Was ist Single-Sign-on?
- IAM-Glossar
- Was ist Single-Sign-on?
Single-Sign-On (SSO) ist eine Authentifizierungstechnologie, mit der sich Benutzer bei mehreren Anwendungen und Diensten mit einem einzigen Zugangsdatenset anmelden können. Das Kernziel von SSO ist die Reduktion der Anzahl, wie oft Benutzer ihre Zugangsdaten eingeben müssen, und die Vereinfachung der Nutzung mehrerer Dienste, damit sie möglichst unkompliziert auf die Ressourcen zugreifen können, die sie benötigen.
SSO-Plattformen spielen eine essenzielle Rolle in den meisten Identitäts- und Zugriffsverwaltungssystemen (Identity and Access Management, IAM). SSO kommt auch zur Anwendung, wenn sich Benutzer bei Internetdiensten mit ihren Konten von sozialen Medien (z. B. "Mit Facebook anmelden") anmelden.
Wie funktioniert single-sign-on?
SSO-Systeme etablieren eine Vertrauensverbindung zwischen einem Benutzer, einem Identitätsanbieter (IdP) und der Webseite oder Anwendung, die die SSO-Anmeldung nutzt, den sogenannten Dienstanbietern. Hier ist ein grober Überblick über den Prozess:
Der Benutzer meldet sich beim Identitätsanbieter an. Der Benutzer gibt den Benutzernamen und das Passwort beim IdP ein, der die Identität des Benutzers verifiziert und die Sitzung authentifiziert.
Der Identitätsanbieter erstellt einen Token. Betrachten Sie den Token als temporären digitalen Ausweis, der Informationen zur Identität und der Sitzung des Benutzers enthält. Der Token wird entweder im Browser des Benutzers oder auf dem SSO-Server gespeichert, über den die Benutzeridentitätsdaten vom IdP an den Dienstanbieter weitergeleitet werden.
Der Benutzer greift auf den Dienstanbieter zu. Wenn der Benutzer versucht, eine Webseite oder Anwendung zu nutzen, dann fordern diese eine Authentifizierung vom IdP an.
Der IdP sendet den Token an die Webseite oder Anwendung. Der IdP schickt einen gesicherten, verschlüsselten Einmal-Token an die Webseite oder Anwendung, bei der sich der Benutzer anmelden will.
Die Webseite oder Anwendung nutzt Informationen im Token, um die Identität des Benutzers zu verifizieren. Nach der erfolgreichen Verifizierung gewährt der Dienstanbieter dem Benutzer Zugang zum Dienst und der Benutzer kann die Webseite oder Anwendung nutzen.
Ist single-sign-on sicher?
Ja. In der Regel gelten SSO-Lösungen als sicherer als traditionelle Anmeldungsmethoden mit Eingabe von Benutzername und Passwort, da SSO die Anzahl der Passwörter verringert, die sich Benutzer merken müssen, was Benutzer davon abhält, auf unsichere Passwortnutzungspraktiken zu setzen, wie der Verwendung unsicherer Passwörter oder der Mehrfachnutzung desselben Passworts für mehrere Konten.
Wie bei jeder anderen Technologie müssen SSO-Systeme jedoch richtig konfiguriert und gewartet werden, um eine optimale Sicherheit zu erreichen. Außerdem müssen SSO-Systeme zusammen mit anderen IAM-Tools und -Protokollen verwendet werden, einschließlich einer Multi-Faktor Authentifizierung, einem umfassenden Passwortmanager und rollenbasierter Zugriffskontrollen.
Arten von single-sign-on
Alle SSO-Systeme haben dasselbe Ziel: Benutzer sollen sich einmal bei einem System anmelden und dann verschiedene darin enthaltene Anwendungen und Dienste nutzen können, ohne sich erneut anmelden zu müssen. Bestimmte Protokolle und Standards können sich aber von System zu System unterschieden. Hier ist eine Liste mit geläufigen Termini, auf die Sie bei der Nutzung von SSO stoßen werden:
- Verbunds-SSO ist geläufig in großen Organisationen, die viele Anwendungen und Systeme in unterschiedlichen Abteilungen und Standorten nutzen. Es bietet einen einzigen Zugangspunkt zu mehreren Systemen in den verschiedenen Organisationen.
- Webbasiertes SSO wird oft von großen Internetdienstleistern genutzt, deren Mitarbeitende ausschließlich mit cloud-basierten Anwendungen und Diensten arbeiten.
- Die Abkürzung "SAML" steht für "Security Assertion Markup Language". Dabei handelt es sich nicht um einen SSO-Typ, sondern ein Datenformat für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen verschiedenen Beteiligten. SAML wird häufig in webbasierten SSO-Systemen genutzt.
- Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das sichere mittels eines Ticket-Systems die sichere Authentifizierung für Netzwerkdienste ermöglicht. Anders als SAML, das bei der Authentifizierung von Web-Anwendungen zum Einsatz kommt, ist Kerberos Teil der Hintergrundtechnologie in Local Area Networks (LAN) von Unternehmen.
- Das "Lightweight Directory Access Protocol (LDAP)" ist ein Verzeichnisdienstprotokoll für die Speicherung und den Abruf von Daten zu Benutzern und Ressourcen. LDAP-basierte SSO-Systeme ermöglichen es Organisationen, ihre bestehenden LDAP-Verzeichnisdienste zur Verwaltung der Benutzer für das SSO zu nutzen. Da LDAP aber nicht nativ für die Verwendung mit Web-Anwendungen entwickelt wurde, verwenden Organisationen ihre LDAP-Server als ultimative Wahrheitsquelle, also als Identitätsanbieter, für die SAML-basierten SSO-Lösungen.
