Was ist ein Identity Provider?
Ein Identity Provider (IdP) ist ein zentraler Dienst, der die digitale Identität von Personen verwaltet und die Anmeldung bei verschiedenen Anwendungen ermöglicht – darunter auch Falcon. Sobald Falcon mit einem IdP verbunden ist, kann der Zugriff per Single Sign-On (SSO) erfolgen.
➡️ Beispiele für verbreitete Identity Provider:
Microsoft Entra ID (ehemals Azure AD)
Okta
Google Workspace Identity
Auth0, JumpCloud, Ping Identity und weitere
Wie funktioniert ein Identity Provider im Zusammenspiel mit Falcon?
Ein Identity Provider übernimmt die Authentifizierung der Person, also die Bestätigung:
"Ja, diese Person ist, wer sie vorgibt zu sein – und darf auf Falcon zugreifen."
Falcon selbst speichert keine Zugangsdaten, sondern verlässt sich auf die Bestätigung des IdP über das OpenID Connect (OIDC)-Protokoll. Wird die Anmeldung erfolgreich abgeschlossen, erhält Falcon die Information:
✔ Zugriff erlaubt – Login erfolgt.
Wann wird ein Identity Provider benötigt?
Ein IdP wird benötigt, wenn:
SSO für den Falcon-Hub aktiviert werden soll.
Benutzerzugänge zentral (z.B. von der IT) verwaltet werden sollen.
Wie erfolgt die Einrichtung grob?
Die Einrichtung erfolgt typischerweise durch die eigene IT oder in Zusammenarbeit mit dem Nordantech-Support. Grundlegend sind:
Erstellen einer Anwendung im IdP-Portal (z. B. Microsoft Entra oder Okta)
Hinterlegen der benötigten Parameter in Falcon:
OIDC-Metadaten-URL
Client-ID
Client-Secret
Aktivieren der SSO-Funktion im Falcon-Hub
Sicherheitsrisiko: Achtung bei der Konfiguration
Da die Konfiguration des Identity Providers (IdP) vollständig auf Seiten des Falcon-Kunden liegt, ist auf ein potenzielles Sicherheitsrisiko hinzuweisen: Falsch konfigurierte Sicherheitseinstellungen innerhalb des OAuth-Flows können Schwachstellen verursachen, die alle Nutzer betreffen.
Ein typisches Beispiel ist eine fehlerhaft definierte Redirect-URI. Diese kann es Angreifern ermöglichen, den Autorisierungscode abzufangen, indem sie die Weiterleitung auf ein manipuliertes Ziel umleiten. Es wird daher empfohlen, bei der Einrichtung des Identity Providers besonders auf eine korrekte und sichere Konfiguration aller OAuth-Parameter zu achten.