}

Was ist Single Sign-On?

Was ist Single Sign-On (SSO)?

Single Sign-On ist das Verfahren der einmaligen Authentifizierung, nach der ohne erneute Eingabe der Login-Daten auf weitere Anwendungen, Ressourcen oder Dienste zugegriffen werden kann. SSO authentifiziert den Benutzer automatisch für die Anmeldung bei nachgelagerten Anwendungen.

Um eine Anwendung nutzen oder auf ein sicheres Netzwerk zugreifen zu können, müssen Sie sich zunächst identifizieren. Dies geschieht oft mit einer Kombination aus einem eindeutigen Benutzernamen und einem Passwort. Fast jeder ist mit dieser Methode der Anmeldung an einem System oder einer Anwendung vertraut. Die Kombination aus Benutzername und Passwort wird als Anmeldeinformation bezeichnet, die eine Form der Authentifizierung darstellt.

Vor Jahrzehnten war ein einziger Satz von Benutzeranmeldeinformationen alles, was eine Person brauchte, um ihre Arbeit zu erledigen. Dann wurden weitere Anwendungen erstellt, die separate Anmeldeinformationen erforderten. Und noch mehr, im Laufe der Jahre. Heutzutage kann es vorkommen, dass eine Person sich bei bis zu 9 Anwendungen anmelden muss, um ihre Arbeit zu erledigen. Jede dieser Anwendungen erfordert in der Regel ihre eigenen Benutzeranmeldeinformationen.

Der Zuwachs an Anwendungen wäre nicht so schlimm, wenn Benutzer für alle die gleichen Zugangsdaten hätten. Das würde jedoch zu einer massiven Sicherheitslücke führen. Wenn ein System verletzt und die Anmeldeinformationen durchsickern würden, dann wären alle Systeme mit dem gleichen Benutzernamen und Passwort für den unbefugten Zugriff anfällig.
Aus diesen Schwierigkeiten und Sicherheitsrisiken entstand das Konzept des Single Sign-On, kurz "SSO" genannt. Die Grundidee von SSO ist, dass auf jede Anwendung, die eine Person benötigt, zugegriffen werden kann, indem man sich nur einmal mit seinen Zugangsdaten anmeldet. Das mag sich sehr ähnlich anhören wie das obige Szenario, bei dem jedes System mit dem gleichen Benutzernamen und Passwort aufgerufen werden kann, ist jedoch völlig anders. Im obigen Szenario hielt jedes System eine Kopie der Anmeldeinformationen in seiner eigenen Datenbank. Mit einer geeigneten SSO-Lösung verfügen diese Anwendungen nicht über eine Kopie der Anmeldeinformationen - sie vertrauen einfach einem so genannten Identity Provider (IdP). Ohne eine tatsächliche Kopie von Benutzername und Passwort können Anmeldeinformationen nicht verloren gehen, wenn eine der Anwendungen kompromittiert wird.

Identity Provider? Service Provider? Assertion?



Bevor wir darüber sprechen, wie dies in der Praxis funktioniert, lassen Sie uns einige neue Begriffe und Definitionen durchgehen.

Identity Provider (IdP):
Hier werden die Anmeldedaten der Benutzer gespeichert. Alle Authentifizierungen erfolgen hier. Es gibt verschiedene gängige IdPs auf dem Markt, wie z.B. Active Directory Federation Services (AD FS), Okta, OneLogin und HelloID.

Service-Provider (SP):
Dies ist oftmals die Anwendung, auf die ein Benutzer zugreift und die eine Authentifizierung erfordert. Wenn ein Benutzer eine Anwendung öffnet, sprechen die Service- und Identity-Provider miteinander, um die Identität des Benutzers zu überprüfen. Wenn der Identity Provider den Benutzer eindeutig identifiziert, werden sie in die Anwendung aufgenommen.

