Authentifizierung und Autorisierung sind gängige Begriffe bei modernen Computersystemen, die jedoch häufig verwechselt werden. Beide Begriffe beziehen sich auf Sicherheit und beide werden häufig synonym verwendet. Doch wie Sie gleich erfahren werden, haben Authentifizierung und Autorisierung unterschiedliche Bedeutungen und Anwendungen.

Wenn Sie nur wenig Zeit zum Lesen haben, können Sie direkt zum Abschnitt „Authentifizierung und Autorisierung im Vergleich“ am Ende dieses Artikels springen. Doch wenn Sie gerne mehr darüber erfahren möchten, empfehlen wir Ihnen auch die nächsten Abschnitte. Wir stellen Ihnen hier kurz zwei Themen vor:

• Was ist Authentifizierung?
• Was ist Autorisierung?

Darin erklären wir, was Authentifizierung und Autorisierung überhaupt bedeuten und welche Unterschiede und Gemeinsamkeiten es gibt. Am Ende wissen Sie auch, wie Auth0 Authentifizierung und Autorisierung verwaltet.

Authentifizierung bezeichnet das Verfahren, mit dem die Identität eines Nutzers oder eines Geräts (im Folgenden kollektiv als „Nutzer“ bezeichnet) bestätigt wird. Beim Authentifizierungsprozess muss ein Nutzer in der Regel einen Nachweis seiner Identität erbringen, d. h. einen Authentifizierungsfaktor. Wenn Sie beispielsweise bei der Bank Geld von Ihrem Konto abheben möchten, fragt der Bankangestellte Sie vermutlich nach einem Ausweis, um zu prüfen, wer Sie sind. Oder wenn Sie ein Flugticket kaufen, müssen Sie beim Antritt der Reise möglicherweise Ihren Reisepass vorlegen, um zu beweisen, dass Sie die Person sind, die das Ticket nutzen darf. Beide Beispiele zeigen Situationen aus der realen Praxis, in denen Authentifizierungsprozesse stattfinden, um Ihre Identität (als authentifizierter Nutzer) zu bestätigen.

Bei einer digitalen Transaktion läuft ein ähnliches Verfahren ab, beispielsweise wenn Sie auf Ihr Facebook-Profil oder das E-Mail-Programm Ihres Unternehmens zugreifen. In diesen Situationen müssen Sie kein Identitätsdokument vorlegen, sondern ein Passwort oder Ähnliches angeben. Das heißt, Sie weisen Ihre Identität nach, indem Sie dem System zeigen, dass Sie bestimmte Informationen kennen (wie einen Benutzernamen und ein Passwort) oder ein bestimmtes Gerät besitzen (beispielsweise ein Smartphone, auf dem Sie eine SMS mit einem Code empfangen können). Nachdem Sie die erforderlichen Daten angegeben oder nachgewiesen haben, dass Sie Zugriff auf ein bestimmtes Gerät haben, erkennt das jeweilige System Ihre Identität und ermöglicht Ihnen den Zugang zum System. In diesem Szenario nutzt der Nutzer Authentifizierungsfaktoren, um seine Identität nachzuweisen. Dabei kann es sich um eine Ein-, Zwei- oder Multi-Faktor-Authentifizierung handeln.

Im Gegensatz zur Authentifizierung bezeichnet der Begriff „Autorisierung“ den Prozess, mit dem Sie prüfen, auf welche Ressourcen ein Nutzer (oder ein Gerät) zugreifen kann oder welche Handlungen er ausführen darf, d. h. die Zugriffsrechte.

Stellen Sie sich beispielsweise vor, Sie kaufen eine Kinokarte. In der Regel ist der Kinobetreiber nicht an Ihrer Identität interessiert, er möchte also nicht wissen, wer Sie sind. Er interessiert sich nur dafür, ob Sie berechtigt sind, sich den Film anzusehen. Um nachzuweisen, dass Sie sich den Film ansehen dürfen, zeigen Sie nicht Ihren Personalausweis, sondern ein Ticket.

Häufig enthält das Ticket, das Sie zum Besuch der Vorstellung berechtigt, keinerlei Informationen über Ihre Identität. Selbst wenn Informationen über Ihre Identität enthalten sind, werden diese beim Autorisierungsprozess nicht überprüft.

Bei internetbasierten Softwareanwendungen werden häufig sogenannte Tokens für die Autorisierung verwendet. Erst nachdem sich ein Nutzer angemeldet hat, „interessieren“ sich die Anwendungen dafür, was er tun darf. In diesem Szenario führt das zur Erstellung eines Tokens, das die Autorisierungsdetails auf der Grundlage der Identität des Nutzers enthält. Das System verwendet dieses Autorisierungstoken für Autorisierungsentscheidungen, d. h., um dem Nutzer den Zugriff auf bestimmte Ressourcen zu ermöglichen bzw. zu verweigern.

Die vorhergehenden Abschnitte können als Orientierungshilfe dafür dienen, was Authentifizierung und Autorisierung bedeuten, doch in der Praxis überschneiden sich die beiden Konzepte häufig (was auch der Grund für die häufige Verwechslung sein könnte). Um beim Bankbeispiel zu bleiben: Der dem Mitarbeiter vorgelegte Ausweis dient auch dazu, den Zugriff auf das auf Ihrem Konto befindliche Guthaben zu autorisieren.

In einem ähnlichen Szenario könnte ein Unternehmen, das Mitarbeiterausweise nutzt, um den Zugang zu bestimmten Räumen zu kontrollieren, diese Ausweise nutzen, um sowohl die Person (über Namen und Foto) zu authentifizieren als auch den Zugang zu autorisieren.

Sie sehen also: Authentifizierung und Autorisierung scheinen in manchen Szenarien austauschbar zu sein, und das sorgt für Verwirrung.

Wichtig ist jedoch: Authentifizierung führt zu Autorisierung, doch Autorisierung führt nicht zu Authentifizierung.

Während ein Identitätsnachweis ausreichen mag, um Zugriffsrechte zu erhalten (d. h., man ist autorisiert, etwas zu tun), kann eine Autorisierung nicht immer dazu dienen, einen Nutzer zu identifizieren.

Eine Bordkarte, beispielsweise, autorisiert Sie zum Betreten das Flugzeugs und enthält außerdem Daten über Ihre Identität. Sie informiert die Crew über Ihren Namen. Ein Kinoticket enthält jedoch in der Regel keine Informationen über Ihre Identität. Es zeigt lediglich, dass Sie das Recht haben, sich einen bestimmten Film anzusehen, nichts weiter.

Kurz:

• Bei der Authentifizierung wird ein Nutzer (oder ein Gerät) identifiziert.
• Bei der Autorisierung wird Nutzern oder Geräten der Zugriff ermöglicht oder verweigert.
• Die Authentifizierung kann als Faktor für Autorisierungsentscheidungen dienen.
• Die Autorisierung ist hingegen nicht zur Identifikation von Nutzern oder Geräten geeignet.

Lesen Sie unsere Einführung in IAM, um sich über weitere Themen rund um das Identitäts- und Zugriffsmanagement zu informieren.