Definition: einmalige Authentifizierung für verschiedene Services

Was ist Single Sign-on?

| Autor / Redakteur: Stefan Luber / Florian Karlstetter

Single Sign-on - Zugriff auf mehrere Services mit einer einzigen Anmeldung.
Single Sign-on - Zugriff auf mehrere Services mit einer einzigen Anmeldung. (Bild: gemeinfrei (geralt / pixabay))

Single Sign-on bezeichnet eine Verfahren, mit dem sich Anwender mit einem einzigen Authentifizierungsverfahren bei mehreren Services anmelden. Die Anmeldedaten sind nur einmalig anzugeben, um Zugriff auf verschiedene Anwendungen, Ressourcen oder Services zu erhalten.

Der Begriff Single Sign-on bedeutet im Deutschen Einmalanmeldung. Oft wird Single Sign-on mit SSO abgekürzt. Die Einmalanmeldung ist ein Verfahren, das einem Anwender nach einer einmaligen Anmeldung den Zugang zu verschiedenen Services, Ressourcen oder Applikationen erlaubt. Die Daten zur Authentifizierung sind ein einziges Mal einzugeben. Einzelne Anmeldevorgänge bei den verschiedenen Services mit unterschiedlichen Zugangsdaten sind nicht mehr notwendig.

Der Single Sign-on benötigt eine Instanz, die die Identität des Anwenders authentifiziert und gegenüber den anderen Services bestätigt. Die durch die SSO-Instanz geprüfte Identität ist bei allen am SSO-Verfahren beteiligten Services gültig. Der Single Sign-on verhindert, dass User eine Vielzahl verschiedener Kennungen und Passwörter benötigen, um die gewünschten Services oder Anwendungen zu nutzen. Dies reduziert den Aufwand für die Verwaltung der Userkennungen und verkürzt den Anmeldeprozess. Es existieren zahlreiche unterschiedliche technische Lösungen den Single Sign-on zu realisieren.

Im Internet ist es üblich, dem User nach erfolgreicher Authentifizierung durch die SSO-Instanz einen digitalen Schlüssel in Form eines Tokens oder Cookies zuzuweisen. Dieser fungiert gegenüber den anderen Services als digitaler Ausweis und gestattet den Zugang ohne erneute Anmeldung. Ein typischer Anwendungsbereich für den Single Sign-on ist die Authentifizierung von Mitarbeitern im Unternehmensnetzwerk. Der User meldet sich an seinem Arbeitsplatz nur einmal an und kann anschließend auf alle benötigten Netzwerkressourcen, Anwendungen und Unternehmensportale zugreifen. Auch im Webumfeld gewinnt der SSO mehr und mehr an Bedeutung. Es existieren zahlreiche Anbieter, die Anwendern SSO-Services zur Verfügung stellen und die Authentifizierung gegenüber anderen Webservices übernehmen.

Das Gegenstück zum Single Sign-on ist der Single Sign-out. Er sorgt dafür, dass der Anwender durch die einmalige Abmeldung bei allen weiteren SSO-Services abgemeldet wird. Der Single Sign-out kann vom Anwender ausgelöst werden oder wird automatisch nach einer bestimmten Zeit der Inaktivität ausgeführt. Dies verhindert, dass User im Hintergrund bei Services angemeldet bleiben, obwohl sie diese nicht mehr nutzen. Offene Sitzungen sind anfällig für Angriffe und unbefugte Zugriffe.

Abgrenzung zwischen Single Sign-on (SSO) und Same User Same Password (SUSP)

Auch beim Same User Same Password-Verfahren (SUSP-Verfahren) verwendet der User für verschiedene Services die gleichen Anmeldedaten. Das Verfahren unterscheidet sich jedoch grundlegend vom Single Sign-on. Während beim Single Sign-on die Anmeldedaten nur einmalig einzugeben sind und der User anschließend durch das SSO-Verfahren bei allen Services angemeldet ist, muss beim SUSP die Anmeldung für jeden Service einzeln durchgeführt werden. Lediglich die Userkennungen und Passwörter sind für alle Anmeldungen identisch.

Die Vorteile des Single Sign-ons

Der Single Sign-on bietet eine Vielzahl an Vorteilen. Da der Anmeldevorgang nur einmalig durchzuführen ist, spart der Anwender Zeit. Er muss sich lediglich ein Passwort für verschiedene Services merken und hat weniger Aufwand bei der Verwaltung der Anmeldedaten. Dies erhöht die Sicherheit, da ein einziges komplexes und sicheres Passwort anstatt vielen einfachen, unsicheren Passwörtern gewählt werden kann. Ist das Zugriffsrecht auf die Systeme für einen Anwender zu bearbeiten oder muss der Account gesperrt werden, ist lediglich ein Userkonto zu bearbeiten. Fehler und zeitraubende Arbeiten an mehreren Identitäten in unterschiedlichen Datenbanken lassen sich vermeiden.

