JCON 2018, Düsseldorf: Vortrag von Christian Fritz (@chrfritz, Softwareingenieur bei QAware) Abstract: Durch die zusätzlichen Angriffsvektoren in der Cloud spielt Sicherheit im Cloud-Native-Umfeld eine prominente Rolle. OpenID Connect und OAuth2 sind ausgereifte Standards zur Autorisierung von Benutzern. Aber: Nahezu alle Systeme benötigen Backend-Calls, für die diese Standards keine guten Antworten bieten. Diese werden bisher üblicherweise mit technischen Benutzern oder dem von OAuth2 bekannten ""client_credentials"" abgesichert, wobei der Benutzer-Kontext verloren geht. Als Lösung schlagen wir eine Erweiterung des OAuth2 Standards vor. Diese authentifiziert bei Service-zu-Service Aufrufen den Aufrufer, behält gleichzeitig den Benutzerkontext bei und prüft diesen. Wir setzen das mit einem neuen Grant-Type um, den der Authorization Server zur Verfügung stellt. Über diesen kann sich der aufrufende Service einen neuen Token für den Zugriff auf den benötigten Service holen. In diesem Vortrag wird das Problem erklärt, die Lösung beschrieben und es werden die Vorteile davon aufgezeigt.