01 — Authentifizierung
Von Haus aus modern, auf Behördenniveau, wo es darauf ankommt.
Authentifizierung ist das erste Signal dafür, wie ernst der Rest der Plattform genommen wird. Cybsis behandelt sie entsprechend.
- Passkeys (WebAuthn) — der Standard
- Phishing-resistente kryptografische Anmeldedaten, die an das Gerät gebunden sind. Hardware-Sicherheitsschlüssel wie YubiKey werden gleichberechtigt unterstützt — derselbe Ablauf verarbeitet sie und Plattform-Authentifikatoren wie Touch ID oder Windows Hello austauschbar. @simplewebauthn/server v13
- TARA — estnische eID-Dachlösung (öffentlicher Sektor)
- Ein einziger OIDC-Flow über das staatliche estnische SSO deckt alle nationalen eID-Verfahren ab: ID-card, Mobile-ID und Smart-ID. Die Nutzerin oder der Nutzer wählt im TARA-Portal; Cybsis erhält anschließend eine verifizierte Identitätsbestätigung zurück. TARA ist ein staatlich betriebener Dienst zur Authentifizierung an Systemen des öffentlichen Sektors – Bereitstellungen im Privatsektor nutzen das unten beschriebene Web eID. openid-client v6
- Active Directory / LDAP
- Direkte Bindung an das AD des Kunden oder an ein beliebiges LDAP-kompatibles Verzeichnis. Für Unternehmen, die Identitäten bereits zentral verwalten und keinen zweiten Benutzerspeicher möchten. Die Kontosperrung arbeitet mit der eigenen Richtlinie des Verzeichnisses zusammen. ldapts v8 · integrationAD-Modul
- Web eID – ID-Karte für die Privatwirtschaft
- Authentifizierung mit der estnischen ID-Karte ist für Käufer aus der Privatwirtschaft verfügbar – sowie für Teams im öffentlichen Sektor, die nicht über TARA gehen möchten. Browsererweiterungsbasiert, mit OCSP-Zertifikatsvalidierung und nonce-gebundener Challenge-Response. Kommerzielle Mobile-ID und Smart-ID über SK ID Solutions werden als kostenpflichtiges Integrationsmodul unterstützt – für Bestandskunden inklusive, für neue Implementierungen in der Privatwirtschaft separat erhältlich. @peculiar/x509 · OCSP-validiert
- Federation-API-Schlüssel
- Machine-to-Machine-Zugriff zwischen Cybsis-Instanzen. Bearer-Token mit HMAC-SHA256-Anfragesignaturen und Rollenzuordnung über Identity-Header; widerrufbar an der ausstellenden Instanz. Föderationsmodul
- Passwort (wenn nichts anderes passt)
- Mit Bcrypt gehasht, Mindestlänge konfigurierbar, Kontosperrung nach einer konfigurierbaren Anzahl fehlgeschlagener Versuche innerhalb eines gleitenden 15-Minuten-Fensters. Wir würden es jedoch bevorzugen, wenn Sie Passkeys verwenden. bcryptjs v3
Sitzungsmodell
Kurzlebige JWT-Access-Tokens (15 Minuten, konfigurierbar) werden in httpOnly-SameSite=Strict-Cookies übertragen, mit Validierung von Audience und Issuer. Refresh-Tokens bestehen aus 48 zufälligen Bytes und werden im Ruhezustand SHA-256-gehasht gespeichert — der Klartext existiert ausschließlich im Browser-Cookie. Das Idle-Timeout ist pro Instanz konfigurierbar; Standard sind 60 Minuten. Routenbezogene Rate Limits gelten für jeden Authentifizierungsendpunkt (z. B. Passwort: 10 Anfragen / 15 Minuten; Passkey-Registrierung: 20 / 5 Minuten).