Der Single Sign-on präsentiert sich gegenüber dem User mit einer immer gleichen, einheitlichen Anmeldeoberfläche. Das Risiko, Opfer einer Phishing-Attacke zu werden, reduziert sich, da sich der User weniger leicht dazu verleiten lässt, die Anmeldedaten auf einem betrügerischen System einzugeben. Die Echtheit der SSO-Anmeldeoberfläche ist einfacher zu prüfen, da immer die gleiche URL oder das gleiche SSL-Zertifikat zum Einsatz kommen.

Die Nachteile des Single Sign-ons

Die einmalige Anmeldung bei einer SSO-Instanz birgt auch Risiken und bringt Nachteile mit sich. Erhält ein Unbefugter Zugriff auf die Anmeldedaten des Users, erhält er nicht nur Zugang zu einem, sondern zu vielen verschiedenen Systemen und Services. Für die Anmeldedaten und das Passwort sind daher strenge Richtlinien hinsichtlich Komplexität und vertraulichem Umgang einzuhalten.

Die SSO-Instanz bildet einen Single Point of Failure. Steht der SSO-Service nicht zur Verfügung, ist die Anmeldung an vielen Systemen nicht mehr möglich. Die Verfügbarkeit der einzelnen Services ist direkt von der Verfügbarkeit des SSO-Systems abhängig. Wichtig ist es zudem, beim Single Sign-in Mechanismen für den Single Sign-out vorzusehen. Offene Sitzungen können eine Sicherheitslücke darstellen. Single Sign-on birgt das Risiko, dass SSO-Anbieter die Aktivitäten und genutzten Services der Anwender mitverfolgen und für bestimmte Zwecke auswerten. Unter Umständen werden Vorgaben des Datenschutzes und der DSGVO verletzt, an die ein außereuropäischer SSO-Anbieter sich nicht gebunden fühlt. Ein weiterer Nachteil ist, dass eine Sperrung eines Users, beispielsweise durch mehrfache Falscheingabe des Passworts, automatisch zur Sperrung bei allen verbundenen Services führt. Der Anwender kann sich bis zur Aufhebung der Sperre bei keinem Service anmelden.

Verschiedene Single Sign-on-Verfahren

Grundsätzlich lassen sich die Single Sign-on-Verfahren in drei verschiedene Kategorien einteilen. Diese sind:

  • Single Sign-on über eine Portallösung
  • Single Sign-on über ein Ticketing-System
  • Single Sign-on über eine lokale Lösung

Beim Single Sign-on über eine Portallösung meldet sich der Anwender an einem zentralen Portal an. Nach der Authentifizierung erhält der User Zugriff auf weitere über das Portal verbundene Services. Die Anmeldung bei Google ist ein Beispiel für eine solche Lösung. Nach der Anmeldung mit den Google-Benutzerdaten können Services wie Google Mail, Google Docs, Google Kalender oder Googele Play genutzt werden.

Ticketing-Systeme arbeiten mit digitalen, virtuellen Tickets. Ist der Anwender bei einem am Ticketing-System teilnehmenden Service angemeldet, identifiziert ihn das Ticket automatisch gegenüber allen anderen Services. Beispiel für ein solches System ist der Authentifizierungsdienst Kerberos.

Eine lokale SSO-Lösung hinterlegt die Zugangsdaten für die verschiedenen Services an einem zentralen Ort. Dies sind verschlüsselte Dateien auf einem Rechner, Informationen in einer Chipkarte oder verschlüsselte Daten in einer Cloud. Ein Beispiel hierfür ist die Nutzung eines Passwortmanagers, der alle Anmeldedaten verschlüsselt speichert. Der Anwender benötigt nur ein einziges Masterpasswort. Anschließend übernimmt der Passwortmanager das Ausfüllen der Anmeldeseite einer besuchten Internetseite. Streng genommen handelt es sich bei einem Passwortmanager nur mit Einschränkungen um eine SSO-Lösung, da weiterhin verschiedene Anmeldedaten und Anmeldevorgänge notwendig sind.

Protokolle und Standards zur Realisierung des Single Sign-ons

Protokolle und Standards, die zur Realisierung des Single Sign-ons zum Einsatz kommen, sind beispielsweise:

  • Security Assertion Markup Language (SAML)
  • OpenID
  • OAuth2
Was ist ein Cloud Access Security Broker?

Definition: CASB

Was ist ein Cloud Access Security Broker?

26.09.17 - Beim Cloud Access Security Broker (CASB) handelt es sich um einen Service, der als Wächterinstanz zwischen Anwender und Cloud-Service fungiert. Er sorgt für den sicheren Zugriff auf die verschiedenen Dienste. Der CASB kann eine eigenständige Anwendung oder selbst ein Cloud-Service sein. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

10 Cloud-Speicher im Vergleich – Teil 1

Wer ist der günstigste? Wer ist der sicherste?

