Artikel

Wie funktioniert Single Sign-on (SSO)?

Access ManagementSecurity
Lesezeit: 14 min

Was ist Single Sign-on?

Single Sign-on, manchmal auch als SSO bezeichnet, ist eine Art der Authentifizierung, die es Benutzern ermöglicht, mit denselben Anmeldedaten (z. B. Benutzername und Kennwort) auf mehrere Apps, Websites oder Dienste zuzugreifen. Im Gegensatz zu anderen Arten der Zugriffskontrolle steht Single Sign-on kleinen, mittleren und großen Unternehmen gleichermaßen zur Verfügung. Der Vorteil ist, dass sich Benutzer nicht mehrfach anmelden oder viele Passwörter merken müssen.

Wie Single Sign-on funktioniert

Single Sign-on basiert auf einer föderierten Identitätsverwaltung (manchmal auch als Federated Identity bezeichnet) zwischen mehreren vertrauenswürdigen Domains. Indem ein Unternehmen festlegt, welche Domains als vertrauenswürdig gelten, kann es seinen Nutzern ermöglichen, sich auf diesen Domains mit den gleichen Zugriffsdaten anzumelden. Vertrauenswürdige Domains werden von lokalen Systemen zur Authentifizierung von Benutzern verwendet.

Single Sign-on nutzt offene Standards wie Security Assertion Markup Language (SAML), OAuth oder OpenID, um Zugangsdaten von Drittanbietern verwenden zu können, ohne dass dabei Passwörter offengelegt werden. Die Identitätsdaten werden in Form von Tokens weitergegeben, die Informationen über die Benutzer enthalten, wie ihre E-Mail-Adresse oder ihren Benutzernamen.

Im Folgenden finden Sie eine Zusammenfassung des Single Sign-on-Ablaufs:

  1. Der Benutzer öffnet die Website oder App. Wenn er nicht angemeldet ist, wird ihm eine Anmeldeaufforderung mit einer Single Sign-on-Option angezeigt.
  2. Nun müssen Anmeldedaten (z. B. Benutzername und Passwort) in das Anmeldeformular eingegeben werden.
  3. Die Website oder App erzeugt nun ein Single Sign-on-Token und sendet eine Authentifizierungsanfrage an das Single Sign-on-System.
  4. Das Single Sign-on-System überprüft die vertrauenswürdige Domain, um festzustellen, ob der Benutzer authentifiziert wurde.
  5. Wenn der Benutzer nicht authentifiziert wurde, wird er an ein Anmeldesystem weitergeleitet, um sich mit seinen Anmeldedaten zu authentifizieren.
  6. Wenn der Benutzer authentifiziert wurde, wird ein Token an die Website oder App zurückgegeben, um die erfolgreiche Authentifizierung zu bestätigen und dem Benutzer Zugang zu geben.

Wenn ein Benutzer falsche Anmeldedaten eingibt, wird er aufgefordert, sie erneut einzugeben. Mehrere Fehlversuche führen in der Regel dazu, dass der Benutzer für eine bestimmte Zeit gesperrt oder nach zu vielen Versuchen ganz gesperrt wird.

Was ist ein Single Sign-on-Token?

Ein Single Sign-on-Token ist eine digitale Datei, die verwendet wird, um beim Single Sign-on Daten oder Informationen zwischen Systemen weiterzugeben. Es enthält benutzeridentifizierende Informationen, wie einen Benutzernamen oder eine E-Mail-Adresse, und Informationen über das System, das das Token sendet.

Um sicherzustellen, dass die Token aus einer vertrauenswürdigen Quelle stammen, müssen sie digital signiert werden. Während der anfänglichen Single Sign-on-Konfiguration wird das digitale Zertifikat weitergegeben.

