Was ist Single Sign-On (SSO)?

Single Sign-On ist ein Verfahren der einmaligen Authentifizierung, nach der ohne erneute Eingabe der Login-Daten auf weitere Anwendungen oder Dienste zugegriffen werden kann. SSO authentifiziert den Benutzer automatisch für die Anmeldung bei nachgelagerten Anwendungen.

Um eine Anwendung nutzen oder auf ein sicheres Netzwerk zugreifen zu können, müssen Sie sich zunächst identifizieren. Dies geschieht oft mit der Kombination: Benutzername und Passwort. Fast jeder ist mit dieser Methode der Anmeldung an einem System oder einer Anwendung vertraut. Die Kombination aus Benutzername und Passwort wird als Anmeldeinformation bezeichnet, die eine Form der Authentifizierung darstellt.

Vor Jahrzehnten war ein Benutzername und ein Passwort das Einzige, was ein Mitarbeiter brauchte, um Zugriff auf seine Anwendungen zu erhalten. Doch dann kamen weitere Anwendungen hinzu, die separate Anmeldedaten erforderten. Weitere folgten im Laufe der Jahre.

Heutzutage kann es vorkommen, dass ein Mitarbeiter sich bei bis zu 9 Anwendungen anmelden muss, um seine Arbeit zu erledigen. Davon erfordert jede einzelne ihre eigene Anmeldeinformationen.

Der Zuwachs an Anwendungen wäre nicht so schlimm, wenn Benutzer für alle die gleichen Zugangsdaten hätten. Das würde jedoch zu einer massiven Sicherheitslücke führen. Wenn ein System gehackt wäre und die Anmeldeinformationen durchsickern würden, dann wären alle Systeme mit dem gleichen Benutzernamen und Passwort für den unbefugten Zugriff anfällig.

Auf Grundlage dieser Sicherheitsrisiken entstand das Konzept des Single Sign-On, kurz „SSO“ genannt. Die Grundidee von einem SSO-System ist, dass auf jede Anwendung, die eine Person benötigt, zugegriffen werden kann, indem man sich nur einmal mit seinen Zugangsdaten anmeldet.

Ist das nicht das Gleiche?! Das mag sich sehr ähnlich anhören, ist aber völlig anders.

Im obigen Szenario hielt jedes System eine Kopie der Anmeldeinformationen in seiner eigenen Datenbank. Mit einer geeigneten SSO-Lösung verfügen diese Anwendungen nicht über eine Kopie der Anmeldeinformationen – sie vertrauen einem so genannten Identity Provider (IdP). Ohne eine tatsächliche Kopie von Benutzername und Passwort können Anmeldeinformationen nicht verloren gehen, wenn eine der Anwendungen kompromittiert wird.

Begriffe: Identity Provider, Service Provider und Assertion

Bevor wir ein Praxisbeispiel zeigen, lassen Sie uns einige wichtige Begriffe und Definitionen klären:

Identity Provider (IdP):

Hier werden die Anmeldedaten der Benutzer gespeichert. Alle Authentifizierungen erfolgen hier. Es gibt verschiedene gängige IdPs auf dem Markt, wie z.B. Active-Directory Federation Services (AD FS), Okta, OneLogin und HelloID.

Service-Provider (SP):

Dies ist oftmals die Anwendung, auf die ein Benutzer zugreift und die eine Authentifizierung erfordert. Wenn ein Benutzer eine Anwendung öffnet, sprechen die Service- und Identity-Provider miteinander, um die Identität des Benutzers zu überprüfen. Wenn der Identity Provider den Benutzer eindeutig identifiziert, werden sie in die Anwendung aufgenommen.

Assertion:

Der Inhalt einer Assertion variiert je nach SSO-Protokoll (z.B. SAML, OAuth oder OpenID), enthält aber normalerweise die eindeutige ID, den Namen und verschiedene andere Attribute des Benutzers.

Es wird durch ein Zertifikat signiert und verschlüsselt, auf das sowohl der Identity Provider als auch der Service Provider Zugriff haben. Auf diese Weise kann der Dienstanbieter sicher sein, dass die Informationen aus einer vertrauenswürdigen Quelle stammen.

.[1] https://www.businesswire.com/news/home/20170918005033/en/Information-App-Overload-Hurts-Worker-Productivity-Focus

Die Vorteile von Single Sign-On

  • Vereinfachung für den Endnutzer
  • Zeitersparnis durch automatische Anmeldung
  • Der Endnutzer ist produktiver
  • Ermöglicht höhere Passwortkomplexität
  • Erhöhte Sicherheit des Netzwerks
  • Weniger Passwort-Reset-Anfragen beim IT-Helpdesk

Es gibt nichts anstrengenderes, wie sich zig Passwörtern merken zu müssen. Der durchschnittliche Endnutzer braucht täglich 12 verschiedene Passwörter und Benutzernamen, um sich einzuloggen. Das ist frustrierend und führt zu fahrlässigen Situationen.

