Microsoft hat die Mai-Ausgabe des PlayFab Digest veröffentlicht. Im Mittelpunkt stehen Änderungen an der Nutzerverwaltung, zusätzliche Sicherheitsfunktionen für Title Secret Keys sowie eine neue Authentifizierungsmethode über Microsoft Entra ID. Die Neuerungen richten sich vor allem an Studios, die PlayFab in größeren Teams einsetzen oder ihre Backend-Zugriffe stärker kontrollieren wollen.
Bulk-Bearbeitung für Rollen und Berechtigungen
Eine der praktischen Änderungen betrifft die Verwaltung von Entwicklerrollen im Game Manager. Studio-Administratoren können Berechtigungen und Title Roles künftig für mehrere Nutzer gleichzeitig anpassen. Bisher mussten solche Änderungen einzeln pro Nutzer vorgenommen werden, was insbesondere beim Onboarding neuer Teams oder bei größeren Umstrukturierungen zusätzlichen Verwaltungsaufwand verursachte.
Die neue Bulk-Bearbeitung arbeitet mit sogenannten Merge Semantics. Werden einem Nutzer neue Rollen zugewiesen, bleiben bestehende Rollen erhalten. Entsprechend entfernt das Widerrufen einer Rolle nicht automatisch andere vorhandene Berechtigungen. Studioweite Rechte wie Admin-Zugriff oder Zugriff auf Billing Summaries sowie titelbezogene Rollen lassen sich in einem gemeinsamen Vorgang bearbeiten. Für Studios mit mehreren Projekten oder häufig wechselnden Teamstrukturen dürfte diese Änderung vor allem die operative Verwaltung vereinfachen.
IP-Allowlists für Title Secret Keys
Ebenfalls neu sind IP-Allowlists für Title Secret Keys. Damit lässt sich festlegen, von welchen IPv4- oder IPv6-Adressen beziehungsweise CIDR-Bereichen ein bestimmter Secret Key verwendet werden darf. PlayFab erlaubt bis zu 20 Einträge pro Schlüssel. Privilegierte Server- und Admin-API-Aufrufe werden anschließend nur akzeptiert, wenn sie von einer freigegebenen IP-Adresse stammen.
Die Funktion ist optional. Bleibt die Allowlist leer, verhält sich der Schlüssel wie bisher. Änderungen an Secret Keys werden weiterhin über das bestehende PlayStream Secret Key Event erfasst, wodurch vorhandene Audit-Prozesse nicht angepasst werden müssen. Für Live-Service-Backends, Build-Systeme oder interne Admin-Tools kann die Funktion eine zusätzliche Absicherung gegen den Missbrauch kompromittierter Secret Keys darstellen. Voraussetzung ist allerdings eine saubere Kontrolle der ausgehenden IP-Adressen, da falsche Einträge legitime Zugriffe blockieren können.
Microsoft Entra ID als neue Authentifizierungsmethode in der Preview
Mit dem Mai-Update führt Microsoft außerdem eine Preview für die Authentifizierung über Microsoft Entra ID ein. PlayFab-APIs für Admin-, Server- und title-level Entity-Aufrufe können damit über delegierte Entra-ID-Access-Tokens angesprochen werden. Statt eines klassischen Developer Secret Key wird ein Bearer Token im Authorization Header verwendet.
Die Authentifizierung erfolgt über gängige OAuth-2.0-Flows für Public Clients, darunter Authorization Code mit PKCE, Device Code oder interaktive Browser-Anmeldung. Player-seitige Client APIs sind davon nicht betroffen. Diese verwenden weiterhin Session Tickets und Entity Tokens.
Der Ansatz reduziert die Abhängigkeit von langfristig gültigen Shared Secrets. API-Aufrufe lassen sich einzelnen Nutzeridentitäten zuordnen, was die Nachvollziehbarkeit in Audits verbessert. Zusätzlich können Organisationen Entra-ID-Richtlinien wie MFA, Geräte-Compliance oder IP-basierte Zugriffsregeln einbinden.
Für die Nutzung muss eine Public-Client-Anwendung im Entra-ID-Tenant registriert und mit der entsprechenden PlayFab-Berechtigung versehen werden. Der aufrufende Nutzer muss zudem im PlayFab Studio hinterlegt und im Game Manager als Title Admin berechtigt sein. Der Zugriff erfolgt derzeit über direkte HTTP-Aufrufe mit einem Bearer Token. PlayFab-SDKs unterstützen Entra ID laut Microsoft noch nicht. Eine SDK-Integration ist für einen späteren Zeitpunkt vorgesehen.
Die Funktion befindet sich ausdrücklich in der Preview und ist für Evaluation und frühe Tests gedacht. Für Produktionsumgebungen empfiehlt Microsoft den Einsatz nach aktuellem Stand noch nicht.
Relevanz für Studio-Betrieb und Backend-Sicherheit
Die Mai-Updates zeigen eine klare Ausrichtung auf größere Entwicklungs- und LiveOps-Strukturen. Bulk-Änderungen reduzieren Verwaltungsaufwand bei Teams mit vielen Nutzern oder mehreren Titeln. IP-Allowlists erhöhen die Kontrolle über privilegierte API-Zugriffe. Die Entra-ID-Preview geht einen Schritt weiter und verschiebt die Authentifizierung perspektivisch stärker in Richtung identitätsbasierter Zugriffsmodelle.
Für Xbox-nahe Entwicklungsumgebungen, PlayFab-basierte Backends und Studios mit Microsoft-Cloud-Infrastruktur ist vor allem die Kombination aus Entra ID und PlayFab relevant. Sie könnte mittelfristig helfen, Secret-Key-basierte Workflows zu reduzieren und bestehende Unternehmensrichtlinien für Identität, Zugriff und Compliance enger mit PlayFab zu verzahnen. Wer sich näher hiermit beschäftigen möchte, kann auch auf die Schulungen (Learn Microsoft) zurückgreifen.