Vorteile von Single Sign-on

  • Zentralisiert den Zugriff auf Websites, Apps und andere Konten, einschließlich User Provisioning und Stilllegung von Accounts.
  • Erhöht die Produktivität durch einfacheren Zugang zu Ressourcen.
  • Erhöht die Akzeptanz von Apps, die das Unternehmen nutzen möchte, indem sie leichter zugänglich gemacht werden.
  • Erleichtert die Überprüfung des Benutzerzugriffs durch eine effektive Zugriffskontrolle für alle zugriffsbezogenen Daten.
  • Erspart es Benutzern, sichere Passwörter für mehrere Konten wählen zu müssen.
  • Unterstützt Unternehmen bei der Einhaltung von Datensicherheitsvorschriften.
  • Erhöht die Sicherheit durch die Minimierung der Anzahl von Passwörtern pro Benutzer.
  • Ermöglicht einen sicheren Zugang zu Apps und Websites.
  • Ermöglicht es Apps, andere Dienste zur Authentifizierung der Benutzer zu nutzen.
  • Minimiert das Risiko von schwachen Passwörtern.
  • Verhindert Schatten-IT, da IT-Administratoren die Überwachung von Benutzeraktivitäten auf Arbeitsplatzservern verbessern können
  • Bietet ein besseres Kundenerlebnis.
  • Senkt die Kosten, da der IT-Helpdesk weniger oft wegen Passwortproblemen kontaktiert werden muss.
  • Entfernt Anmeldedaten von Servern oder aus Netzwerkspeichern, um Cyberrisiken zu verringern.
  • Erhöht die Passwortsicherheit.

Ist Single-Sign-on sicher?

Single Sign-on ist deshalb so weit verbreitet, weil es den Zugriff vereinfacht und vermeidet, dass sich Benutzer und Administratoren unzählige Passwörter merken müssen – insbesondere in Unternehmen mit hunderten oder tausenden Apps. Insgesamt erhöht es die Passwortsicherheit, weil weniger Passwörter verwaltet werden müssen und der Zugriff leichter geprüft werden kann. Single Sign-on birgt jedoch auch Risiken.

Unternehmen, die Single Sign-on implementieren, müssen Maßnahmen ergreifen, um diese Risiken minimieren, da der Diebstahl der Single-Sign-on-Zugangsdaten unberechtigten Zugang zu mehreren Apps und Prozessen geben kann. Zu den häufig genannten Sicherheitsbedenken in Bezug auf Single Sign-on gehören:

  • Konto-Hijacking
  • Datenverletzungen, die zu Datenlecks, Datenverlusten und finanziellen Verlusten führen können
  • Identitätsdiebstahl
  • Session-Hijacking

Zwei effektive Sicherheitsmaßnahmen, die neben Single Sign-on implementiert werden können, um vor Betrug zu schützen, sind Identity Governance und die Multi-Faktor-Authentifizierung.

Identity Governance

Identity Governance ist eine richtlinienbasierte Maßnahme, die Administratoren hilft, den Single Sign-on-Zugriff besser zu verwalten und zu kontrollieren. Identity Governance gibt Administratoren einen Überblick darüber, welche Mitarbeiter Zugriff auf welche Systeme und Daten haben, und ermöglicht es, schwache Anmeldedaten, unbefugte Zugriffe und Richtlinienverstöße zu erkennen.

Administratoren verwenden Tools zur Identitätsverwaltung, um verschiedene Zugriffsebenen zu ändern, zu widerrufen oder zu entfernen, wenn der Verdacht (oder der Beweis) besteht, dass die Single-Sign-on-Anmeldedaten eines Benutzers kompromittiert worden sind.

Multi-Faktor-Authentifizierung (MFA)

Die Kombination von Multi-Faktor- oder Zwei-Faktor-Authentifizierung (2FA) mit Single Sign-on trägt dazu bei, dass vertrauenswürdige Domains sicher bleiben. Dies liegt daran, dass für den Zugriff eine zusätzliche Identitätsüberprüfung erforderlich ist, die über Single Sign-on hinausgeht. Die Multi-Faktor-Authentifizierung kann für alle durch Single Sign-on verknüpften Konten genutzt werden, um maximalen Schutz zu bieten.

Arten von SSO

Enterprise Single Sign-on

Enterprise Single Sign-on wird manchmal auch als E-SSO bezeichnet und in UAI-Umgebungen (Unternehmensanwendungsintegration) implementiert. Mit Enterprise Single Sign-on können Benutzer mit denselben Anmeldedaten auf alle Apps zugreifen – unabhängig davon, ob sie vor Ort oder in der Cloud gehostet werden.

