{"id":30888,"date":"2026-02-25T08:29:00","date_gmt":"2026-02-25T07:29:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=30888"},"modified":"2026-02-12T11:32:22","modified_gmt":"2026-02-12T10:32:22","slug":"airlock-token-exchange-sichere-identitaetsautorisierung-ueber-domaenengrenzen-hinweg","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=30888","title":{"rendered":"Airlock Token Exchange: Sichere Identit\u00e4tsautorisierung \u00fcber Dom\u00e4nengrenzen hinweg"},"content":{"rendered":"\n<p>Die zunehmende Nutzung von KI-Agenten, APIs und Microservices erfordert sichere Authentifizierung \u00fcber mehrere Sicherheits- und Vertrauensdom\u00e4nen hinweg. Unternehmen sto\u00dfen jedoch schnell an Grenzen, wenn KI-Bots oder Mitarbeitende auf Systeme wie SAP au\u00dferhalb der eigenen Identit\u00e4tsdom\u00e4ne \u2013 etwa Microsoft 365 mit Entra ID \u2013 zugreifen m\u00f6chten. Airlock verzeichnet daher steigende Nachfrage nach L\u00f6sungen, die den sicheren KI-Einsatz trotz paralleler Identit\u00e4tsdom\u00e4nen mit unterschiedlichen Identity Providern (IdP) erm\u00f6glichen. Um Unternehmen hier Orientierung zu bieten, r\u00fcckt der Spezialist das Konzept des \u201eToken Exchange\u201c in einem aktuellen Whitepaper in den Fokus. Mit der 2024 integrierten Token-Exchange-Funktionalit\u00e4t (RFC 8693) des OAuth 2.0-Frameworks lassen sich Informationen aus verschiedenen Quellen und mit mehreren IdPs zentral und sicher autorisieren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"737\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/02\/TokenExchange-1024x737.webp\" alt=\"\" class=\"wp-image-30889\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/02\/TokenExchange-1024x737.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/02\/TokenExchange-300x216.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/02\/TokenExchange-768x553.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/02\/TokenExchange.webp 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Token Exchange: Identit\u00e4ten sicher \u00fcber Dom\u00e4nengrenzen hinweg autorisieren &#8211; Quelle: Airlock<\/figcaption><\/figure>\n\n\n\n<p><strong>Funktionsweise von Token Exchange<\/strong><br>Token Exchange agiert als Vermittler zwischen unterschiedlichen Identity Providern und Tokenformaten. Eingehende Token werden gepr\u00fcft und in neue Token umgewandelt, die den Zugriff auf weitere Ressourcen innerhalb anderer Sicherheitsdom\u00e4nen erlauben. Dabei k\u00f6nnen Claims wie Subject, Audience oder Scopes angepasst werden, sodass Berechtigungen dynamisch und granular nach Zero-Trust-Prinzipien vergeben werden. Diese Methode reduziert Inkonsistenzen, vereinfacht Protokollvielfalt und erh\u00f6ht die Nachvollziehbarkeit von Zugriffen.<\/p>\n\n\n\n<p><strong>Einsatz in Kubernetes- und Microservice-Umgebungen<\/strong><br>Mit zunehmender Nutzung von Microservices und Container-Orchestrierung ist der Schutz vor Missbrauch entscheidend. Der Token-Exchange-Server von Airlock \u00fcbernimmt die Vermittlung bei der Autorisierung, w\u00e4hrend ein vorgeschaltetes Microgateway OIDC- oder JWT-Token pr\u00fcft, bevor der Zugriff auf einen Microservice erfolgt. So k\u00f6nnen dom\u00e4nen\u00fcbergreifende Zugriffe sicher und effizient gesteuert werden.<\/p>\n\n\n\n<p><strong>Praxisbeispiel Schweizerische Bundesbahnen AG<\/strong><br>Seit 2024 sorgt Token Exchange dort f\u00fcr die sichere Integration mehrerer hundert Service-Anbieter auf einer Plattform. Frontend- und Backend-Server in unterschiedlichen Sicherheitszonen nutzen jeweils eigene Zugriffstoken, die beim Autorisierungsserver in neue Token umgetauscht werden. Dadurch wird verhindert, dass Angreifer von einem kompromittierten System auf weitere Server zugreifen. Die Integration in die zentrale IAM-Plattform von Airlock gew\u00e4hrleistet Skalierbarkeit, hohe Verf\u00fcgbarkeit und Systemsicherheit auch in Multi-Cloud-Umgebungen.<\/p>\n\n\n\n<p>Weitere Informationen bietet das Whitepaper: <a href=\"https:\/\/www.airlock.com\/sprechen-sie-token\">Token Exchange \u00fcber Dom\u00e4nengrenzen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die zunehmende Nutzung von KI-Agenten, APIs und Microservices erfordert sichere Authentifizierung \u00fcber mehrere Sicherheits- und Vertrauensdom\u00e4nen hinweg. Unternehmen sto\u00dfen jedoch schnell an Grenzen, wenn KI-Bots oder Mitarbeitende auf Systeme wie SAP au\u00dferhalb der eigenen Identit\u00e4tsdom\u00e4ne \u2013 etwa Microsoft 365 mit Entra ID \u2013 zugreifen m\u00f6chten. Airlock verzeichnet daher steigende Nachfrage nach L\u00f6sungen, die den sicheren KI-Einsatz trotz paralleler Identit\u00e4tsdom\u00e4nen mit unterschiedlichen Identity Providern (IdP) erm\u00f6glichen. Um Unternehmen hier Orientierung zu bieten, r\u00fcckt der Spezialist das Konzept des \u201eToken Exchange\u201c in einem aktuellen Whitepaper in den Fokus. Mit der 2024 integrierten Token-Exchange-Funktionalit\u00e4t (RFC 8693) des OAuth 2.0-Frameworks lassen sich Informationen aus verschiedenen Quellen und mit mehreren IdPs zentral und sicher autorisieren.<\/p>\n","protected":false},"author":1,"featured_media":30889,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37],"tags":[1088,1745,7360,24705,20279],"class_list":["post-30888","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","tag-cybersecurity","tag-identitymanagement","tag-kubernetes","tag-tokenexchange","tag-zerotrust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/30888","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=30888"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/30888\/revisions"}],"predecessor-version":[{"id":30891,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/30888\/revisions\/30891"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/30889"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=30888"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=30888"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=30888"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}