This is the Trace Id: 222a92ffc2a17d690aec1ee420471b46
Zu Hauptinhalt springen
Microsoft Security

Was ist OAuth?

Erfahren Sie, was OAuth ist und wie es verwendet wird, um den Zugriff zwischen Apps und Diensten zu autorisieren, ohne vertrauliche Informationen zu beeinträchtigen.

OAuth erläutert

OAuth ist ein technologischer Standard, mit dem Sie eine App oder einen Dienst autorisieren können, sich bei einer anderen anzumelden, ohne private Informationen wie Kennwörter preiszugeben. Wenn Sie jemals eine Nachricht erhalten haben, z. B. „Mit Facebook anmelden?“ oder „Dieser Anwendung den Zugriff auf Ihr Konto zulassen?” haben Sie OAuth in Aktion gesehen.

OAuth steht für Open Authorization – nicht Authentifizierung, wie es manchmal angenommen wird. Die Authentifizierung ist ein Prozess, der Ihre Identität überprüft. OAuth umfasst Ihre Identität, aber der Zweck besteht darin, Ihnen die Berechtigung zu erteilen, nahtlos mit verschiedenen Apps und Diensten eine Verbindung mit Ihnen herzustellen, ohne dass Sie ein neues Konto erstellen müssen. OAuth bietet diese Einfachheit der Benutzererfahrung, indem Sie ihnen die Möglichkeit geben, zwei Apps zu autorisieren, einige Ihrer Daten freizugeben, ohne Ihre Anmeldeinformationen offenzulegen. Dies ist ein Gleichgewicht zwischen Komfort und Sicherheit.

OAuth ist für die Verwendung mit HTTP (Hypertext Transfer Protocol) konzipiert. Sie verwendet Zugriffstoken, um Ihre Identität nachzuweisen und ihr die Interaktion mit einem anderen Dienst in Ihrem Namen zu ermöglichen. Für den Fall, dass bei diesem zweiten Dienst eine Datenschutzverletzung auftritt, bleiben Ihre Anmeldeinformationen für den ersten Dienst sicher. OAuth ist ein weit verbreitetes Open-Standard-Protokoll, das von den meisten Entwicklern von Websites und Apps verwendet wird.

Wichtig: OAuth gewährt einer Drittanbieter-App oder einem Drittanbieterdienst keinen unbegrenzten Zugriff auf Ihre Daten. Ein Teil des Protokolls besteht darin, anzugeben, auf welche Daten der Drittanbieter zugreifen darf und was er mit diesen Daten tun kann. Das Festlegen solcher Einschränkungen und der Schutz von Identitäten im Allgemeinen sind besonders wichtig in Geschäftsszenarien, in denen viele Personen Zugriff auf eine Fülle vertraulicher und proprietärer Informationen haben.


 

Wie funktioniert OAuth?

Zugriffstoken sorgen dafür, dass OAuth sicher verwendet werden kann. Ein Zugriffstoken ist ein Datenelement, das Informationen über den Benutzer und die Ressource enthält, für die das Token vorgesehen ist. Ein Token enthält auch bestimmte Regeln für die Datenfreigabe.

Beispielsweise können Sie Fotos aus Ihrem Profil für soziale Medien mit einer Fotobearbeitungs-App teilen, möchten aber nur, dass sie Zugriff auf einige Ihrer Fotos hat. Außerdem muss es nicht auf Ihre Direktnachrichten oder Freundesliste zugreifen. Das Token autorisiert nur den Zugriff auf die daten, die Sie genehmigen. Es kann auch Regeln geben, die festlegen, wann die Anwendung den Token verwenden kann – für eine einmalige oder wiederkehrende Verwendung – und ein Ablaufdatum.

Der OAuth-Prozess ist größtenteils eine Computer-zu-Computer-Interaktion mit nur wenigen Touchpoints für den Benutzer. In einigen Szenarien müssen Sie Ihre Genehmigung möglicherweise nicht bereitstellen, da sie von Software im Hintergrund unbeaufsichtigt verarbeitet wird. Zwei OAuth-Beispiele hierfür wären in einem Unternehmensarbeitsszenario, in dem eine Identitätsplattform Verbindungen zwischen Ressourcen verarbeitet, um IT-Konflikte für eine große Anzahl von Benutzern zu reduzieren, oder in Interaktionen zwischen einigen intelligenten Geräten.


 

Beispiele für OAuth-Technologie

Wie viele Technologien, die etwas Mühsames vereinfachen – in diesem Fall das manuelle Anlegen von Konten in mehreren Apps – wurde OAuth von den App-Entwicklern fast allgemein angenommen. Es gibt eine Vielzahl von Anwendungsfällen für Personen und Unternehmen.

