Trusted.ID Service Übersicht — Single Sign-On (SSO) System

Trusted.ID Service ist ein Single Sign-On (SSO) System für die zentrale Benutzerauthentifizierung und das Zugriffsmanagement für Unternehmensanwendungen.

Das System bietet eine sichere zentrale Authentifizierung mit Unterstützung für SSO, OAuth 2.0, OpenID Connect und Zwei-Faktor-Authentifizierung.

---

Anwendungsfälle für Trusted.ID Service

Trusted.ID Service ist ein System zur Organisation der zentralen Benutzeranmeldung bei IT-Ressourcen des Unternehmens unter Verwendung eines einzigen Kontos.

Trusted.ID Service richtet sich an Unternehmen, die Folgendes benötigen:

• Zentrales Anmeldefenster für interne und externe Dienste
• Zentrales Zugriffsmanagement für verschiedene Benutzerkategorien (Mitarbeiter, Auftragnehmer, Kunden)
• Erhöhte Sicherheit durch Unterstützung der Multi-Faktor-Authentifizierung
• Strikte Kontrolle und Audit von Benutzeraktionen
• Sichere Integration mehrerer Anwendungen mit unterschiedlichen Authentifizierungssystemen

---

Hauptmerkmale von Trusted.ID Service

1. Authentifizierung und Anmeldung

Das System bietet eine zentrale Authentifizierung und unterstützt mehrere Protokolle und Authentifizierungsmethoden.

Unterstützte Protokolle

• OpenID Connect (OIDC) — Benutzerauthentifizierung und Übertragung von Identitätsdaten
• OAuth 2.0 — Autorisierung und Verwaltung des Ressourcenzugriffs

Authentifizierungsmethoden

• Basismethoden: Login und Passwort, E-Mail
• Externe Identity Provider: Soziale Netzwerke, vertrauenswürdige Unternehmenssysteme und andere Dienste
• Erweiterte und passwortlose Methoden: Kryptografische Authentifizierung über mTLS (Client-Zertifikate) und WebAuthn (Biometrie, Hardware-Keys) sowie TOTP/HOTP Einmalpasswörter

Zwei-Faktor-Authentifizierung (2FA / MFA)

Trusted.ID Service unterstützt Multi-Faktor-Authentifizierung (MFA), bei der der Zugriff erst nach erfolgreicher Identitätsprüfung durch mehrere unabhängige Faktoren (Wissen, Besitz, Biometrie) gewährt wird.

2. Anwendungs- und Benutzerverwaltung

• Erstellung und Konfiguration von Anwendungen: Webanwendungen, native mobile Anwendungen
• Widget-Anpassung: Abstimmung des externen Authentifizierungs-Widgets auf das Branding des Unternehmens
• Benutzerverwaltung: Registrierung, Bearbeitung, Sperrung, Passwortänderungen

3. Sicherheit und Audit

• Differenzierung von Zugriffsrechten
• Detaillierte Protokollierung aller Ereignisse und Aktionen

4. Mini-Widget

Eine leichtgewichtige JavaScript-Komponente, die schnellen Zugriff auf Authentifizierungsfunktionen und Benutzerinformationen bietet. Es lässt sich einfach in beliebige Websites und Schnittstellen einbetten und ermöglicht Übergänge zum Profil, zum Organisations-Dashboard und zu den Anwendungen.

Zugriffsebenen

Das System bietet ein flexibles rollenbasiertes Zugriffsmodell:

Rolle	Berechtigungen	Bestimmt für
Manager	Verwaltung von Anwendungen und Anmeldemethoden für die Organisation/Einheit	Abteilungsleiter, Projektmanager
Administrator der Anwendung	Verwaltung spezifischer Anwendungen und deren Benutzer	Entwickler, Anwendungsadministratoren
Mitglied	Verwaltung des persönlichen Profils und Berechtigungen für den Datenzugriff	Reguläre Benutzer, Mitarbeiter

Trusted.ID Service Systemmodule

1. Profil

Das Modul „Profil“ ermöglicht die Verwaltung persönlicher Benutzerdaten und Zugriffseinstellungen. Es umfasst Funktionen zur Bearbeitung persönlicher Informationen, Datenschutzeinstellungen, Verwaltung von Anwendungsberechtigungen und Einsicht in Aktivitätsprotokolle. Das Modul bietet zudem Zugriff auf den öffentlichen Anwendungskatalog.

2. Organisations-Dashboard

Das Modul „Organisations-Dashboard“ ermöglicht die Verwaltung von Anwendungen, Authentifizierungsmethoden und Zugriffsrichtlinien innerhalb der Organisation. Es umfasst Einstellungen für Organisationsparameter, Konfiguration von Anmeldemethoden, Verwaltung von Organisationsanwendungen und Überwachung der Benutzeraktivitäten.

