Im Oktober 2020 haben die beiden Hauptentwickler von IdentityServer bekannt gegeben, dass aus dem Open Source Authentifizierungsserver ein kommerzielles Produkt wird. (Offizieller Blogbeitrag zur Veröffentlichung)
Falls Sie also entweder IdentityServer 4 im Einsatz haben oder generell an Security Themen im Bereich der Softwareentwicklung interessiert sind, sollten Sie sich in den nächsten Monaten unbedingt damit befassen.
Die Fakten im Überblick:
- Die neue Version 5 von IdentityServer ist kostenpflichtig.
- Die aktuelle Version 4 wird noch bis November 2022 unterstützt.
Der IdentityServer wird also zukünftig als kostenpflichtiges Produkt über die Firma Duende angeboten. Dieser Schritt ist zwar sehr nachvollziehbar, zwingt jedoch viele Unternehmen dazu, ihre Identity-Lösung neu zu evaluieren. Das Gute ist: Bis zum November 2022 ist noch etwas Zeit. Wir haben für Sie nachfolgend drei Möglichkeiten für eine Migration zusammengefasst.
Welche Möglichkeiten bieten sich an?
1. IdentityServer Version 5 lizensieren
Die einfachste und schnellste Möglichkeit ist natürlich, die neue Version 5 vom IdentityServer zu lizensieren und ein Update durchzuführen. Die Preise dafür belaufen sich je nach Größe des Systems zwischen 1.500 USD und 12.000 USD jährlich. Je nach Edition erhält man zusätzliche Features und Priority-Support. Das Update zur neuen Version kann rasch und unkompliziert erledigt werden.
Weitere Informationen zu den Preisen und den Editionen:
https://duendesoftware.com/products/identityserver#pricing
2. Umstieg auf Identity-as-a-Service
Ein radikalerer Eingriff ist eine Migration zu einem sogenannten “Identity-as-a-Service (IDaas)” Anbieter. Dabei bieten Unternehmen eine fertige Identity-Lösung als Clouddienst an. In diesem Modell kommt man jedoch nicht umher, die Userdaten in die Cloud zu verlagern. Je nach Anbieter unterscheiden sich die Editionen und die Preise. Customizing, wie die Anpassung der Login-Seite, ist zu einem gewissen Grad möglich.
Beispiele für diese Dienste sind Microsoft Azure AD, Microsoft Azure AD B2C, Auth0 oder Okta.
Details zu Microsoft Azure AD B2C finden Sie hier: https://azure.microsoft.com/de-de/services/active-directory/external-identities/b2c/
3. Umstieg auf OpenSource-Frameworks
Als dritte Möglichkeit bietet sich der Umstieg auf ein anderes OpenSource-Framework an. Hier empfehlen wir OpenIddict, welches wir bereits bei neuen Anwendungen erfolgreich einsetzen. OpenIddict ist ähnlich aufgebaut wie IdentityServer, hat aber auch seine Tücken, die es zu berücksichtigen gilt. Eine Migration von IdentityServer auf OpenIddict ist ebenfalls möglich. Dabei wird in einem neuen Webprojekt die bestehende Funktionalität mit OpenIddict neu konfiguriert und ergänzt.
Informationen zu OpenIddict finden Sie hier:
https://github.com/openiddict/openiddict-core
Was passiert mit den Client-Anwendungen?
Durch den verwendeten Standard “OpenID-Connect”, ergeben sich am Client idealerweise keine oder nur kleinere Änderungen. Es ist darauf zu achten, dem Client die gleichen Benutzerdaten (“Claims”) wie bisher zu liefern.
Kann die bestehende IdentityServer-Version weiterverwendet werden?
Bei einem heiklen Thema wie Identity empfehlen wir unbedingt aktuelle, supportete Versionen zu verwenden. Angreifer finden regelmäßig Sicherheitslücken, die dann schnellstmöglich behoben werden müssen.
Manchmal sind zur Behebung solcher Sicherheitslücken auch größere Änderungen oder sogar Anpassungen in den Applikationen notwendig: Im Jahr 2019 wurden Sicherheitslücken im “Implicit Flow” aufgezeigt, welcher bis dahin der empfohlene Standard-Flow für Webanwendungen darstellte. Als Konsequenz wurden alle Nutzer aufgefordert, auf einen sichereren Flow (“Authorization-Code-Flow”) zu wechseln. Details zu den gefundenen Schwachstellen können im OAuth Draft nachgelesen werden. In diesem Fall war es vom Vorteil, dass der empfohlene Flow bereits im IdentityServer implementiert war.
Unternehmen sollten sich daher möglichst früh mit einer Migration beschäftigen, damit es zu keinem bösen Erwachen kommt.
Haben Sie Fragen zur Migration oder allgemein zu Authentifizierungsmethoden? Wir beraten Sie gerne.
