gesponsertSichere Autorisierung auch für AI Agents Token Exchange ermöglicht Kontrolle vernetzter Identitäten

Gesponsert von

Ergon Informatik AG

Token Exchange reduziert Trust-Risiken mit mehreren Identity Providern (IdP) und Cloud-Umgebungen, indem Zugriffsberechtigungen nicht übernommen, sondern an Systemgrenzen kontextabhängig neu bewertet werden.

Moderne IT-Architekturen folgen längst keinen klaren Domänengrenzen mehr. Anwendungen, Dienste und Identitäten verteilen sich heute über Cloud-Plattformen, On-Premises-Umgebungen und Partnernetzwerke hinweg und sind dabei in ein komplexes Beziehungsgefüge verstrickt. Zudem greifen durch den Hype um Künstliche Intelligenz neben klassischen Benutzerkonten immer mehr Non-Human Identities auf Daten, Applikationen und Services zu: Microservices, APIs, automatisierte Prozesse oder KI-Agenten, die eigenständig agieren und miteinander kommunizieren. Mit jeder neuen Integration wächst die Zahl der Akteure und möglicher Interaktionen im System. Zugriffe entstehen nicht mehr unabhängig voneinander und lassen sich nicht mehr isoliert betrachten. Neben der Frage, wer Zugriff erhält, wird immer wichtiger, unter welchen Bedingungen dieser gewährt wird.

Wenn Vertrauen zum Risikofaktor wird

In klassischen IAM-Architekturen und Identity-Federation-Strukturen wird Vertrauen häufig implizit vererbt. Anwendungen akzeptieren externe Identity Provider direkt, sei es aus SaaS-Umgebungen wie Entra ID, aus Multi-Cloud-Szenarien, aus Partnernetzwerken oder nach Fusionen und Akquistionen. Was auf den ersten Blick nach Flexibilität aussieht, führt in der Praxis zu einem wachsenden Risiko: Der Trust Radius vergrößert sich kontinuierlich. Wird ein Zugang kompromittiert oder eine Föderationsbeziehung fehlerhaft konfiguriert, kann sich ein Angreifer oft deutlich weiter im System bewegen als ursprünglich für den legitimen Nutzer vorgesehen. Der sogenannte Blast Radius überschreitet schnell die eigentlichen Sicherheitsgrenzen.

Bildergalerie

Bildergalerie mit 6 Bildern

Die Eigenständigkeit der Non-Human Identities verschärft auch hier die Gefahrenlage: Wenn Microservices, Workloads, IoT-Geräte und KI-Agenten als aktive Teilnehmer in der Systemkommunikation agieren, können sich Identität und Berechtigungsanforderungen dynamisch verändern. Eine einmalige Authentifizierung zu Beginn eines Zugriffs greift zu kurz. Vertrauen muss kontinuierlich überprüft und im jeweiligen Kontext neu bewertet werden.

Token Exchange: zwischen Übersetzung und Kontrolle

Genau an dieser Stelle setzt OAuth 2.0Token Exchange (RFC 8693) an. Der Mechanismus übernimmt eine doppelte Funktion: «Dolmetscher» und «Türsteher».

Als «Dolmetscher» übersetzt Token Exchange Identitäten in einen Kontext, in dem sie überhaupt nutzbar werden. Der Token eines spezifischen Identity Providers wird dabei nicht einfach übernommen, sondern in ein neues Zugriffstoken überführt, das auf die Zielumgebung abgestimmt ist.

Gleichzeitig agiert Token Exchange wie ein Türsteher. Bei jedem Übergang wird geprüft, ob die angeforderte Ressource im jeweiligen Kontext tatsächlich genutzt werden darf. Das resultierende Token ist entsprechend eingeschränkt und gilt nur für genau diesen Zugriff.

Der entscheidende Effekt: Vertrauen wird nicht mehr automatisch weitergereicht, sondern jedes Mal bewusst neu vergeben. Airlock greift dieses Prinzip gezielt auf und integriert Token Exchange als festen Bestandteil moderner IAM-Architekturen, im Zusammenspiel mit API-Sicherheit und Zugriffskontrolle.

Microgateways als Durchsetzungsebene

In modernen Kubernetes- und Multi-Cloud-Umgebungen reicht die reine Token-Transformation jedoch nicht aus. Entscheidend ist die konsequente Durchsetzung der Sicherheitslogik direkt an der Schnittstelle zwischen Anwendung und Infrastruktur.

Hier kommen Microgateways ins Spiel, etwa in Form des Airlock Microgateways, das Token-Prüfung, WAAP-Schutz und Identity-aware Proxy in einer zentralen Komponente bündelt. Es stellt sicher, dass nur solche Zugriffe zugelassen werden, die sowohl gültig als auch kontextuell zulässig sind. Damit wird jeder Zugriff nicht nur geprüft, sondern kontinuierlich neu bewertet. Die Identität ist kein statischer Zustand mehr, sondern ein laufend validierter Vertrauensprozess.

Multi-IdP, Cloud und KI: Komplexität ohne Kontrollverlust

Besonders in heterogenen Landschaften mit mehreren Identity Providern (IdPs) zeigt sich der Mehrwert dieses Ansatzes. Unternehmen kombinieren heute häufig Entra ID, SAP-nahe Identitäten, Partner-IdPs und Legacy-Systeme. Gleichzeitig entstehen durch KI-Agenten und automatisierte Workflows völlig neue Zugriffsmuster, die klassische IAM-Modelle zunehmend an ihre Grenzen bringen.

Token Exchange ermöglicht es, diese Vielfalt zu entkoppeln, ohne sie vereinheitlichen zu müssen. Identitäten können weiterhin dort entstehen, wo sie gebraucht werden – entscheidend ist jedoch, dass der Zugriff zentral, kontextbasiert und sicher gesteuert wird. Gerade in Kubernetes-Umgebungen mit kurzlebigen Workloads und dynamisch skalierenden Services entwickelt sich diese Fähigkeit zum entscheidenden Sicherheitsfaktor.

Vertrauen wird zur kontrollierten Ressource

Mit der wachsenden Zahl an Identitäten verschiebt sich der Fokus in der IT-Sicherheit. Im Rahmen von Zero Trust steht nicht mehr die reine Authentifizierung im Vordergrund, sondern die Frage, wie Vertrauen eingesetzt und begrenzt wird. Token Exchange entkoppelt die Identität eines Nutzers von der jeweiligen Zugriffsentscheidung. In Kombination mit Microgateways und WAAP-Funktionalität entsteht eine Architektur, die Sicherheit nicht durch Vereinheitlichung, sondern durch gezielte Begrenzung von Vertrauen erreicht.

Airlock adressiert genau diesen Wandel: Identitäten bleiben verteilt, aber Vertrauen wird kontrolliert, kontextabhängig und konsequent durchgesetzt. Damit entsteht eine Sicherheitsarchitektur, die nicht nur bestehende Komplexität beherrscht, sondern auch zukünftige Anforderungen – von Multi-Cloud über API-Ökosysteme bis hin zu KI-getriebenen Zugriffsszenarien – von Anfang an berücksichtigt.

Mehr entdecken

(ID:50885643)