OAuth 2.0: Anbietervergleich für selbst gehostete Autorisierungsserver

Das OAuth 2.0 Framework (Internet Engineering Task Force, 2012b) bietet eine Lösungsmöglichkeit, um in verteilten Systemen Zugriffsrechte zu vergeben. Konkret möchte ein Client auf Ressourcen, welche auf einem Server abgelegt sind, zugreifen, um im Auftrag des Besitzers dieser Ressourcen eine bestimmte Aufgabe zu erfüllen. Für diesen Zugriff muss jedoch zunächst eine Erlaubnis durch einen Autorisierungsserver ausgestellt werden. Solche Server müssen aber ihrerseits ebenfalls über Informationen - beispielsweise sowohl hinsichtlich Clients als auch in Bezug auf die Inhaber der Ressourcen - verfügen, um diese authentifizieren beziehungsweise autorisieren zu können. Für Unternehmen kann sich die Notwendigkeit ergeben, derartige Server selbst hosten zu müssen, etwa, weil sensible Daten nicht nach außen abgegeben werden dürfen. Vor diesem Hintergrund bietet die vorliegende Arbeit zunächst einen Überblick über das OAuth 2.0 Framework und stellt in Java umgesetzte Anbieter für selbst gehostete OAuth 2.0 Autorisierungsserver vor. Darüber hinaus werden für Unternehmen relevante Anwendungsfälle und sonstige Kriterien ermittelt. Mit deren Hilfe werden die eruierten Anbieter anhand der Methodik der Nutzwertanalyse (Grob, Reepmeyer, & Bensberg, 2004; Heinrich, Riedl, & Stelzer, 2014; Zangemeister, 1976) verglichen. Daraus ergibt sich einerseits eine Entscheidungshilfe bei der Wahl derartiger Server, andererseits lassen sich auch Einblicke gewinnen, inwiefern die einzelnen Anbieter die Vergleichskriterien erfüllen.