Um ein OAuth-Beispiel zu geben, nehmen Sie an, dass Sie Microsoft Teams als Tool für die Zusammenarbeit verwenden und auf weitere Informationen zu den Personen zugreifen möchten, mit denen Sie arbeiten, sowohl innerhalb als auch außerhalb Ihrer Organisation. Sie entscheiden sich für die Aktivierung der LinkedIn-Integration, damit Sie während der Interaktion mit ihnen mehr über Personen erfahren können, ohne Teams verlassen zu müssen. Microsoft und LinkedIn verwenden dann OAuth, um die Verknüpfung Ihrer Konten mit Ihrer Microsoft-Identität zu autorisieren.

Ein weiteres Szenario mit OAuth wäre das Herunterladen einer Budgetierungs-App, mit der Sie Ihre Ausgaben mit Warnungen und visuellen Hilfen wie Diagrammen nachverfolgen können. Um ihre Aufgabe zu erledigen, benötigt die App Zugriff auf einige Ihrer Bankdaten. Sie können eine Anforderung zum Verknüpfen Ihres Bankkontos mit der App initiieren und nur den Zugriff auf Ihren Kontostand und Ihre Transaktionen autorisieren. Die App und Ihre Bank würden OAuth verwenden, um diesen Informationsaustausch in Ihrem Namen durchzuführen, ohne Ihre Anmeldeinformationen für die Bank für die App offenzulegen.

Ein weiteres OAuth-Beispiel wäre, wenn Sie ein Entwickler mit GitHub wären und erfahren, dass eine Drittanbieter-App verfügbar ist, die in Ihr Konto integriert werden kann, um automatisierte Code Reviews durchzuführen. Sie wechseln zum GitHub Marketplace und laden die App herunter. Anschließend werden Sie aufgefordert, eine Verbindung mit der App zu autorisieren, indem Sie Ihre GitHub-Identität verwenden. Dies ist ein Prozess, der mithilfe von OAuth verarbeitet wird. Die überprüfende App könnte dann auf Ihren Code zugreifen, ohne dass Sie sich jedes Mal bei beiden Diensten anmelden müssen.

Worin besteht der Unterschied zwischen OAuth 1.0 und OAuth 2.0?

Das ursprüngliche OAuth 1.0 wurde nur für Websites entwickelt. Es wird heute nicht häufig verwendet, da OAuth 2.0 sowohl für Apps als auch für Websites entwickelt wurde und schneller und einfacher zu implementieren ist. OAuth 1.0 wird nicht wie OAuth 2.0 skaliert und verfügt nur über drei mögliche Autorisierungsflüsse im Vergleich zu sechs mit OAuth 2.0.

Wenn Sie OAuth verwenden möchten, empfiehlt es sich, Version 2.0 von Anfang an zu verwenden. Leider kann OAuth 1.0 nicht auf OAuth 2.0 aktualisiert werden. OAuth 2.0 war als grundlegende Neugestaltung von OAuth 1.0 gedacht, und mehrere große Technologieunternehmen haben ihr Feedback zu diesem Design abgegeben. Eine Website kann sowohl OAuth 1.0 als auch OAuth 2.0 unterstützen, aber die Creators wollten, dass 2.0 1.0 vollständig ersetzen würde.

OAuth im Vergleich zu OIDC

OAuth und Open ID Connect (OIDC) sind eng verwandte Protokolle. Sie sind insofern ähnlich, als dass beide eine Rolle dabei spielen, einer Anwendung Zugriff auf die Ressourcen einer anderen Anwendung im Namen eines Benutzers zu gewähren. Der Unterschied besteht darin, dass OAuth zwar für die Autorisierung des Zugriffs auf Ressourcen verwendet wird, OIDC jedoch für die Authentifizierung der Identität einer Person verwendet wird. Beide spielen eine Rolle, wenn es zwei nicht verbundenen Apps ermöglicht wird, Informationen freizugeben, ohne Benutzerdaten zu beeinträchtigen.

Identitätsanbieter verwenden in der Regel OAuth 2.0 und OIDC zusammen. OIDC wurde speziell entwickelt, um die Funktionen von OAuth 2.0 zu verbessern, indem eine Identitätsschicht hinzugefügt wird. Da es auf OAuth 2.0 basiert, ist OIDC nicht abwärtskompatibel mit OAuth 1.0.

 

Erste Schritte mit OAuth

Die Verwendung von OAuth 2.0 mit Ihren Websites und Apps kann die Benutzer- oder Mitarbeitererfahrung erheblich verbessern, indem der Identitätsauthentifizierungsprozess vereinfacht wird. Investieren Sie zunächst in eine Identitätsanbieterlösung wie Microsoft Entra, die Benutzer und Daten mit integrierter Sicherheit schützt.

