🟡 🛡️ Sicherheit Veröffentlicht: · 2 Min. Lesezeit ·

OpenAI: Workload Identity Federation eliminiert langlebige API-Schlüssel durch OIDC-Token-Austausch

Urednička ilustracija: Workload Identity Federation eliminira dugoročne API ključeve razmjenom OIDC tokena

OpenAI Workload Identity Federation ist ein Sicherheitsmechanismus, der es Workloads ermöglicht, extern ausgestellte OIDC-Identitätstoken gegen kurzlebige OpenAI-Zugriffstoken auszutauschen. Statt langlebiger API-Schlüssel im Code oder der Konfiguration unterstützt das System Kubernetes, AWS, Azure, Google Cloud, GitHub Actions und SPIFFE als vertrauenswürdige Identitätsquellen.

🤖

Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.

OpenAI kündigte Workload Identity Federation an — einen Sicherheitsmechanismus, der die Notwendigkeit eliminiert, langlebige API-Schlüssel in Code oder Anwendungskonfigurationsdateien zu speichern.

Wie funktioniert der Identitätstoken-Austausch?

Workload Identity Federation stützt sich auf vier Komponenten. Zunächst wird ein Workload Identity Provider definiert, der einen vertrauenswürdigen externen Aussteller mit OIDC-Endpunkt, Audience und Schlüsselverifizierungsquelle beschreibt. Dann autorisiert Service Account Mapping spezifische Attribute des externen Tokens zur Token-Erstellung für ein bestimmtes OpenAI-Servicekonto. Im dritten Schritt empfängt Token Exchange den externen Workload-Token und gibt einen kurzlebigen OpenAI-Zugriffstoken zurück. Schließlich verwendet die Anwendung diesen Token als Bearer-Credential für API-Aufrufe.

Das System verwendet OIDC-kompatible JWT-Token. Token-Attribute können durch Common Expression Language (CEL) transformiert werden, um benutzerdefinierte Übereinstimmungskriterien aus Token-Claims abzuleiten.

Welche Plattformen und Clouds werden unterstützt?

OpenAI bietet dedizierte Integrationsleitfäden für sechs Plattformen: Kubernetes (Projected Service Account Tokens), AWS (STS oder EKS Projected Tokens), Microsoft Azure (Managed Identity oder AKS Tokens), Google Cloud (Metadata Server oder GKE Tokens), GitHub Actions (OIDC Workflows) und SPIFFE (JWT-SVID Standard für Infrastruktur).

Die Konfiguration erfolgt über Organization Settings > Security > Workload Identity Provider und steht Organisationsinhabern zur Verfügung. JWKS-Verifizierung unterstützt sowohl OIDC Discovery als auch manuell hochgeladene Schlüsselsätze. Discovery-Dokumente werden alle 600 Sekunden aktualisiert.

Warum ist das für die API-Zugriffssicherheit wichtig?

Langlebige API-Schlüssel stellen ein dauerhaftes Sicherheitsrisiko dar — einmal kompromittiert, ermöglichen sie unbegrenzten Zugriff bis zur manuellen Sperrung. Kurzlebige OIDC-Token laufen automatisch ab und sind an die spezifische Identität des Workloads gebunden, was die Angriffsfläche erheblich reduziert.

OpenAI empfiehlt mehrere Praktiken: separate Servicekonten pro Workload verwenden, Entwicklungs- und Produktionsumgebungen trennen, präzises Claims-Matching (nicht nur Wildcards) und regelmäßige Überprüfung ungenutzter Mappings. Mappings unterstützen Wildcard-Matching, jedoch nur mit einem einzelnen abschließenden Wildcard.

Die Einführung dieses Standards bringt OpenAI in Einklang mit den Sicherheitspraktiken, die AWS, Google Cloud und Azure bereits von Produktions-Workloads verlangen — der Token-Austausch basiert auf der OAuth 2.0 Token Exchange Spezifikation (RFC 8693).

Häufig gestellte Fragen

Was ist OpenAI Workload Identity Federation und wozu dient es?
Workload Identity Federation ist ein Mechanismus, der statische API-Schlüssel durch kurzlebige Token ersetzt. Workloads übergeben ein OIDC-Token aus ihrer Cloud-Umgebung (AWS, Azure, GCP, GitHub Actions...) und erhalten dafür einen temporären OpenAI-Token zur Authentifizierung.
Welche Plattformen unterstützt OpenAI Workload Identity Federation?
Unterstützt werden Kubernetes (Projected Service Account Tokens), AWS (STS oder EKS), Microsoft Azure (Managed Identity oder AKS), Google Cloud (Metadata Server oder GKE), GitHub Actions (OIDC Workflows) und SPIFFE (JWT-SVID).
Wie wird der OpenAI Workload Identity Provider konfiguriert?
Organisationsinhaber greifen über Organization Settings > Security > Workload Identity Provider auf die Einstellungen zu. JWKS-Verifizierung unterstützt OIDC Discovery und manuell hochgeladene Schlüsselsätze; Discovery-Dokumente werden alle 600 Sekunden aktualisiert.

📬 KI-News in dein Postfach

Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.