Authentisierung, Authentifizierung, Autorisierung – einfach erklärt
Die Begriffe Autorisierung, Authentisierung und Authentifizierung werden häufig als Synonyme füreinander verwendet oder gar verwechselt. Wir vom Fachteam Identity Management (IDM) möchten heute Klarheit schaffen.
Das Fachteam IDM ist der neue Ansprechpartner bei doubleSlash, wenn es um Themen wie Identity- & Access Management, Identity Governance & Administration sowie Identity Analytics geht. Um Euch diese spannende Themengebiete näher zu bringen, möchten wir Euch über eine Blogpost-Reihe mit Informationen versorgen. Dieses Mal geht es um die Authentisierung, Authentifizierung und die Autorisierung. Um diese drei Begriffe einfach zu erklären und voneinander abzugrenzen, betrachten wir folgende Situation.
Authentisierung
Wir befinden uns am Flughafen und möchten gerne einchecken, dabei versetzen wir uns in die Rolle des Reisenden. Wir stellen uns also in die Schlange und warten, bis wir dran sind. Am Schalter angekommen, übergeben wir dem Flughafenmitarbeiter unseren Reisepass. Wir möchten uns also mit diesem Dokument authentisieren und übergeben diese dem Flughafenmitarbeiter. Mit der Übergabe endet die Authentisierung.
Authentifizierung
Sobald der Flughafenmitarbeiter unseren Reisepass entgegennimmt, beginnt die Authentifizierung. Der Flughafenmitarbeiter beginnt nun unsere Daten, die wir in Form eines Reisepasses übergeben haben, mit den Daten des Systems zu vergleichen. Da wir zuvor ein Flugticket rechtmäßig erworben haben, kann der Flughafenmitarbeiter uns erfolgreich authentifizieren. Wir schnappen uns also den Bordingpass und begeben uns in das Flugzeug.
Autorisierung
An Bord des Flugzeugs kommt die Autorisierung ins Spiel. An welchen Platz darf ich mich setzen? Business oder Economy? Unser Handlungsspielraum wird durch die im Ticket definierten Daten (Sitzplatz, Klasse usw.) und durch unsere Rolle als Reisender eingeschränkt. Es ist also klar vorgegeben, in welchem Abteil wir uns aufhalten dürfen und auf welchem Platz wir sitzen. An der Stelle möchten wir erwähnen, dass sich jeder trotz gebuchter Economyclass aus Dreistigkeit in die Businessclass setzen kann. Man sollte sich dann aber nicht wundern, wenn man von anderen Fluggästen und dem Flugpersonal eins auf den Deckel bekommt.
Fazit
Erkenntlich ist, dass man diese Begriffe klar voneinander abgrenzt. Die Authentisierung ist der aktive Teil des Prozesses. Wir müssen etwas aktiv an eine vertrauensvolle Stelle übergeben um uns danach passiv zu authentifizieren. Im Klartext, nach der Authentisierung warten wir auf das Ergebnis der Authentifizierung. Auch wenn sich das heutzutage in Computersystemen nur um einen Bruchteil einer Sekunden handelt. Die Authentisierung kann also nicht erfolgen, wenn wir keine Internetverbindung zum Server haben. Im Gegensatz dazu schlägt die Authentifizierung fehl, wenn das übergebene Passwort nicht mit dem im System hinterlegten übereinstimmt.
TL;DR
Authentisierung = Übergabe der Daten an einen vertrauensvolle Stelle (z.B. Logindaten) (aktiv)
Authentifizierung = Die vertrauensvolle Stelle überprüft die übergebenen Daten im System (passiv)
Autorisierung = Der Handlungsspielraum innerhalb eines Systems. Was darf ich und was nicht?