10 Cloud-Speicher im Vergleich – Teil 1

Beim Ablegen privater oder unternehmensrelevanter Daten in der Cloud geht es vorrangig um den Preis; darüber hinaus stellt sich die Frage nach der Sicherheit der Daten. Außerdem spielt bei der Wahl des Anbieters auch eine Rolle, welche weiteren Features die jeweilige Plattform offeriert. Wir untersuchen das Angebot der fünf wichtigsten Cloud-Anbieter mit Servern ausschließlich in Deutschland. lesen

Der digitale Arbeitsplatz und der Mitarbeiter im Fokus

Digital Employee Experience

Der digitale Arbeitsplatz und der Mitarbeiter im Fokus

Ein erfolgreiches Unternehmen kann nur dann gut funktionieren, wenn die Mitarbeiter mitmachen. In vielen Unternehmen spielt daher die Konzeption und Ausstattung eines modernen Arbeitsplatzes eine gewichtige Rolle: Digital sollte er sein, dazu Freiheit bei der Geräteauswahl, einfachen Zugang zu Apps und die Möglichkeit des ortsunabhängigen Arbeitens bieten. Was eine solche „Digital Employee Experience“ für den Arbeitgeber und den weiteren Geschäftserfolg bedeutet, hat Vanson Bourne in einer Studie untersucht. lesen

Microsoft und Oracle verbinden Clouds

One-Stop-Shopping für alle Cloud-Services und -Anwendungen

Microsoft und Oracle verbinden Clouds

Microsoft Azure und Oracle Cloud rücken näher zusammen – per direkter Verbindung sowie einheitlichem Identity- und Access Management. Nutzer sollen ihre Anwendungen damit nach Belieben auf beiden Plattformen verteilen. lesen

Citrix thematisiert SSO und Schatten-IT

Vier von zehn Computernutzern arbeiten ohne Cloud

Citrix thematisiert SSO und Schatten-IT

Wie nutzen Arbeitnehmer Cloud-Dienste? Das wollte der Unified-Workspace-Anbieter Citrix wissen und ist zu ambivalenten Zahlen gelangt. Verbesserungspotential sieht der Hersteller aber auf jeden Fall. lesen

Hyperscaler und Service Provider in friedlicher Koexistenz?

Hosting & Service Provider Summit 2019

Hyperscaler und Service Provider in friedlicher Koexistenz?

Am 23. und 24. Mai 2019 treffen sich führende Top-Manager auf dem 8. Hosting & Service Provider Summit in der Villa Kennedy in Frankfurt am Main, um sich über das Cloud- und Managed-Services-Geschäft auszutauschen. Als Keynote-Speaker mit dabei ist auch Dr. Jörg Gottschlich, Geschäftsführer von meshcloud und Experte in Sachen Multi-Cloud-Management. lesen

Low-Coding mit K8s-Support und KI-Anbindung

Mendix-Integration mit IBM Cloud Services

Low-Coding mit K8s-Support und KI-Anbindung

Die Low-Code-Lösung Mendix soll sich dank einer neu konzipierten nativen Cloud-Architektur besser in die IBM Cloud integrieren. Der Zugriff auf die Watson KI-Services stand dabei ebenso im Fokus wie der Support von Kubernetes. lesen

Azure Files – Verwaltete Freigaben in der Cloud

SMB-Zugriffe auf Dateifreigaben in Microsoft Azure

Azure Files – Verwaltete Freigaben in der Cloud

Mit Azure Files lassen sich Dateifreigaben in Microsoft Azure erstellen, auf die Anwender oder auch andere Ressourcen mit SMB zugreifen können. Azure Files benötigt keine virtuellen Server in der Cloud, sondern ist vollständig verwaltet. Die Daten lassen sich in lokale Rechenzentren synchronisieren. lesen

Die besten Verschlüsselungs-Tools für Daten in der Cloud

Zusatztools zur Cloud-Verschlüsselung

Die besten Verschlüsselungs-Tools für Daten in der Cloud

Um Daten sicher in der Cloud zu speichern, sollte man sie vor dem Upload am besten veschlüsseln. Das macht den mobilen Zugriff auf die Daten zwar schwerer, sorgt aber für deutlich mehr Sicherheit. Wir zeigen die besten Tools um Daten in der Cloud zu verschlüsseln und vor unberechtigtem Zugriff zu schützen. lesen

Drei Eckpfeiler für eine gelungene Cloud-Strategie

Transformationsprozess erfolgreich meistern

Drei Eckpfeiler für eine gelungene Cloud-Strategie

Wir befinden uns mitten in einem unumkehrbaren Transformationsprozess: immer mehr IT-Kapazitäten verlagern sich in die Cloud, sodass wir davon ausgehen können, dass diese Form des Computing bald zur alleinigen Norm werden wird. Allerdings müssen Unternehmen aufpassen, dass sie nicht von den Entwicklungen überrollt werden. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45752858 / Definitionen)