Vorteile und nachteile von single-sign-on
Wesentliche Vorteile von SSO sind unter anderem:
Komfort und Verbesserung des Benutzererlebnisses: SSO eliminiert die Notwendigkeit, sich mehrere Benutzernamen und Passwörter merken zu müssen, wodurch Benutzer schneller und bequemer auf benötigte Dienste zugreifen können.
Verbesserte Sicherheit: SSO ermöglicht IT-Administratoren die zentrale Verwaltung von Benutzeridentitäten, was die Sicherheit erhöht, indem Admins besser überblicken und steuern können, wer worauf Zugriff hat. Das kann helfen, nicht autorisierten Zugriff auf sensible Daten zu verhindern.
Verbesserte Produktivität: Administratoren müssen weniger Zeit für die Verwaltung von Benutzeridentitäten aufwenden und Benutzer verschwenden keine Zeit mit der Handhabung von Passwörtern. Der Einsatz von SSO kann das Ticketaufkommen wegen vergessener Passwörter bei technischen Hilfsdiensten dramatisch reduzieren oder ganz eliminieren.
Wesentliche Nachteile von SSO sind unter anderem:
Eine große Problemquelle: Wenn das SSO-System nicht verfügbar ist, dann können sich Benutzer nicht bei Diensten anmelden, auf die sie angewiesen sind. Das kann zu beträchtlichen Störungen im Geschäftsablauf führen. Gleiches gilt, wenn das SSO-System von Angreifern kompromittiert wird. Dann erhalten die Angreifer Zugang zu allen damit verbundenen Diensten. Deshalb ist es extrem wichtig, SSO-Zugangsdaten mit Mehr-Faktor-Authentifizierung zusätzlich abzusichern.
Komplexität: Die Implementierung eines SSO-Systems kann komplex sein und beträchtlichen Zeitaufwand und Ressourcen erfordern.
Angreifbarkeit: Wird das SSO-System nicht ordnungsgemäß gepflegt, können Angreifer es leichter kompromittieren und so Zugang zu verschiedensten Diensten erhalten.
Einschränkungen: Nicht alle Anwendungen unterstützen SSO. Das trifft insbesondere auf alte Anwendungen zu, die aber essenziell für den Geschäftsbetrieb sind und nicht ohne Weiteres ersetzt oder angepasst werden können. Eine umfassende Passwortverwaltungslösung für das Unternehmen schließt diese Lücke.
Implementierung von single-sign-on
Die Implementierung einer SSO-Lösung ist ein enormes IT-Projekt, das sehr sorgfältig umgesetzt werden muss. Hier sind einige Dinge, die Sie dabei beachten sollten:
Denken Sie daran, möglichst auf E-Mail, SMS oder Anrufe für die Zusendung des Authentifizierungsfaktors zu verzichten, wenn die Webseite oder App andere Möglichkeiten zulässt.
Definieren Sie Ihre Anforderungen: Ermitteln Sie, welche Dienste und Anwendungen im SSO-System eingeschlossen sein sollen, und welche Sicherheits- und Zugangssteuerungsanforderungen Sie für jedes benötigen. Denken Sie auch an Sicherheitsfunktionen wie Mehr-Faktor-Authentifizierung, Passwortverwaltung und rollenbasierte Zugriffssteuerung.
Wählen Sie eine SSO-Lösung: Wählen Sie eine SSO-Lösung oder Kombination verschiedener Angebote aus, die zu Ihren Anforderungen passt.
Konfiguration Ihres Identitätsanbieters: Richten Sie Ihre IdP-Komponenten der SSO-Lösung sorgfältig ein. Ihr IdP ist verantwortlich für die Authentifizierung der Benutzer und die Bereitstellung der Identitätsdaten für die integrierten Dienstanbieter.
Integration der Dienstanbieter: Integrieren Sie jede Webseite und Anwendungen in das SSO-System. Das erfordert die Konfiguration jedes einzelnen Dienstanbieters, damit diese mit dem IdP kommunizieren können und die Benutzeridentitätsdaten abrufen und Authentizität der SSO-Sitzung verifizieren können.
Testen Sie die SSO-Implementierung: Legen Sie eine kleine Benutzertestgruppe fest und sehen Sie, ob die Benutzer mit dem SSO-Zugangsdatenset weiterhin problemlos auf ihre benötigten Dienste und Anwendungen zugreifen können.
Etablieren Sie die SSO-Lösung im ganzen Unternehmen: Abhängig von Ihren Anforderungen und Datenumgebungen kann das die Einrichtung von IdP- und Dienstanbieterkomponenten auf anderen Servern oder die Integration von diesen in bestehende Infrastruktur erfordern.
Überwachen und Pflege der SSO-Lösung: Überwachen Sie das SSO-System kontinuierlich, um sicherzustellen, dass alles korrekt funktioniert und um schnell auf potenzielle Probleme reagieren zu können.
Es ist wichtig, dass Sie immer im Hinterkopf behalten, dass die Implementierung eines SSO-Systems eine beträchtliche Investition ist und viel Zeit und Ressourcen erfordert. Der Prozess kann sich bis zum vollständigen Abschluss mehrere Monate hinziehen. Daher ist es sehr ratsam, mit erfahrenen IT-Experten zusammenzuarbeiten, die über Expertise mit SSO-Lösungen und bewährten Sicherheitspraktiken verfügen, um die Implementierung zu einem Erfolg zu machen.