Endnutzer schreiben Passwörter auf Post-its und kleben sie unter die Tastatur. Oder Sie notieren sich diese in einem unverschlüsselten Word-Dokument. Es wäre benutzerfreundlicher und sicherer, wenn User sich nur ein Kennwort merken müssten, um sich bei allen nötigen Anwendungen anzumelden. Dieses muss so gut wie nicht aufgeschrieben werden und kann durch Komplexitätsvorgaben zusätzliche Sicherheit bringen.

Enterprise Single Sign-On und Cloud Single Sign-On

Mit Enterprise-Single-Sign-On-Software ist es möglich, in lokalen Unternehmensnetzwerken genau diese Vereinfachung für Endnutzer und Erhöhung der Sicherheit zu erhalten. Die SSO-Software erfasst alle Anmeldefenster von Anwendungen und füllt die angeforderten Anmeldeinformationen (Benutzername und Kennwort) automatisch aus. Der Endnutzer muss sich nur einmal einloggen und zwar mit dem üblichen Login-Vorgang auf der Workstation bzw. im Windows-Anmeldebildschirm.Cloud Single Sign-On bietet darüber hinaus SSO für alle freigegebenen Cloud-Anwendungen im Unternehmen über ein Web-Portal. Im Dashboard kann der User nach einmaliger Anmeldung bequem auf alle Cloud-Anwendungen zugreifen, ohne erneut seine Login-Daten eintragen zu müssen. Dies funktioniert natürlich auch von außerhalb des Unternehmens, wobei hier verschiedene Access Policies den Zugriff auf sensible Daten von außen trotzdem einschränken können. Diese Zugangsrichtlinien können einfach im Web-Portal von der IT-Abteilung definiert und die Zugriffe so stets auditfähig kontrolliert werden.Mehr zu SSO

Authentication Management

Single Sign-On wird in großen Organisationen oft mit Authentifizierungsmethoden kombiniert. Durch die Verwendung eines Tokens wie z.B.

  • SMS
  • PIN-Code
  • Security-Tokens (YubiKey)
  • Push-to-Verify
  • Authenticator-Apps (z.B. Windows-Authenticator)

wird der Anmeldevorgang zusätzlich vereinfacht. Gleichzeitig wird dies durch die Zwei-Faktor-Authentifizierung sicherer gemacht.

Praxisbeispiel: Der Mitarbeiter erhält über sein Smartphone eine Push-Benachrichtigung. Diese bestätigt er und der Mitarbeiter ist in seinem Dashboard z.B. HelloID angemeldet. Dort kann er dank SSO alle seine Anwendungen öffnen, ohne sich erneut anmelden zu müssen.

Identity as a Service

Identity as a Service ist die cloudbasierte Lösung von Identity- und Access Management. Dieser Cloud-Service regelt das Zugriffsmanagement der Mitarbeiter, die durch das unterstützende Single Sign-On (SSO)-Verfahren auf ihre Anwendungen zugreifen können.IDaaS dient als Authentifizierung-Infrastruktur und wird von einem Service Provider gehostet. Die Authentifizierung erfolgt über einen Login mit Benutzername und Passwort. Durch eine Zwei-Faktor-Authentifizierung bzw. Multi-Faktor Authentifizierung verhindern Sie zusätzliche Sicherheitslücken.Unternehmen gehen oftmals den Weg des IT-Outsourcings und ordern Identity as a Service als Managed Service. So wird Identity- und Access Management On-Prem oder in der Cloud durch sogenannte Managed Services Provider (MSP) gehostet.Diese IT-Dienstleister greifen per Fernzugriff auf die IT-Infrastruktur eines Unternehmens und können somit die IT-Abteilungen bzw. Help-Desks entlasten. Die interne IT kann sich dadurch den Kernaufgaben widmen und ihre Innovationen vorantreiben.In unserem Portfolio bieten wir HelloID, unser cloudbasiertes Access Management. Es ist eine Software as a Service-Lösung (SaaS), die Identity as a Service (IDaaS) mit einer Single-Sign-On-Funktion (SSO) bietet.

Stellen Sie uns gerne ihre Fragen!

Sie suchen nach einer geeigeneten und sicheren Software-Lösung für Ihr Unternehmen? Sie benötigen weitere Informationen? Individuell? Persönlich?

Schreiben Sie uns. Wir setzen uns schnellstmöglich mit Ihnen in Kontakt.

Tools4ever Informatik GmbH
Hauptstraße 145-147
51465 Bergisch Gladbach
Deutschland

Phone: +49 2202 2859-0

Email: [email protected]