Zum Inhalt springen

Protokolle & Flows

  • Standardkonformes OpenID Connect 1.0 und OAuth 2.0 für moderne Client- und API-Architekturen
  • Authorization Code mit PKCE, Client Credentials, Device Authorization und Token Exchange Flows
  • Security Baseline: exaktes Redirect-Matching, Issuer-Validierung, kein Password Grant und Refresh-Token-Replay-Schutz

Advanced OIDC & OAuth Security

  • FAPI 2.0 Security Profile als Opt-in Policy Enforcement für High-Value Mandanten und Client-Applikationen
  • DPoP und mTLS certificate-bound Access Tokens reduzieren den Replay-Wert geleakter Tokens
  • PAR und JAR härten Authorization Requests vor dem Browser Redirect
  • JWT Introspection Responses, Reference Tokens, Token Encryption und revocation-freundliche API-Validierung
  • Pairwise Subject Identifiers und Claims Requests unterstützen privacy-fokussierte Relying-Party-Integrationen

Mandantenfähigkeit & Runtime-Konfiguration

  • Isolieren Sie Konfiguration, Branding, Benutzerverzeichnisse und Richtlinien pro Mandant
  • Ändern Sie Mandanten, Apps, Föderation und Einstellungen zur Laufzeit – ohne Redeployments

UI & Multi-Faktor-Authentifizierung (MFA)

  • Gebrandetes Login pro Mandant und pro Applikation
  • Passwortloses User-Store-Login mit Passkeys auf Basis von FIDO2/WebAuthn
  • Phishing-resistente Passkey-MFA für User-Store- und föderierte Benutzer, plus TOTP, SMS und E-Mail

Claim Rules Engine

  • Formen Sie Tokens pro App: Hinzufügen, Transformieren oder Entfernen von Claims mittels Regeln

Benutzerverzeichnisse & Föderation (SCIM)

  • Benutzerverzeichnisse pro Mandant bei Bedarf (Azure SQL/SQL Server)
  • Föderation zu Kunden-IdPs und Synchronisation von Benutzern & Gruppen via SCIM (z.B. Entra ID, AD)

Erweiterbarkeit & Automatisierung

  • SDKs und REST-APIs für tiefe Integration
  • Automatisierung via CLI und idempotentem YAML; Reaktion auf Events via Dapr

Sicherheit & Compliance

  • Verschlüsselung sensibler Daten und optionale Token Encryption für Access Tokens, ID Tokens, UserInfo Responses und Introspection Responses
  • Signierte, manipulationssichere Audit-Trails für Admin-Änderungen und Auth-Events
  • Gehärtete Container mit Least-Privilege-Defaults
  • Kontinuierliche Sicherheitschecks über Code, Abhängigkeiten, Images und Konfiguration hinweg

Operations & Observability

  • Health-Checks (Liveness/Readiness) für zuverlässige Orchestrierung
  • OpenTelemetry für Logs, Metriken und Traces
  • Umfassende Prometheus-Metriken für Systemzustand und Performance