokolle wie SAML und OpenID Connect und betrachten praktische Implementierungsaspekte beim Aufbau einer einheitlichen Identitätsschicht.

Was ist föderierte Identität?

Föderierte Identität ist ein System, das die digitale Identität eines Nutzers über mehrere getrennte Organisationen oder Sicherheitsdomänen hinweg verknüpft. Es ermöglicht Nutzern, sich einmal mit einem einzigen Satz Zugangsdaten anzumelden und dann auf verschiedene Anwendungen und Dienste zuzugreifen, ohne sich bei jedem einzelnen erneut authentifizieren zu müssen. Wahrscheinlich haben Sie föderierte Identität bereits genutzt – wenn Sie auf einer Website eines Drittanbieters auf „Mit Google anmelden“ klicken, bestätigt Google dieser Website Ihre Identität, sodass Sie kein neues Konto erstellen müssen.

Das System funktioniert durch eine Vertrauensbeziehung zwischen zwei zentralen Akteuren. Ein Identity Provider (IdP) ist das System, das tatsächlich überprüft, wer Sie sind, und Ihre Zugangsdaten speichert. Ein Service Provider (SP) ist die Anwendung, auf die Sie zugreifen möchten, und sie vertraut dem IdP, Ihre Identität zu bestätigen. Standardprotokolle wie SAML 2.0, OAuth 2.0 und OpenID Connect (OIDC) übernehmen den sicheren Austausch von Identitätsinformationen zwischen ihnen.

• Identity Provider (IdP): Das vertrauenswürdige System, das Nutzer authentifiziert. Google, Microsoft oder ein Unternehmensverzeichnis können alle als IdPs dienen.
• Service Provider (SP): Die Anwendung, die sich auf den IdP verlässt, um die Identität zu überprüfen. Das kann ein SaaS-Tool, eine E-Commerce-Website oder eine mobile App sein.
• Vertrauensbeziehung: Eine formale Vereinbarung, die festlegt, welche Identitätsinformationen geteilt werden und wie sie sicher bleiben.

Wie funktioniert föderierte Authentifizierung?

Der Prozess der föderierten Authentifizierung folgt einer vorhersehbaren Abfolge, die Ihre Zugangsdaten schützt und Ihnen gleichzeitig nahtlosen Zugriff über verschiedene Systeme hinweg ermöglicht.

Die Rolle von Identity Providern und Service Providern

Ein Identity Provider übernimmt die eigentliche Überprüfung Ihrer Identität. Er speichert Ihre Zugangsdaten, setzt Sicherheitsrichtlinien wie Multi-Faktor-Authentifizierung (MFA) durch und stellt Assertions aus, die Ihre Identität bestätigen. Der Service Provider hingegen sieht Ihr Passwort niemals. Er vertraut lediglich auf die Bestätigung des IdP, dass Sie die Person sind, für die Sie sich ausgeben.

Diese Trennung macht Föderation so leistungsfähig. Ihre Zugangsdaten bleiben an einem sicheren Ort, statt über Dutzende verschiedene Dienste verstreut zu sein.

Vertrauensbeziehungen und Token-Austausch

Bevor Föderation funktionieren kann, bauen der IdP und der SP eine Vertrauensbeziehung auf. Das umfasst typischerweise den Austausch kryptografischer Zertifikate und die Vereinbarung darüber, welche Benutzerattribute geteilt werden – vielleicht nur eine E-Mail-Adresse oder auch zusätzliche Details wie Gruppenmitgliedschaften.

Wenn Sie sich authentifizieren, erstellt der IdP ein signiertes Token oder eine Assertion mit Ihren Identitätsinformationen. Der SP prüft diese Signatur, um zu bestätigen, dass die Assertion tatsächlich vom vertrauenswürdigen IdP stammt und nicht manipuliert wurde.

