SSO, mTLS, JWT — ohne Auth-Code zu schreiben.
Setze jeden OIDC-, SAML- oder mTLS-Provider in drei Zeilen vor jeden Tunnel. t-Gates validiert Tokens, erneuert Sessions und leitet verifizierte Identity-Claims an deine Origin weiter.
Bring deinen bestehenden Identity-Provider mit — keine Änderungen nötig.
Binde Okta, Azure AD, Google, Auth0, JumpCloud oder jeden OIDC-/SAML-2.0-Provider an. t-Gates erledigt den Discovery-Tanz, die Key-Rotation und das JWKS-Caching. Deine Nutzer behalten ihr bestehendes SSO-Erlebnis.
- ✓Auto-DiscoveryZeige auf die Issuer-URL. Wir ziehen Config + JWKS automatisch.
- ✓Gruppenbasierter ZugriffIdP-Gruppen mit einer deklarativen Regel auf Tunnel mappen.
- ✓JIT-Provisioning + SCIMNutzer erscheinen in t-Gates, sobald sie in deinem IdP hinzugefügt werden.
Service-zu-Service-Auth ohne Sidecar-Mesh.
Stelle kurzlebige Workload-Zertifikate aus. Rotiere sie alle 24 Stunden. Verifiziere sie am Edge. t-Gates betreibt eine vollständig gemanagte PKI, sodass du weder cert-manager, Vault PKI noch Istio Citadel betreiben musst.
- ✓SPIFFE-konforme IDsWorkload-Identitäten folgen der SPIFFE-Spec — interoperabel mit Istio, Linkerd.
- ✓Auto-RotationZertifikate rotieren alle 24 h. Roots alle 90 Tage. Null Downtime.
- ✓CRL + OCSP-StaplingWiderruf propagiert global in unter 4 Sekunden.
Lösch deine Auth-Middleware.
Jedes Framework hat seine eigene. Jedes Framework hat seine eigenen Bugs. Schieb sie an den Edge, und dein Origin-Code schrumpft.
import jwt from 'jsonwebtoken';
import { jwksClient } from 'jwks-rsa';
const client = jwksClient({
jwksUri: 'https://auth/.well-known/jwks.json',
cache: true, rateLimit: true,
});
app.use(async (req, res, next) => {
const token = req.headers.authorization?.split(' ')[1];
if (!token) return res.sendStatus(401);
try {
const { kid } = jwt.decode(token, { complete: true }).header;
const key = await client.getSigningKey(kid);
const claims = jwt.verify(token, key.getPublicKey());
req.user = claims;
next();
} catch { res.sendStatus(401); }
});# policy.tg
route "/*" {
auth = oidc("auth.t.gate")
}
// app.ts — that's it
app.get('/', (req, res) => {
res.json({ user: req.headers['x-tg-user'] });
});Auth, die wirklich die Edge-Cases abdeckt.
Refresh, Widerruf, Device-Trust, Step-up — alles eingebaut.
Token-Refresh
Silent Refresh am Edge erledigt. Origins sehen immer ein gültiges Token.
refresh = silentStep-up-Auth
MFA-Challenges für sensible Routen mitten in der Session auslösen.
step_up = mfa_requiredSession-Widerruf
Alle Sessions eines Nutzers global in unter 2 s beenden.
t-gates session revokeDevice-Posture
Requests von Geräten ohne deinen CrowdStrike-Beacon blockieren.
device.compliant = trueJust-in-time-Zugriff
Zeitlich begrenzte erhöhte Tokens, via Slack genehmigt.
elevate for 30mAudit-Log
Jede Authn-/Authz-Entscheidung mit vollem Kontext geloggt.
audit_log = retained_1yDie meisten Teams landen bei einer anderen Auth-Implementierung in jedem Service. Authn/Authz an den Edge zu verlagern, lässt dich das an einer Stelle konsolidieren, statt denselben Code vielfach zu pflegen.
Hol Auth aus deinen Apps heraus.
Eine Config ersetzt ein Dutzend Middleware-Bibliotheken. Deine Engineers debuggen keinen JWT-Clock-Skew mehr.