Assertion:
Der Inhalt einer Assertion variiert je nach SSO-Protokoll (z.B. SAML, OAuth oder OpenID), enthält aber normalerweise die eindeutige ID, den Namen und verschiedene andere Attribute des Benutzers. Es wird durch ein Zertifikat signiert und verschlüsselt, auf das sowohl der Identity Provider als auch der Service Provider Zugriff haben. Auf diese Weise kann der Dienstanbieter sicher sein, dass die Informationen aus einer vertrauenswürdigen Quelle stammen.[1] https://www.businesswire.com/news/home/20170918005033/en/Information-App-Overload-Hurts-Worker-Productivity-Focus

Die Vorteile von Single Sign-On:


  • Vereinfachung für den Endnutzer
  • Zeitersparnis durch automatische Anmeldung
  • Der Endnutzer ist produktiver
  • Ermöglicht höhere Passwortkomplexität
  • Erhöhte Sicherheit des Netzwerks
  • Weniger Passwort-Reset-Anfragen beim IT-Helpdesk

Es gibt nichts, das so nervig ist, wie sich zig Passwörtern merken zu müssen. Der durchschnittliche Endnutzer braucht täglich 12 verschiedene Passwörter und Benutzernamen, um sich einzuloggen und seine Arbeit zu verrichten. Das ist frustrierend und führt zu unsicheren Situationen. Endnutzer schreiben Passwörter auf Post-its und kleben sie unter die Tastatur. Es wäre bequemer und sicherer, wenn User sich nur ein Kennwort merken müssten, um sich bei allen nötigen Anwendungen anzumelden. Dieses muss seltener aufgeschrieben werden und kann durch Komplexitätsvorgaben zusätzliche Sicherheit bringen.

Enterprise & Cloud Single Sign-On


Mit Enterprise-Single-Sign-On-Software ist es möglich, in lokalen Unternehmensnetzwerken genau diese Vereinfachung für Endnutzer und Erhöhung der Sicherheit zu erhalten. Die SSO-Software erfasst alle Anmeldefenster von Anwendungen und füllt die angeforderten Anmeldeinformationen (Benutzername und Kennwort) automatisch aus. Der Endnutzer muss sich nur einmal einloggen und zwar mit dem üblichen Login-Vorgang auf der Workstation bzw. im Windows-Anmeldebildschirm.

Cloud Single Sign-On bietet darüber hinaus SSO für alle freigegebenen Cloud-Anwendungen im Unternehmen über ein Web-Portal. Im Dashboard kann der User nach einmaliger Anmeldung bequem auf alle Cloud-Anwendungen zugreifen, ohne erneut seine Login-Daten eintragen zu müssen. Dies funktioniert natürlich auch von außerhalb des Unternehmens, wobei hier verschiedene Access Policies den Zugriff auf sensible Daten von außen trotzdem einschränken können. Diese Zugangsrichtlinien können einfach im Web-Portal von der IT-Abteilung definiert und die Zugriffe so stets auditfähig kontrolliert werden.

Authentication Management


Single Sign-On wird in großen Organisationen oft mit Authentication Management kombiniert. Durch Verwendung eines Tokens wie z.B. einer Benutzerkarte und eines PIN-Codes wird der Anmeldevorgang zusätzlich vereinfacht und gleichzeitig durch diese Zwei-Faktor-Authentifizierung sicherer gemacht. Der Mitarbeiter "wischt" seine Smartcard zum Login durch ein Lesegerät und gibt nur noch seinen persönlichen PIN-Code ein. Danach ist der User an seiner Arbeitsstation angemeldet und kann dank SSO alle seine Anwendungen öffnen, ohne sich erneut anmelden zu müssen.

Fragen? Kontaktieren Sie uns!

sales@tools4ever.de


Sie suchen nach einer geeigeneten und sicheren Software-Lösung für Ihr Unternehmen? Sie benötigen weitere Informationen? Individuell? Persönlich?

Schreiben Sie uns. Wir setzen uns schnellstmöglich mit Ihnen in Kontakt.