PRODUKT · IDENTITY & ACCESS

SSO, mTLS, JWT — ohne Auth-Code zu schreiben.

Setze jeden OIDC-, SAML- oder mTLS-Provider in drei Zeilen vor jeden Tunnel. t-Gates validiert Tokens, erneuert Sessions und leitet verifizierte Identity-Claims an deine Origin weiter.

Sichere Tunnel · TLS überall · Gehostet in Deutschland
t-GatesOktaGoogleAzure ADGitHubAuth0JumpCloud
40+
IdP-Integrationen
OIDC, SAML, LDAP, SCIM
0.8ms
Token-Validierung
p99 zusätzliche Latenz
256-bit
mTLS überall
Edge zu Origin & Client
Audit
Vollständiges Audit-Logging
Jede Aktion nachvollziehbar
OIDC + SAML

Bring deinen bestehenden Identity-Provider mit — keine Änderungen nötig.

Binde Okta, Azure AD, Google, Auth0, JumpCloud oder jeden OIDC-/SAML-2.0-Provider an. t-Gates erledigt den Discovery-Tanz, die Key-Rotation und das JWKS-Caching. Deine Nutzer behalten ihr bestehendes SSO-Erlebnis.

  • Auto-DiscoveryZeige auf die Issuer-URL. Wir ziehen Config + JWKS automatisch.
  • Gruppenbasierter ZugriffIdP-Gruppen mit einer deklarativen Regel auf Tunnel mappen.
  • JIT-Provisioning + SCIMNutzer erscheinen in t-Gates, sobald sie in deinem IdP hinzugefügt werden.
Okta
Azure AD
Google
Auth0
GitHub
JumpCloud
Keycloak
OneLogin
PingID
MUTUAL TLSVorschau

Service-zu-Service-Auth ohne Sidecar-Mesh.

Stelle kurzlebige Workload-Zertifikate aus. Rotiere sie alle 24 Stunden. Verifiziere sie am Edge. t-Gates betreibt eine vollständig gemanagte PKI, sodass du weder cert-manager, Vault PKI noch Istio Citadel betreiben musst.

  • SPIFFE-konforme IDsWorkload-Identitäten folgen der SPIFFE-Spec — interoperabel mit Istio, Linkerd.
  • Auto-RotationZertifikate rotieren alle 24 h. Roots alle 90 Tage. Null Downtime.
  • CRL + OCSP-StaplingWiderruf propagiert global in unter 4 Sekunden.
// workload-cert.json
{
"spiffe_id": "spiffe://t.gate/sa/api",
"valid_for": "24h",
"rotation": "automatic",
"trust_domain": "prod.t.gate"
}
✓ Issued · expires in 23h 47m
SCHLUSS MIT AUTH-CODE

Lösch deine Auth-Middleware.

Jedes Framework hat seine eigene. Jedes Framework hat seine eigenen Bugs. Schieb sie an den Edge, und dein Origin-Code schrumpft.

VORHERapp.ts
import jwt from 'jsonwebtoken';
import { jwksClient } from 'jwks-rsa';

const client = jwksClient({
  jwksUri: 'https://auth/.well-known/jwks.json',
  cache: true, rateLimit: true,
});

app.use(async (req, res, next) => {
  const token = req.headers.authorization?.split(' ')[1];
  if (!token) return res.sendStatus(401);
  try {
    const { kid } = jwt.decode(token, { complete: true }).header;
    const key = await client.getSigningKey(kid);
    const claims = jwt.verify(token, key.getPublicKey());
    req.user = claims;
    next();
  } catch { res.sendStatus(401); }
});
Plus Refresh-Handling, Leeway, Blacklist, Audience-Checks…
NACHHERpolicy.tg + app.ts
# policy.tg
route "/*" {
  auth = oidc("auth.t.gate")
}

// app.ts — that's it
app.get('/', (req, res) => {
  res.json({ user: req.headers['x-tg-user'] });
});
Verifizierte Claims kommen als Header an. Die App bleibt auf Business-Logik fokussiert.
ALLES ENTHALTEN

Auth, die wirklich die Edge-Cases abdeckt.

Refresh, Widerruf, Device-Trust, Step-up — alles eingebaut.

🔄

Token-Refresh

Silent Refresh am Edge erledigt. Origins sehen immer ein gültiges Token.

refresh = silent
📵

Step-up-Auth

MFA-Challenges für sensible Routen mitten in der Session auslösen.

step_up = mfa_required
🚫

Session-Widerruf

Alle Sessions eines Nutzers global in unter 2 s beenden.

t-gates session revoke
🖥️

Device-Posture

Requests von Geräten ohne deinen CrowdStrike-Beacon blockieren.

device.compliant = true
🪪

Just-in-time-Zugriff

Zeitlich begrenzte erhöhte Tokens, via Slack genehmigt.

elevate for 30m
🔍

Audit-Log

Jede Authn-/Authz-Entscheidung mit vollem Kontext geloggt.

audit_log = retained_1y
"
Die meisten Teams landen bei einer anderen Auth-Implementierung in jedem Service. Authn/Authz an den Edge zu verlagern, lässt dich das an einer Stelle konsolidieren, statt denselben Code vielfach zu pflegen.
Security Engineering
Wofür Edge-Identity gedacht ist · Pre-Alpha
Ein Edge
STATT AUTH PRO SERVICE

Hol Auth aus deinen Apps heraus.

Eine Config ersetzt ein Dutzend Middleware-Bibliotheken. Deine Engineers debuggen keinen JWT-Clock-Skew mehr.

Keine Karte nötig · 14 Tage Testphase · Jederzeit kündbar