Der Authentifizierungsablauf Schritt für Schritt

Das passiert, wenn Sie auf einen föderierten Dienst zugreifen:

1. Sie versuchen, auf eine Anwendung zuzugreifen (den Service Provider)
2. Die Anwendung leitet Sie an Ihren vertrauenswürdigen Identity Provider weiter
3. Sie authentifizieren sich beim IdP mit Ihren Zugangsdaten
4. Der IdP erzeugt eine signierte Assertion, die Ihre Identität bestätigt
5. Der SP validiert die Assertion und gewährt Ihnen Zugriff

Der gesamte Prozess dauert in der Regel nur Sekunden, und Sie teilen Ihr Passwort niemals mit dem Service Provider.

Zentrale Protokolle und Technologien für Identity Federation

Mehrere Standardprotokolle ermöglichen sichere Föderation. Jedes hat seine Stärken, und die richtige Wahl zwischen SAML und OIDC hängt von Ihrem Anwendungsfall ab.

SAML

Security Assertion Markup Language, oder SAML 2.0, ist ein XML-basiertes Protokoll, das seit über zwei Jahrzehnten der Unternehmensstandard ist. Es ist besonders verbreitet für browserbasiertes Single Sign-On (SSO) in Workforce-Szenarien, etwa wenn Mitarbeiter über ein unternehmensweites Identitätssystem mit Cloud-Anwendungen verbunden werden. SAML-Assertions sind ausführlich, aber sehr ausdrucksstark und können detaillierte Attributinformationen über Nutzer transportieren.

OAuth 2.0

OAuth 2.0 ist technisch gesehen ein Autorisierungsframework und kein Authentifizierungsprotokoll. Es erlaubt Drittanbieteranwendungen, im Namen von Nutzern auf Ressourcen zuzugreifen – zum Beispiel einer Kalender-App zu erlauben, Ihre E-Mails zu lesen, um Besprechungseinladungen zu finden. Während OAuth die Frage „Was darf diese App tun?“ beantwortet, wurde es nicht dafür entwickelt, die Frage „Wer ist dieser Nutzer?“ zu beantworten. Genau hier kommt OpenID Connect ins Spiel.

OpenID Connect

OpenID Connect (OIDC) baut eine Authentifizierungsschicht auf OAuth 2.0 auf. Es ergänzt den Autorisierungsprozess um Identitätsprüfung und gibt Benutzerinformationen in JSON Web Tokens (JWT) zurück, die kompakt sind und sich von modernen Web- und Mobilanwendungen leicht verarbeiten lassen. OIDC ist zur dominierenden Wahl für verbraucherorientierte Anwendungen und neuere Enterprise-Implementierungen geworden.

Föderierte Identität vs. Single Sign-On

Sie werden SSO und föderierte Identität oft synonym verwendet hören, aber ganz dasselbe ist es nicht.

Single Sign-On (SSO) bezieht sich typischerweise auf die Nutzung eines einzigen Logins für mehrere Anwendungen innerhalb derselben Organisation oder Sicherheitsdomäne. Sie melden sich einmal bei dem Identitätssystem Ihres Unternehmens an und erhalten Zugriff auf E-Mail, HR-Tools und Projektmanagement-Software, ohne sich erneut anmelden zu müssen.

Föderierte Identität erweitert dieses Konzept über organisatorische Grenzen hinweg. Wenn Mitglieder eines Sportvereins ihre Vereinszugangsdaten nutzen können, um auf Partnerdienste, Ticketing-Plattformen und Merchandise-Shops zuzugreifen, die von verschiedenen Organisationen betrieben werden, ist das Föderation in der Praxis. Wenn SSO organisatorische Grenzen überschreitet, wird es manchmal „föderiertes SSO“ genannt – daher kommt die Überschneidung in der Terminologie.

• SSO: Ein Login für mehrere Apps innerhalb derselben Organisation
• Föderierte Identität: Ein Login für Apps über mehrere unabhängige Organisationen hinweg

Beispiele für föderierte Identität in der Praxis

Abstrakte Konzepte werden durch konkrete Beispiele verständlicher. So zeigt sich Föderation in unterschiedlichen Kontexten.