Mit Enterprise Single Sign-on beschaffen sich Administratoren bei der ersten Anmeldung die Anmeldedaten von Benutzern und verwenden diese automatisch, um nachfolgende Anmeldungen bei anderen Apps und Systemen zu authentifizieren. Durch die Zentralisierung von Benutzernamen und Passwörtern erspart Enterprise Single Sign-on Administratoren die zeitaufwändigen Aufgaben der Benutzernamen- und Passwortverwaltung. Abhängig von den Kontrollen, die von Administratoren festgelegt werden, erhalten Benutzer für eine bestimmte Zeitspanne ohne Unterstützung durch den Administrator Zugriff auf Apps.

Föderiertes Single Sign-on

Föderiertes Single Sign-on nutzt branchenübliche SSO-Protokolle, um Benutzern Zugriff auf Websites ohne Authentifizierungsbarrieren zu geben. Es erweitert das Standard-Single Sign-On, indem es mehrere Gruppen unter einem zentralen Authentifizierungssystem vereint. Föderiertes Single Sign-on kann verwendet werden, um Zugriff auf mehrere Systeme innerhalb eines Unternehmens oder in verschiedenen Unternehmen zu ermöglichen.

Mobiles Single Sign-on

Mobiles Single Sign-on kann einer einzigen Identität Zugriff auf mehrere verbundene mobile Apps geben. Zugriffstoken werden im Schlüsselbund des Betriebssystems eines mobilen Geräts gespeichert, wodurch aktive Sitzungen erkannt werden.

Single Sign-on mit Smartcard

Anstatt sich auf digitale Token und Software zu verlassen, nutzt Single Sign-on mit Smartcard eine physische Karte zur Benutzerauthentifizierung. Bei der einmaligen Anmeldung mit einer Smartcard muss der Benutzer die auf der Karte gespeicherten Anmeldedaten für seine erste Anmeldung verwenden. Um Informationen von der Karte abzurufen, ist ein Lesegerät erforderlich, und die Karten müssen entweder über einen Magnetstreifen oder eine kontaktlose Methode zur Datenübertragung verfügen.

Web Single Sign-on

Mit Web Single Sign-on können Benutzer nach einer einzigen Anmeldung auf mehrere verbundene Websites zugreifen. Sobald sich ein Benutzer bei einem Objekt angemeldet hat, kann er zwischen den Objekten wechseln und wird dabei erkannt, authentifiziert and als vertrauenswürdig eingestuft.

Web Single-Sign-on wird häufig für Apps verwendet, auf die von Websites aus zugegriffen wird. Es gibt zwei Methoden für die Einrichtung von Web Single-Sign-on.

  • Single Sign-on wird innerhalb der Web-App oder der Agenten in geschützten Apps verwaltet. Eine große Herausforderung dieser Methode ist, dass die Apps für den Single Sign-On-Agenten geändert werden müssen und die App vom Webbrowser des Benutzers aus sichtbar sein muss.
  • Single Sign-on nutzt einen Reverse-Proxy zur Verwaltung der Authentifizierungsdaten in der App, damit Single Sign-on-Prozesse unabhängig von Webservern ablaufen können. In diesem Fall fungiert der Reverse-Proxy als Vermittler, der den Zugriff verwaltet und das Single Sign-on ermöglicht.

Protokolle, die bei SSO eingesetzt werden

Single Sign-on validiert und authentifiziert die Anmeldedaten der Nutzer mithilfe verschiedener offener Standards und Protokolle, darunter die folgenden:

JSON Web-Token (JWT)

JSON Web-Token (JWT) ist ein Single-Sign-on-Protokoll, das in Apps für Verbraucher weit verbreitet ist. Dieser offene Standard (RFC 7519) wird verwendet, um Daten für Single Sign-On auf sichere Weise als JSON-Objekte zu übertragen.