Microsoft Entra ID (früher Azure Active Directory) unterstützt alle OAuth 2.0 Flows. App-Entwickler können die ID als standardbasierten Authentifizierungsanbieter verwenden, um sie bei der Integration moderner Identitätsfunktionen auf Unternehmensniveau in Apps zu unterstützen. IT-Administratoren können damit den Zugriff steuern.

Weitere Informationen über Microsoft Security

  • Microsoft Entra erkunden

    Schützen Sie Identitäten und den cloudübergreifenden Zugriff mit einer ganzheitlichen Lösungsfamilie.

    Mehr erfahren

  • Microsoft Entra ID (früher Azure Active Directory)

    Schützen Sie Ressourcen und Daten mit starker Authentifizierung und adaptivem risikobasiertem Zugriff.

    Mehr erfahren

  • Vertrauen in Ihre Apps schaffen

    Implementieren Sie einmaliges Anmelden, damit Mitarbeiter mit nur einer Anmeldeinformation auf alle benötigten Ressourcen zugreifen können.

    Mehr erfahren

  • Anmeldeerfahrung optimieren

    Implementieren Sie einmaliges Anmelden, damit Mitarbeiter mit nur einer Anmeldeinformation auf alle benötigten Ressourcen zugreifen können.

    Mehr erfahren

  • Schutz vor Angriffen

    Verwenden Sie die Multi-Faktor-Authentifizierung, um den Schutz für die Ressourcen Ihrer Organisation zu verbessern.

    Mehr erfahren

  • Verwenden von OAuth zum Vereinfachen des Zugriffs auf E-Mail-Daten

    Erfahren Sie, wie Sie Verbindungen mit Anwendungen mithilfe von Legacyprotokollen authentifizieren.

    Weiterlesen

 

 

Häufig gestellte Fragen

  • OAuth steht für Open Authorization und ist ein technologischer Standard, mit dem Sie eine App oder einen Dienst autorisieren können, sich bei einer anderen anzumelden, ohne private Informationen wie Kennwörter preiszugeben. Wenn Sie von einer App zur Autorisierung aufgefordert werden, Ihre Profilinformationen anzuzeigen, verwendet sie OAuth.

  • OAuth funktioniert durch den Austausch von Zugriffstokendaten, die Informationen über den Benutzer und die Ressource enthalten, für die das Token vorgesehen ist. Eine App oder Website tauscht verschlüsselte Informationen mit einer anderen über einen Benutzer aus und enthält bestimmte Regeln für die Datenfreigabe. Es kann auch Regeln geben, die festlegen, wann die Anwendung den Token verwenden kann und ein Ablaufdatum. Der OAuth-Prozess ist größtenteils eine Computer-zu-Computer-Interaktion mit nur wenigen Touchpoints für den Benutzer, sofern vorhanden.

  • Viele Unternehmen verwenden OAuth, um den Zugriff auf Apps und Websites von Drittanbietern zu vereinfachen, ohne ihre Benutzerpasswörter oder vertraulichen Daten preiszugeben. Google, Amazon, Microsoft, Facebook und Twitter verwenden sie alle, um Informationen über ihre Konten für eine Vielzahl von Zwecken zu teilen, einschließlich der Vereinfachung von Käufen. Die Microsoft Identity Platform verwendet OAuth, um Berechtigungen für Geschäfts-, Schul- und Unikonten, persönliche Konten, Konten für soziale Netzwerke und Spielekonten zu autorisieren.

  • OAuth und Open ID Connect (OIDC) sind eng verwandte Protokolle. Sie sind insofern ähnlich, als dass beide eine Rolle dabei spielen, einer Anwendung Zugriff auf die Ressourcen einer anderen Anwendung im Namen eines Benutzers zu gewähren. Der Unterschied besteht jedoch darin, dass OAuth zwar für die Autorisierung des Zugriffs auf Ressourcen verwendet wird, OIDC jedoch für die Authentifizierung der Identität einer Person verwendet wird. Beide spielen eine Rolle, wenn es zwei nicht verbundenen Apps ermöglicht wird, Informationen freizugeben, ohne Benutzerdaten zu beeinträchtigen.

  • Es gibt viele Unterschiede zwischen OAuth 1.0 und OAuth 2.0, da OAuth 2.0 als grundlegende Neugestaltung von OAuth 1.0 entwickelt wurde, wodurch es fast veraltet wird. OAuth 1.0 wurde nur für Websites entwickelt, während OAuth 2.0 sowohl für Apps als auch für Websites entwickelt wurde. OAuth 2.0 ist schneller und einfacher zu implementieren, kann skaliert werden und verfügt über sechs mögliche Autorisierungsflüsse im Vergleich zu den drei, die OAuth 1.0 aufweist.

Microsoft 365 folgen