Google erweitert Login-Service um Cross Account Protection

Entwickler, die Anwendern ihrer Apps die Authentifizierung mit Google Sign In anbieten, erhalten mit dem neuen Protokoll Cross Account Protection (CAP) nun erweiterte Sicherheitsoptionen. Die neue Funktion erlaubt den Austausch von Sicherheitsmeldungen über einen gemeinsamen Nutzer zwischen zwei Apps – beispielsweise für den Fall, dass ein Google-Account gehackt oder anderweitig verdächtiges Verhalten festgestellt wurde.

CAP baut auf verschiedenen neu von den Communities der OpenID Foundation und des IETF entwickelten Internetstandards auf – darunter Risk and Incident Sharing and Coordination (RISC) sowie die Security Events. Das Protokoll unterstützt daher Nachrichten von unterschiedlichen Identity Providern.

Um CAP für sämtliche Projekte, in denen Google Sign In integriert ist, zu aktivieren, müssen Entwickler für jedes Projekt die RISC API freischalten und einen Service-Account einrichten. Die RISC API muss darüber hinaus mit einem Receiver zum Empfang von Security Event Tokens konfiguriert sein. Gehen entsprechende Sicherheitsmeldungen ein, müssen Entwickler sie validieren und anschließend geeignete Maßnahmen zur Gefahrenabwehr einleiten. Dazu sind gegebenenfalls laufende Anwender-Sessions zu beenden, der Account zu deaktivieren oder alternative Log-in-Mechanismen zu finden. Zuletzt ist noch der Service-Account zu verwenden, um den Pubsub von Google mit dem Speicherort der API zu konfigurieren.

Nähere Informationen zum Einsatz und konfigurieren von Google Sign In mit CAP finden sich im Blog-Beitrag. Entwickler, die Firebase Authentication oder auch Google Cloud Identity for Customers & Partners verwenden, müssen sich nicht um die Konfiguration von CAP kümmern, da sie in Verbindung mit diese Diensten automatisch erfolgt. (map)