Kerberos

Kerberos ist ein ticketbasiertes Authentifizierungssystem, mit dem mehrere Unternehmen ihre Identität verifizieren und verschlüsseln können, um unbefugten Zugriff auf die Identifikationsdaten zu verhindern. Bei der Verwendung von Kerberos wird nach der Überprüfung der Anmeldedaten ein Ticket ausgestellt, das zum Abrufen von Service-Tickets für andere Apps verwendet wird, auf die die authentifizierten Nutzer zugreifen müssen.

Open Authorization (OAuth)

Mit OAuth, oder Open Authorization, können Apps auf Benutzerdaten von anderen Websites zugreifen, ohne ein Passwort anzugeben. OAuth wird anstelle von Passwörtern verwendet, um den Zugriff auf passwortgeschützte Daten zu ermöglichen. Statt Passwörter abzufragen, nutzen Apps OAuth, um die Erlaubnis der Nutzer für den Zugriff auf passwortgeschützte Daten zu erhalten.

OpenID Connect (OIDC)

OpenID Connect (OIDC) ist eine von der OpenID Foundation standardisierte Authentifizierungsmethode, die auf dem OAuth 2.0-Framework basiert und einen dezentralen Single Sign-on-Ansatz bietet. Mit OIDC authentifiziert die Website oder App die Anmeldedaten der Nutzer. Anstatt ein Token an einen dritten Identitätsanbieter weiterzugeben, fordert OpenID Connect die Website oder App auf, zusätzliche Informationen zur Authentifizierung der Nutzer anzufordern.

Security Assertion Markup Language (SAML)

SAML (Security Assertion Markup Language) ist ein Protokoll, mit dem Websites und Apps Anmeldeinformationen mit einem Single-Sign-on-Dienst über XML austauschen. Mit SAML können sich Nutzer einmal in einem Netzwerk anmelden, bevor sie Zugang zu allen Apps in diesem Netzwerk erhalten.

Mit SAML-basierten Single-Sign-on-Diensten müssen Apps keine Anmeldedaten im System speichern, was sie flexibler und sicherer macht als andere Optionen. Sie lösen auch Probleme, die IT-Administratoren haben könnten, wenn sie Single Sign-on mit dem Lightweight Directory Access Protocol (LDAP) implementieren.

Anwendungsfälle für Single Sign-on

Single Sign-on mit Multi-Faktor-Authentifizierung

Die Kombination aus Single Sign-on und Multi-Faktor-Authentifizierung vereinfacht die Authentifizierung. Diese Kombination sorgt für mehr Sicherheit, vereinfacht den Zugriff auf Apps und Websites und reduziert die Zeit, die Administratoren für die Bereitstellung und Kontrolle des Zugriffs aufwenden müssen.

Single Sign-on und LDAP

Die Single-Sign-on-Funktion von LDAP wird häufig zum Speichern von Benutzerdaten verwendet und kann zur Verwaltung von LDAP-Datenbanken in mehreren Apps eingesetzt werden.

Single Sign-On für Remote-Teams

Die weit verbreitete Akzeptanz von Fernarbeit weitete die Nutzung von Single Sign-on auf fast alle IT-Ressourcen aus. Single Sign-on ist weit verbreitet, weil es über andere Identitäts- und Zugangsverwaltungssysteme hinausgeht. Es bietet einen betriebssystem- und plattformunabhängigen, protokollgesteuerten, cloudbasierten Ansatz für die Authentifizierung und Autorisierung des Zugriffs.

Auswahl der richtigen Single Sign-on-Lösung

Die Überlegungen bei der Auswahl einer Single Sign-on-Lösung variieren je nach Unternehmen und Anwendungsfall. Im Folgenden finden Sie einige Grundlagen, die Sie bei der Bewertung berücksichtigen sollten.

Allgemeine Schritte zum Finden und Umsetzen einer Single Sign-on Lösung:

Legen Sie Ziele für die Implementierung von Single Sign-on fest.

Bestimmen Sie Benutzer und Anforderungen.

Beurteilen Sie bestehende Fähigkeiten und identifizieren Sie Lücken.

Definieren Sie die Zugangskontrolle und andere Anforderungen.

Vergewissern Sie sich, dass die IT-Architektur des Unternehmens Single Sign-on unterstützt und nehmen Sie Anpassungen vor, um Mängel zu beheben.

