© Nadya C/Shutterstock.com
APIs durch Azure-Dienste absichern - Teil 2

Web-APIs mit Azure AD absichern


Das waren noch Zeiten, als die meisten Firmen Windows-Monokulturen waren und praktisch jeder Computer im Unternehmen Teil einer Microsoft Active Directory Domain war – doch diese Zeiten sind längst vorbei. Dieser Artikel zeigt, wie neuen Sicherheitsanforderungen mit Hilfe von Azure Active Directory begegnet werden kann.

Früher hatten alle Benutzer Benutzernamen und Passwörter, von Multi-Faktor-Authentifizierung war noch keine Rede. In dieser Zeit war es denkbar einfach, einen in .NET entwickelten Service, den man im lokalen Netzwerk anbieten wollte, abzusichern. Die Basis für dessen Betrieb war fast immer der Internet Information Server (IIS) und dort gab es eine „magische“ Einstellung namens Windows Authentication. Man deaktivierte einfach anonymen Zugriff und erzwang Windows-Authentifizierung – und schon konnte man sich drauf verlassen, dass nur noch Personen auf den Service zugreifen konnten, die ein aktives Benutzerkonto in der Microsoft Active Directory Domain (AD) hatten, zu der auch der IIS gehörte.

In heutigen Unternehmen findet man dagegen Clients mit den verschiedensten Betriebssystemen. Auf Servern wird selbst in .NET-orientierten Unternehmen mittlerweile häufig Linux betrieben. Bring Your Own Device (BYOD) ist keine Seltenheit mehr. Mitarbeiterinnen und Mitarbeiter wollen über das Internet auf Anwendungen und Dienste zugreifen. Der Arbeitsalltag ist geprägt von den unterschiedlichsten Anwendungsplattformen, von Windows-Apps über Mobile-Apps bis hin zu Webanwendungen. Die gute alte AD und die damit verbundenen Sicherheitsprotokolle wie Kerberos oder NTLM haben in solchen Umgebungen ausgedient, es muss etwas Neues her. IIS mit Windows Authentication gehört damit ebenfalls der Vergangenheit an.

Neue Anforderungen brauchen neue Protokolle

Es wäre nicht Microsoft, hätte die Antwort nicht mit der Azure-Cloud zu tun. Azure Active Directory (AAD) trat an die Stelle von AD. Jeder Azure-Kunde hat eine AAD, jedes Unternehmen, das Office 365 (aka Microsoft 365) einsetzt, hat zwangsläufig eine AAD. Daher kann man heute davon ausgehen, dass Wissen über AAD in vielen Organisationen einsetzbar ist. Die Sicherheitsprotokolle, die AAD beherrscht, sind für die heutige, zum Internet offene und heterogene IT-Welt geeignet. Allen voran sind in Bezug auf Web-APIs OAuth 2 und OpenID Connect (kurz OIDC) zu nennen. Wer aus der oben beschriebenen früheren Welt von AD, IIS und Windows Authenti-cation kommt, der schreckt wahrscheinlich nach einem Blick in die Beschreibun...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang