Webanwendungen schützen mit Authelia

Nicht alle Webanwendungen authentifizieren ihre Benutzer selbst. Authelia als generischer Single-Sign-On-Dienst rüstet das nach – auch mit 2FA.

Lesezeit: 14 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: Thorsten Hübner)

Von
  • Niklas Dierking
Inhaltsverzeichnis

Das Open-Source-Projekt Authelia dient als Autorisierungs- und Authentifizierungsserver und schützt Webanwendungen vor unbefugten Zugriffen. Authelia arbeitet Hand in Hand mit Reverse-Proxies wie Traefik, Nginx oder HAProxy, die Anfragen von Clients aus dem Netz entgegennehmen und an dahinterliegende Server weiterreichen. Authelia bestimmt anhand festgelegter Richtlinien, welche Anfragen es durchzulässt und welche es blockiert. Wer eine geschützte Webadresse im Browser aufruft, landet zunächst beim Authelia-Portal, wo es erst weitergeht, wenn alle Anmeldebedingungen, beispielsweise Nutzername, Passwort und ein zweiter Faktor, erfüllt sind.

Nutzer müssen sich nur einmal bei Authelia einloggen und können dann alle angeschlossenen Dienste ohne erneute Anmeldung benutzen (Single-Sign-On). Um sich gegen Brute-Force-Angriffe zu wehren, sperrt Authelia in der Standardkonfiguration temporär Benutzer, wenn die Schwellenwerte für gescheiterte Anmeldeversuche in einem festgelegten Zeitraum überschreiten. Wenn Nutzer ihr Passwort verlieren, können sie sich von Authelia eine E-Mail schicken lassen, um es zurückzusetzen. Der Artikel zeigt Ihnen, wie Sie Authelia und Traefik in Betrieb nehmen, konfigurieren und damit Beispielanwendungen absichern.

Authelia unterstützt drei Methoden für die Zwei-Faktor-Authentifizierung (2FA): Mittels Google-Authenticator-App können Nutzer ein sogenanntes Time-based One-Time Password (TOTP) abrufen; das passiert auf einem unabhängigen Gerät, meistens auf dem Smartphone. Auch Hardware-Sicherheitsschlüssel von YubiKey funktionieren mittels Universal-Second-Factor (U2F) als zweiter Faktor. Darüber hinaus gibt es die Möglichkeit, die Authentifizierung via Push-Benachrichtung über die 2FA-Plattform Duo vorzunehmen, die sich diesen Service jedoch bezahlen lässt und eher auf Unternehmen abzielt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich ab 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+