Auf den Punkt: Google liefert Sign-in-Diensten mit auth_time und amr die Metadaten, um Login-Frische und Authentifizierungsmethoden zu verifizieren und risikobasierte Zugriffskontrolle umzusetzen.
Google führt in Sign in with Google neue OIDC-Standard-Claims ein: auth_time und Authentication Methods Reference (amr). Diese ermöglichen es Entwicklern, die zeitliche Aktualität von Logins und die verwendeten Authentifizierungsmethoden zu prüfen.
Google integriert zwei neue OIDC-Standard-Claims in sein fediertes Identitätssystem. Der Claim auth_time zeigt den Zeitstempel an, zu dem die Authentifizierung erfolgte, während amr (Authentication Methods Reference) dokumentiert, welche Methode zur Anmeldung verwendet wurde – etwa Multi-Faktor-Authentifizierung oder Hardware-Schlüssel.
Für CTOs und Security-Architekten ist dies relevant, weil es die Implementierung von risikogesteuerten Zugriffskontrolle vereinfacht. Anwendungen können nun die Aktualität eines Logins überprüfen und je nach Authentifizierungsmethode entscheiden, ob für sensible Operationen eine zusätzliche Authentifizierung notwendig ist. Das reduziert Account-Takeover-Risiken und Betrugsfälle, ohne die Benutzerfreundlichkeit zu stark zu beeinträchtigen.
In der Praxis bedeutet dies: Ein CTO kann Step-up-Authentifizierung für Geldtransfers oder Datenexporte konfigurieren, wenn ein Login älter als eine bestimmte Zeit ist oder nur mit einem einfachen Passwort erfolgt ist. Die Metadaten werden im ID-Token verfügbar und lassen sich direkt in der Autorisierungslogik abfragen. Getestete Apps können diese Claims sofort nutzen; Google empfiehlt, mit der Integration zu beginnen und risikobasierte Policies basierend auf den realen Login-Methoden-Verteilungen zu definieren.
Quelle: developers.googleblog.com · Erschienen
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.