Social Login

Wenn Sie auf einer Website auf „Mit Google anmelden“ oder „Mit Apple fortfahren“ klicken, nutzen Sie verbraucherorientierte Föderation. Die soziale Plattform fungiert als IdP, und die Website des Drittanbieters ist der SP. Sie erhalten schnellen Zugriff, ohne noch ein weiteres Konto erstellen zu müssen, und die Website erhält eine verifizierte E-Mail-Adresse, ohne Passwortspeicherung handhaben zu müssen.

Kundenidentität über mehrere Marken hinweg

Medienunternehmen, Sportorganisationen und Mitgliedschaftsplattformen betreiben oft mehrere digitale Angebote. Föderation ermöglicht es, dass ein einzelnes Benutzerkonto über alle hinweg funktioniert – die Hauptwebsite, mobile Apps, Streaming-Dienste und E-Commerce-Shops. So entstehen einheitliche Kundenprofile, die jeden Touchpoint abdecken.

Workforce-Föderation im Unternehmen

Organisationen föderieren häufig ihr Unternehmensverzeichnis (wie Microsoft Active Directory) mit Cloud-Diensten. Mitarbeiter nutzen ihre Arbeitszugangsdaten, um auf Salesforce, Slack oder Dutzende andere SaaS-Anwendungen zuzugreifen. IT-Teams behalten die zentrale Kontrolle über Zugriffe, und wenn jemand das Unternehmen verlässt, entzieht das Deaktivieren seines IdP-Kontos sofort überall den Zugriff.

Ist föderierte Identität sicher?

Sicherheit ist oft die erste Sorge, wenn Föderation in Betracht gezogen wird. Bei korrekter Implementierung verbessert Föderation die Sicherheit in der Regel, statt sie zu schwächen.

Sicherheitsvorteile von föderiertem Zugriff

Die Zentralisierung der Authentifizierung bei einem vertrauenswürdigen IdP reduziert die gesamte Angriffsfläche. Nutzer erstellen nicht für jeden Dienst neue Passwörter, was die 94 % der Passwörter reduziert, die über Konten hinweg wiederverwendet werden. Der IdP kann starke Authentifizierungsrichtlinien – wie MFA oder passwortlose Authentifizierung – über alle verbundenen Dienste hinweg durchsetzen.

• Reduzierte Offenlegung von Zugangsdaten: Nutzer authentifizieren sich nur beim IdP, nicht bei jedem einzelnen Dienst – wodurch auf Zugangsdaten basierende Sicherheitsverletzungen gemindert werden, die 4,67 Millionen US-Dollar pro Vorfall kosten
• Zentralisierte Sicherheitsrichtlinien: Der IdP setzt konsistente Authentifizierungsstandards durch
• Schnelleres Deprovisioning: Der Entzug des IdP-Zugriffs kappt sofort alle föderierten Dienste

Potenzielle Risiken und Strategien zu ihrer Minderung

Das Hauptrisiko besteht darin, dass ein kompromittierter IdP alle verbundenen Dienste beeinträchtigen könnte. Das macht die Sicherheit des IdP entscheidend. Organisationen mindern dieses Risiko durch starke IdP-Sicherheitsmaßnahmen, kontinuierliches Monitoring auf verdächtige Aktivitäten und die Begrenzung von Token-Laufzeiten, sodass gestohlene Tokens schnell ablaufen.

Föderation erfordert außerdem sorgfältige Aufmerksamkeit dafür, welche Attribute geteilt werden. Nur die minimal notwendigen Informationen zu teilen, folgt dem Prinzip der geringsten Rechte und reduziert Datenschutzrisiken.

Vorteile von föderiertem Identity and Access Management

Über die Sicherheit hinaus liefert Föderation greifbaren geschäftlichen Mehrwert in mehreren Bereichen.

Verbesserte User Experience und höhere Konversionsraten

Jeder zusätzliche Login-Bildschirm ist ein potenzieller Absprungpunkt. Föderation beseitigt Reibung, indem sie Nutzern erlaubt, mit Zugangsdaten auf Dienste zuzugreifen, die sie bereits haben. Bei kundenorientierten Anwendungen führt das direkt zu besserem Engagement und höheren Konversionsraten.

Geringere IT-Kosten und weniger Komplexität

Der Aufbau und die Wartung separater Authentifizierungssysteme für jeden Dienst sind teuer. Föderation ermöglicht es Organisationen, in eine robuste Identitätsinfrastruktur zu investieren, die allen verbundenen Anwendungen dient. Passwort-Zurücksetzungsanfragen – die 40 % aller Helpdesk-Anrufe ausmachen – nehmen ab, wenn Nutzer weniger Zugangsdaten verwalten müssen.

Zentralisiertes Identitätsmanagement und Datensynchronisierung

Mit Föderation befinden sich Benutzerdaten in einer einzigen autoritativen Quelle. Änderungen werden automatisch an verbundene Systeme weitergegeben, sodass Profile synchronisiert bleiben. Diese Grundlage ermöglicht den Aufbau umfassender 360°-Kundenprofile, die Interaktionen über alle Touchpoints hinweg zusammenführen.

Verbesserte Compliance und Kontrolle über First-Party-Daten

Die eigene Identitätsschicht zu besitzen bedeutet, Zero-Party- und First-Party-Daten unabhängig von Big-Tech-Plattformen zu erfassen. Zentrales Consent Management wird möglich, wenn alle Nutzerinteraktionen durch ein einziges Identitätssystem fließen, was die Einhaltung von Vorschriften wie der DSGVO unterstützt.

Häufige Missverständnisse über föderierte Identität

Es bestehen mehrere Missverständnisse darüber, was Föderation in der Praxis bedeutet.

• „Föderation bedeutet, die Kontrolle abzugeben“: Organisationen können ihren eigenen IdP betreiben und die vollständige Kontrolle über Benutzerdaten, Authentifizierungsrichtlinien und darüber behalten, welche Informationen mit jedem SP geteilt werden.
• „Das ist nur für Unternehmen“: Verbraucherorientierte Unternehmen nutzen Föderation zunehmend für Kundenidentität über Apps, Shops und Content-Plattformen hinweg. Social Login ist Föderation.
• „Dafür müssen bestehende Systeme ersetzt werden“: Föderation integriert sich über Standardprotokolle mit bestehenden CRMs, CDPs und Marketing-Tools. Sie verbindet Systeme, statt sie zu ersetzen.

Best Practices für die Implementierung von Identity Federation

Für Organisationen, die Föderation in Betracht ziehen, helfen etablierte Vorgehensweisen dabei, eine erfolgreiche Implementierung sicherzustellen.

1. Klare Vertrauensrichtlinien über Provider hinweg definieren

Dokumentieren Sie, welchen IdPs Ihre Dienste vertrauen werden und welche Identitätsattribute geteilt werden. Etablieren Sie formale Vereinbarungen, die Sicherheitsanforderungen, Datenverarbeitungspraktiken und Verfahren zur Reaktion auf Vorfälle festlegen.

2. Standardbasierte Protokolle wie SAML und OpenID Connect verwenden

Proprietäre Lösungen führen zu Vendor Lock-in und Interoperabilitätsproblemen. Standardbasierte Protokolle stellen sicher, dass Sie sich mit Partnern verbinden, neue Dienste integrieren und bei Bedarf den Anbieter wechseln können.

3. Benutzer-Migration und Profilaggregation einplanen

Wenn Sie bestehende Benutzerdatenbanken konsolidieren, erstellen Sie eine klare Migrationsstrategie. User Matching – also das Verknüpfen von Konten, die in unterschiedlichen Systemen derselben Person gehören – erfordert sorgfältige Planung, um doppelte Profile oder Datenverluste zu vermeiden.

4. Consent Management von Anfang an integrieren

Integrieren Sie eine transparente Einwilligungserfassung direkt in Login- und Registrierungsabläufe. Nutzer erhalten Kontrolle darüber, welche Daten mit welchen Diensten geteilt werden, und Sie behalten klare Nachweise für Compliance-Zwecke.

Wie föderierte Identität zentrale Benutzerprofile ermöglicht

Föderation schafft eine natürliche Grundlage für einheitliche Kundenprofile. Wenn Nutzer sich über einen zentralen IdP authentifizieren, werden ihre Interaktionen über alle verbundenen Dienste hinweg mit dieser einen Identität verknüpft.

Das ermöglicht die Zusammenführung von Daten aus CRMs, E-Commerce-Plattformen, mobilen Apps und Marketing-Tools zu nutzbaren Profilen. Das Ergebnis: bessere Personalisierung, präzisere Segmentierung und die Fähigkeit, ID-basierte Kampagnen kanalübergreifend durchzuführen. Ohne Föderation bleiben Benutzerdaten in getrennten Systemen isoliert, was es schwierig macht, die vollständige Customer Journey zu verstehen.

Aufbau einer einheitlichen Identitätsschicht für digitales Wachstum

Föderierte Identität ist grundlegende Infrastruktur für digital ausgerichtete Organisationen. Eine zentrale Identitätsschicht baut Datensilos ab, verbessert die User Experience durch einen einheitlichen Login und eröffnet neue Umsatzmöglichkeiten wie Premium-Mitgliedschaften und Partnerintegrationen.

Organisationen, die ihre Identitätsinfrastruktur selbst besitzen, gewinnen Unabhängigkeit von Big-Tech-Plattformen, wahren gleichzeitig Compliance und bauen wertvolle First-Party-Datenbestände auf. Ob Sie eine Medienmarke, eine Sportorganisation oder ein mitgliedschaftsbasiertes Unternehmen sind – Föderation liefert das verbindende Gewebe, das Ihr digitales Ökosystem zusammenhält. Wenn Sie bereit sind, Ihre einheitliche Identitätsschicht aufzubauen, nehmen Sie Kontakt mit unserem Team auf.

Mehr lesen

Häufig gestellte Fragen zu föderierter Identität

Was ist der Unterschied zwischen einem Identity Provider und IAM?

Ein Identity Provider (IdP) ist die Komponente, die Nutzer authentifiziert und Identitäts-Assertions ausstellt. Identity and Access Management (IAM) ist ein umfassenderes Framework, das den IdP zusammen mit Benutzerbereitstellung, Zugriffsrichtlinien, Governance und Lifecycle-Management über alle Systeme hinweg umfasst.

Kann föderierte Identität in Legacy-Systeme integriert werden?

Ja, Föderationslösungen mit Standardprotokollen wie SAML oder OpenID Connect können über Adapter, APIs oder Identity Bridges mit Legacy-Systemen verbunden werden, die zwischen modernen und älteren Protokollen übersetzen.

Wie wirkt sich föderierte Identität auf die Privatsphäre der Nutzer aus?

Föderation kann die Privatsphäre verbessern, indem sie die Speicherung von Zugangsdaten über verschiedene Dienste hinweg minimiert. Organisationen, die Föderation implementieren, profitieren jedoch von transparentem Consent Management, sodass Nutzer kontrollieren, welche Daten mit jedem Service Provider geteilt werden.

Was ist der Unterschied zwischen Workforce- und Customer-Identity-Föderation?

Workforce-Föderation verbindet Mitarbeiter mit Unternehmensanwendungen über Unternehmenszugangsdaten. Customer Identity Federation (CIAM) verknüpft Verbraucheridentitäten über kundenorientierte Dienste wie Websites, Apps und Mitgliedschaftsplattformen hinweg, oft mit anderen Anforderungen an Self-Service-Registrierung und Einwilligung.