Access Management mit Shared Signal Framework kurz erklärt
Das Shared Signal Framework soll verdächtige Accountaktivitäten an alle verbundenen Dienste weiterleiten. Ein Muss für modernes Identity und Access Management.
Ist ein Account kompromittiert, war bisher jede verbundene Sicherheitsplattform auf sich allein gestellt, das Konto als verdächtig zu identifizieren und gegebenenfalls abzuschalten. Das soll sich nun ändern: Im September 2025 genehmigte die OpenID Foundation ihre Spezifikation des Shared Signal Frameworks (SSF), die den Echtzeitaustausch sicherheitsrelevanter Ereignisse zwischen vernetzten Systemen standardisiert. So lassen sich Signale und Events teilen – und fragmentierte Sicherheitsarchitekturen vereinheitlichen. Die Vision: ein "Security Event Mesh", das sich blitzschnell untereinander alarmiert, wenn ein einzelnes Sicherheitssystem anschlägt.
- Das Shared Signals Framework (SSF) ist ein neuer Standard der OpenID Foundation, der sicherheitsrelevante Signale von Accounts so aufbereitet, dass sofort eine unternehmensweite Alarmierung einsetzen kann – über die Grenzen verschiedener Sicherheitsdienste hinweg.
- Über APIs mit entsprechenden Webhooks sieht das SSF das Versenden eines HTTP-Streams vor, der Security Event Tokens enthält.
- Die OpenID Foundation spezifiziert zwei Anwendungsprofile für das SSF: Das Continuous Access Evaluation Profile (CAEP) dient der andauernden Kontrolle, Risk Incident and Sharing Coordination (RISC) ermöglicht zeitnahe Reaktionen auf Sicherheitsereignisse.
Konkrete Anwendungsfälle gibt es dabei genug: Ist ein Mitarbeiter beispielsweise in Salesforce, Google Workspace und Slack eingeloggt und wird dann kompromittiert, reicht eine erste Auffälligkeit, zum Beispiel in Okta, um daraufhin alle noch aktiven Sessions mit noch gültigen Credentials zu beenden. Denn SSF erleichtert vor allem den Widerruf von Zugängen für authentifizierte Benutzer.
Ereignisreich
SSF ist ein HTTP-basiertes Framework, das asynchrone Signale teilt – agnostisch gegenüber den verwendeten Authentifizierungs- und Autorisierungsschemata. Das Konzept basiert auf bestimmten JSON Web Tokens (JWT), den Security Event Tokens (SET). Wenn ein Identitätsanbieter (Identity Provider, IdP) ein Problem entdeckt, das Maßnahmen erfordert, generiert er solch ein SET. Das Token fungiert als sichere Nachricht, die beschreibt, was passiert ist, und enthält Details über die betroffenen Accounts von Menschen und Geräten, Mandanten in Multi-Tenant-Diensten oder auch Gruppen. Diese SETs verschickt der IdP dann an die Organisation.
Das war die Leseprobe unseres heise-Plus-Artikels "Access Management mit Shared Signal Framework kurz erklärt". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
