Was ist SSO (Single Sign-On)?

SSO (Single Sign-On) ist ein Authentifizierungsverfahren, das Benutzern mit nur einer Anmeldung zentralisierten Zugriff auf mehrere Anwendungen ermöglicht. Unternehmen nutzen SSO üblicherweise, um den Zugriff auf eine Vielzahl an lokalen, Cloud- und Webanwendungen zu vereinfachen. Die IT erhält zudem mehr Kontrolle über den Benutzerzugriff, es kommt zu weniger Support-Anrufen aufgrund vergessener Passwörter, und Sicherheit und Compliance werden gefördert.

Warum Single Sign-On?

Heute werden Anwendungen in Rechenzentren, in Clouds oder per SaaS-Modell bereitgestellt. In jeder Unternehmensanwendung müssen sich Benutzer erst authentifizieren, bevor sie Zugriff auf eine Ressource erhalten. Vor der Einführung von SSO mussten sich Benutzer jedes Mal mit verschiedenen Anmeldedaten einloggen, wenn sie zu einer anderen Anwendung wechseln wollten. Die meisten Anwendungen erforderten eigene Anmeldedaten. Das Ergebnis: niedriger Benutzerkomfort, fehlgeschlagene Anmeldungen aufgrund vergessener Anmeldedaten, uneinheitliche Zugriffskontrollen und höhere Kosten, damit diese Anwendungen überhaupt unterstützt werden konnten.

SSO hat den Zugriff auf Anwendungen vereinfacht. Bei SSO können Benutzer schnell mit nur einer Anmeldung auf all Ihre VDI, lokalen, Web- und SaaS-Anwendungen sowie andere Unternehmensressourcen wie Netzwerkdateifreigaben zugreifen.

Wie funktioniert Single Sign-On?

Single Sign-On ist Teil des Federated Identity Management (FIM), eine Absprache zwischen Unternehmen, um Nutzer mit denselben Anmeldedaten auf das Netzwerk eines jeden Unternehmens zugreifen zu lassen. FIM wird oft als Identitätsföderation bezeichnet.

Die Identität des Nutzers ist in mehreren abgesicherten Domänen verknüpft, wobei jede über ihr eigenes Identitätsmanagement verfügt. Sind die Domänen föderiert, muss sich der Benutzer nur in einer Domäne authentifizieren, um ohne erneute Anmeldung auf alle anderen zugreifen zu können.

Das Framework, über das Dritte wie LinkedIn oder Facebook ihre Nutzer ohne Passworteingabe anmelden können, heißt OAuth. Es dient als Zwischenstelle, die dem Service ein Token ausstellt, durch das nur bestimmte Kontodaten weitergegeben werden können. Greift ein Benutzer auf eine Anwendung zu, sendet der Service eine Authentifizierungsanfrage an den Identity Provider, der die Anfrage verifiziert und den Zugriff gewährt.

Es gibt weitere Authentifizierungsprotokolle wie Kerberos oder SAML (Security Assertion Markup Language). Kerberos-basierte SSO-Services stellen ein Authentifizierungsticket mit Zeitstempel oder ein „Ticket-Granting Ticket“ (TGT) aus, das Servicetickets anderer Anwendungen abruft, ohne den Benutzer zu einer erneuten Anmeldung aufzufordern. SAML-basierte SSO-Services tauschen Anmeldedaten über sichere Domänen hinweg aus und verwalten die Kommunikation zwischen dem Benutzer, einem Identity Provider mit einem Benutzerverzeichnis und einem Service Provider.

Welche Vorteile bietet Single Sign-On?

Sowohl Benutzer als auch die IT profitieren von SSO. Für den Benutzer fallen weniger Passwörter an und er kann einfacher und schneller auf Anwendungen zugreifen.

Die IT profitiert von weniger Supportfällen aufgrund vergessener Passwörter. Darüber hinaus entfällt durch das automatisierte Management von Anmeldedaten das manuelle Verwalten des Mitarbeiterzugriffs auf Anwendungen und Services. SSO ermöglicht außerdem schnellere Bereitstellungen und Rollouts von SaaS-Anwendungen.

Hinsichtlich der Sicherheit reduziert SSO das Risiko von Cyberangriffen wie Phishing, da weniger Anmeldedaten gestohlen werden können. Auf Multi-Faktor-Authentifizierung als Rückfallmethode ist jedoch nicht zu verzichten, sollten Passwörter doch einmal kompromittiert werden.   

Best Practices für Single Sign-On

Bei der Entscheidung für eine SSO-Lösung sollten folgende Best Practices berücksichtigt werden.

  1. Zugriff auf jede Anwendung. Einige SSO-Lösungen unterstützen nur bestimmte Anwendungstypen. Einige Lösungen für Anwendungen im eigenen Rechenzentrum ermöglichen auch SSO für Web- und Unternehmensanwendungen, jedoch nicht für VDI- oder SaaS-Anwendungen. Andererseits stellen einige IDaaS-Anbieter SSO für Cloud- und SaaS-Anwendungen, jedoch nicht für Anwendungen im eigenen Rechenzentrum zur Verfügung. Bei der Wahl einer SSO-Lösung sollten Sie vor allem darauf achten, dass sie nicht nur Zugriff auf alle VDI-, Unternehmens-, Web- und SaaS-Anwendungen bietet, sondern auch Netzwerkzugriff auf andere Unternehmensressourcen wie Netzlaufwerke.
  2. Sichere Anwenderidentität beim Zugriff auf SaaS-Anwendungen. SaaS-Anwendungen werden außerhalb des eigenen Rechenzentrums gehostet. Um SSO für diese Anwendungen bereitzustellen, erfordern viele Anbieter, dass Kunden ihr Nutzerverzeichnis in die Cloud verlagern. Für viele Unternehmen stellt das ein Sicherheitsrisiko dar, weshalb bei Ihrer Lösung das Benutzerverzeichnis im eigenen Rechenzentrum verbleiben können sollte.
  3. Integration von Multi-Faktor-Authentifizierung. Es ist besonders wichtig, Anwender schnell und zuverlässig zu identifizieren, sodass sie Zugriff auf Unternehmensressourcen haben. Unternehmenskunden sollten deshalb keine Lösung verwenden, die lediglich einen Benutzernamen und ein Passwort für die Anmeldung nutzt. Eine effiziente Lösung bietet Flexibilität und identifiziert Anwender anhand bestimmter Faktoren wie z. B. Endgerät, Standort und Ziel-Anwendung. Daher ist es wichtig, eine SSO-Lösung auszuwählen, die jedes beliebige Authentifizierungsverfahren und Authentifizierungsprotokolle wie RADIUS, Kerberos, Microsoft NTLM oder Certificate Services unterstützt.
  4. Tools für Monitoring und Fehlerbehebung. Für eine schnelle Problemlösung sollte Ihre SSO-Lösung Tools zur Überwachung der Performance aller Anwendungen umfassen, egal ob diese lokal, in der Cloud oder als SaaS bereitgestellt werden.

Weitere Ressourcen