Erstellen Sie eine Liste von Lösungen, die die Hauptkriterien erfüllen.

Bewertung Sie die Optionen, um die optimale Lösung zu ermitteln.

Arbeiten Sie mit IT- und Sicherheitsteams zusammen, um sicherzustellen, dass die Implementierung des Single-Sign-ons sowohl den Benutzer- als auch den IT-Anforderungen entspricht.

Folgende Fragen können bei der Vorbereitung helfen:

Organisatorische Überlegungen

  • Deckt die Single Sign-on-Lösung die Anwendungsfälle des Unternehmens ab?
  • Unterstützt die Lösung IT-Ressourcen, die Single Sign-on erfordern (z. B. Apps, Geräte, Netzwerke)?
  • Ist dies eine geeignete kurzfristige Single-Sign-on-Lösung, die die IT-Abteilung nicht über die Maßen belastet?
  • Kann die Single-Sign-On-Lösung skaliert werden, um die prognostizierten Anforderungen zu erfüllen?
  • Passt die Single Sign-on-Lösung zu anderen Sicherheitssystemen?

Entscheidung für weitere mögliche Funktionen, die die Single Sign-on Lösung mitbringen soll

  • Authentifizierungsoptionen, wie Unterstützung der Multi-Faktor-Authentifizierung, adaptive Authentifizierung, automatische Zwangsauthentifizierung und über das Lightweight Directory Access Protocol (LDAP)
  • Verhaltensanalyse und Reaktion, wie Blacklisting oder Whitelisting von Internetprotokoll (IP)-Adressen, Einstellung von Reaktionen zur Abwehr von Brute-Force-Angriffen und Vorkehrungen für die erneute Authentifizierung von Benutzern
  • Einhaltung von Sicherheitsstandards wie ISO 27017, ISO 27018, ISO 27001, SOC 2 Typ 2 und Gesetzen (z. B. die Datenschutzgrundverordnung (DSGVO) oder den California Consumer Privacy Act (CCPA))
  • Föderationsfunktionen für die Bereitstellung von bevorzugten Identitätsanbietern, wie Microsoft Active Directory und Google Directory
  • Flexible Validierungsoptionen für Passwörter, wie anpassbare Ablauffristen für Passwörter, Passwortkomplexität und Ablaufbenachrichtigungen
  • Mobilfähige Single-Sign-On-Funktionen für die sofortige Unterstützung von mobilen Geräten
  • Fertige, benutzerdefinierte Verbindungen mit Security Assertion Markup Language (SAML)-Apps
  • Authentifizierung mit offenen Standardprotokollen, wie JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) und SAML
  • Unterstützung für Entwickler, zum Beispiel einer angemessenen Application Programming Interface (API) für das Lebenszyklusmanagement und Software Development Kits (SDKs) für die wichtigsten Plattformen

Single Sign-on vereinfacht die Authentifizierung für Benutzer und Administratoren

Single Sign-on ist eine Technologie, die Arbeitsabläufe optimiert und die Produktivität von Benutzern und Administratoren erhöht. Mit seinen vielfältigen Einsatzmöglichkeiten eignet sich Single Sign-on für nahezu jeden Anwendungsfall. Single Sign-on beseitigt die Probleme und Schwachstellen, die mit einer Vielzahl von Passwörtern verbunden sind, und ist daher als ein beliebtes Tool für die IT-Sicherheit.

Das könnte Sie auch interessieren:

Was ist eine Federated Identity?

Was ist eine Federated Identity?

Erfahren Sie, was Federated Identity bedeutet und welchen Beitrag sie für die Identitätssicherheit in Unternehmen leisten kann.

Mehr erfahren
Was ist Identity and Access Management (IAM)?

Was ist Identity and Access Management (IAM)?

Was ist Identity and Access Management (IAM)? Erfahren Sie alles über IAM, einschließlich Definitionen, Prinzipien und Best Practices.

Mehr erfahren
Was ist Multi-Faktor-Authentifizierung (MFA)?

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi Faktor Authentifizierung als Ihre erste Abwehrlinie: Erfahren Sie, wie MFA die Sicherheit erhöht und wie Sie sie am besten einführen.

Mehr erfahren

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt