engineering

Auf einen Kaffee mit Vittorio Bertocci

Principal Architect bei Auth0

Digitale Identitäten und Berechtigungen sind Teil jedes Digitalisierungsprojekts. Der Bedarf ist entsprechend hoch, die Umsetzung gilt aber als komplex. Standardisierung könnte für Vereinfachung sorgen, aber dazu müssen noch einige Hürden genommen werden. Welche das sind und was digitale Identitäten mit Cookies und Shampoo zu tun haben, das erklärt uns Vittorio Bertocci.

Vittorio Bertocci

1. Warum sollte man sich gerade jetzt mit den Zusammenhängen zwischen Cookies, Browsern und digitalen Identitäten beschäftigen?

Lassen Sie es mich so beschreiben: was wir im übertragenen Sinne gerade erleben, ist der Asteroiden-Einschlag auf dem Nährboden der Digital- und Internetindustrie. Wir als Identitätsanbieter haben einen besonderen Blickwinkel um dieses Szenario früher als jeder andere zu verstehen und einzuordnen. Es ist unser Job als Identitäts-Experten Trends zu erkennen und die Effekte auf das Geschäft unserer Kunden abzuleiten. Wir helfen ihnen dabei, Lösungen zu entwickeln, die sowohl die Customer Experience als auch den Datenschutz maximieren.

Hier geht es um einen dieser Fälle, bei dem es jeder gut meint, aber die Resultate eher schlecht sein werden. Nach dem Aus der Third-Party Cookies, die Google für Ende 2023 angekündigt hat, diskutieren wir schon jetzt valide alternative Tracking-Möglichkeiten. Browseranbieter möchten dem Nutzer weiterhin die Möglichkeit bieten, ungestört von „Paparazzi“ die jeden Schritt verfolgen, durchs Internet zu surfen. Gleichzeitig wissen wir und andere Anbieter aus der Industrie, was es bedeutet, wenn Tracking-Möglichkeiten sich verändern. Das ist ein bisschen so, wie ein Kanarienvogel, der in eine Miene fliegt. Denn gerade Login-Prozesse sind ganz am Anfang von solchen Maßnahmen betroffen. Nehmen wir das „Navigational Tracking“. Bei dieser Methodik führt der Werber den Nutzer über einen Umweg auf die Zielwebsite und trackt diesen Umweg. Diese Technik kommt ganz ohne Cookies aus. Warum gehören also wir als Identity Spezialisten an den Tisch? Weil diese Umleitung die Grundlage dafür ist, auf welcher sich die Gesamtheit des Identity Managements im Internet behauptet.

Eine weitere große Herausforderung für zukunftsfähige Alternativen ist die Tatsache, dass einige Identitätslösungen im Markt (like the ones based on SAML) von Menschen entwickelt wurden, die nicht mehr im Arbeitsleben sind. Diese Technologien werden von der Änderung betroffen sind und haben nur eine sehr geringe Flexibilität. Ein weiterer Grund, warum Identitätsanbieter bei dieser Diskussion berücksichtigt werden müssen. Ihr Geschäft ist darauf angewiesen, den Kunden innovative Lösungen zu bieten und deren Wirksamkeit zu erhalten.

2. Geht es denn bei der Suche nach den Tracking-Alternativen in erster Linie um die Unternehmen?

Nein, es geht nicht nur um sie. Ein gutes Beispiel dafür, dass es auch um den Endkunden geht, ist der Anmeldeprozess bei Streaming Diensten. Auch der Endanwender meldet sich über die SSO Experience gleichzeitig über mehrere Premium Kanäle an. Die Mechanismen unterliegen dem selben Fundament das innerhalb des Unternehmens genutzt wird. Unternehmen müssen sich bei diesen Login-Prozessen an den Wünschen ihrer Kunden ausrichten. Am Ende des Tages möchten wir die Geschäftsfähigkeit und die Customer Experience für unsere Kunden unterstützen. Denn Identität kann sehr schnell sehr komplex werden. Genau diese Komplexität möchten wir von unserem Kunden fernhalten. Dazu ein Beispiel: ein Kunde sagt: Ich möchte meinen Kunden auf drei Webseiten den Zugang über SSO ermöglichen, oder ich möchte diesen speziellen Entwicklungspfad übernehmen. Sie geben uns die Anforderungen, und wir kümmern uns um die Realisierung, da wir die Protokolle, die Sicherheitsfragen und die Building Blocks kennen.

3. Haben Sie ein Beispiel dafür, ob alternative Tracking-Lösungen auf ID-Basis funktionieren?

Ja sicher, im Jahr 2018 befand sich ein Kunde von uns in der Situation, dass Fehler in der Suite seiner Seiten-Applikationen auftauchten. Die Nutzer konnten sich anmelden, aber nach ein paar Minuten konnte sich die Applikation nicht mehr aktualisieren. Es stellte sich heraus, dass der Browser auf einmal nicht mehr auf Cookies reagierte, so wie er es die letzten Jahrzehnte getan hatte. Hier war ich das erste Mal mit dieser Thematik konfrontiert. Wir, die Identitäts-Experten verfassten einen Brief an den Browserprovider und sie teilten uns daraufhin mit, eine Lösung für das Problem zu suchen.

Dieses Vorhaben war nicht umsonst. Im Gegenteil, es war die Initialzündung dafür, dass die Browser-Community wach wurde und sich der Tatsache bewusst wurde, dass wenn sie die Gesetze des Identitätsmanagements aushebeln, hebeln sie gleichzeitig kritische Infrastrukturen aus. Universitäten oder Handel alle Transaktionen basieren auf denselben Mechanismen. Danach kam die Identity Community zusammen und änderte die Konditionen entsprechend. Das lief allerdings alles hinter verschlossenen Türen ab, Unsere Kunden mussten lediglich ihre SDKs aktualisieren und plötzlich funktionierten die Applikationen wieder. Die Gefahr besteht nun darin, dass wir an einen Punkt kommen können, an dem wir die Konditionen nicht mehr verändern können. Daher sind wir nach wie vor in diese Diskussion involviert.

4. Sie haben die W3C Federated Identity Community mitgegründet. Welche Akteure sollten diesem Netzwerk unbedingt beitreten?

Ursprünglich ist unsere Community aus einem Workshop-Event entstanden. Es handelt sich dabei um einen Zusammenschluss aus Identitätsanbietern, Browseranbietern und großen Brands auf neutralem Boden. Bei der Diskussion um Tracking-Alternativen haben wir erst entdeckt, dass diese Thematik noch gar keine wirkliche Lobby hat, obwohl die Digitalindustrie massiv davon betroffen ist. Dann entschieden wir, die wichtigsten Fragestellungen innerhalb einer Community Gruppe zu diskutieren. Unser Ziel war es dabei, einen Weg zu finden, um unerlaubtem Nutzer-Tracking zuvor zu kommen und gleichzeitig wichtige Identitätsvorkehrungen beizubehalten. Ich hoffe, dass wir noch mehr Identitätsanbieter und Browseranbieter an einen Tisch bekommen, denn der Markt ist sehr fragmentiert. Denn je größer die Anbieter sind, desto stärker wiegt unser Einfluss.

5. Sie sind eine echte Instanz im Bereich Identity Management. Worauf sind Sie besonders stolz?

Ich bin sehr stolz darauf, dass ich meinen Teil dazu beitragen darf, Entwicklern einen leichten Zugang zu Identity zu geben. Das ist meine ganz persönliche Mission, die mehrere Formen annimmt: zum einen bedeutet es, sich mit Konzepten auseinanderzusetzen, die schwer zugänglich sind und Wege zu finden, sie zu kontextualisieren, herauszuschälen, um sie verfügbarer zu machen. So wie beispielsweise die Identicons visuelle Sprache, oder Introduction to Identity video. Oder nehmen wir die Verbesserung von Tools. Diese müssen so funktionieren wie es sich die Entwickler wünschen, ohne zu niederschwellig zu sein. Damit habe ich mich in den letzten Jahrzehnten beschäftigt und tue es noch heute.

6. Gibt es noch einen unerfüllten Wunsch auf Ihrer ID Bucket List?

Wir können Identity heute noch einfacher für Entwickler gestalten, mehr nach der Plug and Play Methode. Dafür brauchen wir aber eine enge Zusammenarbeit in unserer Industrie. Das sehe ich bereits in greifbarer Nähe. Mit ein bisschen mehr Akzeptanz unserer Identity Best Practises, brauchen wir künftig nicht mehr so stark über niederschwellige Details zu arbeiten, sondern können interessante Diskussion auf einer besseren Qualitätsbasis führen. Stellen Sie sich vor, Identität kann standardmäßig gelöst werden (über SaaS), und wir können andere Qualitätslevel orchestrieren.

7. Warum identifizieren Sie selbst sich öffentlich so stark über Shampoos?

Ach, das war eigentlich als Witz gemeint, denn viele Follower fanden meine lange Mähne ungewöhnlich. Wenn man so will gehört das Shampoo zu meinem Personal Brand. Vielleicht hat es einen guten Wiedererkennungswert.

Hier gelangen Sie zu Vittorio´s Keynote Präsentation anlässlich der Kuppinger Cole European Identity & Cloud Conference in München: Browser Features vs. Identity Protocols: An Arms Race?