3. Anwendungs-Dashboard (ADM)

Das Modul „Anwendungs-Dashboard“ ist für die Administration einzelner Anwendungen konzipiert. Es enthält Funktionen zur Verwaltung zugewiesener Anwendungen und zur Überwachung der Aktivitäten von Benutzern, die Zugriff auf diese Anwendungen haben.

---

Konzept und Funktionsprinzipien von Trusted.ID Service

Allgemeines Interaktionsschema

Interaktionssequenz:

1. Zugriffsanfrage — der Benutzer greift auf das Informationssystem (IS) zu.
2. Prüfung in IS-DB — das System prüft, ob der Benutzer existiert.
3. Weiterleitung zum Widget — der Benutzer wird zu Trusted.ID Service geleitet.
4. Authentifizierung — der Benutzer durchläuft den Anmeldevorgang.
5. Prüfung in Trusted.ID Service-DB — Validierung der Anmeldedaten.
6. Profilbereitstellung — Rückgabe der Benutzerdaten.
7. Mapping im IS — Suche nach dem Benutzer basierend auf den Daten von Trusted.ID Service.
8. Rechteprüfung — Autorisierung im Zielsystem.
9. Zugriff gewährt — erfolgreiche Anmeldung am System.

📌 Integrationsanforderungen: Um ein Informationssystem an Trusted.ID Service anzubinden, sind eine Benutzerdatenbank und ein Autorisierungsmodul erforderlich, das OpenID Connect oder OAuth 2.0 unterstützt.

OpenID Connect Autorisierungsschema

Wichtige OIDC-Phasen:

1. Benutzer greift auf das IS zu.
2. IS (Client) generiert code_verifier und code_challenge.
3. IS leitet den Benutzer zu /authorize in Trusted.ID Service weiter.
4. Benutzer wird zum Trusted.ID Service Autorisierungs-Widget weitergeleitet.
5. Benutzer gibt Login/Passwort ein und stimmt der Datenübertragung zu.
6. Benutzerprüfung erfolgt in der Trusted.ID Service DB.
7. Benutzer wird mit einem Authorization code zurück zum IS (Client) geleitet.
8. IS sendet eine Anfrage an /token in Trusted.ID Service.
9. code_challenge und code_verifier Validierung in Trusted.ID Service.
10. Bereitstellung des id token mit dem Trusted.ID Service Benutzerprofil und access token (optional refresh token) an das IS.
11. IS-Benutzerauthentifizierung.
12. Benutzer erhält Zugriff auf das IS.

OAuth 2.0 Autorisierungsschema

Besonderheiten des OAuth 2.0 Flows:

1. Benutzer greift auf das IS zu.
2. IS leitet den Benutzer zu /authorize in Trusted.ID Service weiter.
3. Benutzer wird zum Trusted.ID Service Autorisierungs-Widget weitergeleitet.
4. Benutzer gibt Login/Passwort ein und stimmt der Datenübertragung zu.
5. Benutzerprüfung erfolgt in der Trusted.ID Service DB.
6. Trusted.ID Service leitet den Benutzer mit einem Authorization code an die Redirect_URI des IS zurück.
7. IS sendet eine Anfrage für einen token unter Verwendung des Authorization code.
8. Trusted.ID Service validiert die Anfrage.
9. Trusted.ID Service gibt id token und access token zurück (optional refresh token).
10. IS fordert das Benutzerprofil an.
11. Trusted.ID Service stellt das Benutzerprofil bereit.
12. IS validiert die Antworten und erstellt eine lokale Benutzersitzung.
13. Benutzer erhält Zugriff auf das IS.

Single Sign-On (SSO) Schema

Typisches Szenario:

1. Zugriffsanfrage an IS1.
2. Benutzerauthentifizierung in Trusted.ID Service.
3. Bereitstellung des Trusted.ID Service Benutzerprofils an IS1.
4. Zugriffsanfrage an IS2.
5. Bereitstellung des Trusted.ID Service Benutzerprofils an IS2, ohne das Authentifizierungsverfahren zu wiederholen.

---

Siehe auch

• Organisationsverwaltung — Leitfaden für die Arbeit mit einer Organisation in Trusted.ID Service.
• Anwendungsverwaltung — Leitfaden zum Erstellen, Konfigurieren und Verwalten von OAuth 2.0- und OpenID Connect (OIDC)-Anwendungen.
• Anmeldemethoden und Konfiguration des Login-Widgets — Leitfaden für Anmeldemethoden und die Konfiguration des Login-Widgets.