Single Sign-On - (SSO)

Fachbegriffe einfach erklärt.

Was bedeutet Single Sign-On?

Single Sign-On, zu deutsch etwa "Einmal-Anmeldung", ist ein Authentifizierungsprozess, welcher einen Benutzer autorisiert, auf alle Dienste zuzugreifen, die an das SSO-System angeschlossen sind, anstatt sich für jeden Dienst separat anmelden zu müssen.

Die Anmeldung gilt so lange, bis der Benutzer einen Single Sign-Out (gleichzeitiges Abmelden von allen angeschlossenen Diensten) anstößt oder eine festgelegte Zeitspanne abgelaufen ist.

  • Authentifizierung bedeutet "Echtheitsprüfung". In einem Authentifizierungsverfahren (z. B. über Eingabe eines Passworts) kann sich eine Person identifizieren.

  • Es gibt bereits Dienste, die diese Authentifizierungsverfahren anbieten: Authentication as a Service (AaaS)

  • In Unternehmen werden Authentifizierungsdienste im Rahmen eines zentralen Identitätsmanagements organisiert.

  • Der Authentifizierungsdienst (Identity Provider) tritt als dritte vermittelnde Instanz neben einen IT Dienst und den Nutzer des IT-Dienstes

  • Der Identity Provider stellt eine "Assertion" aus, die der Nutzer dem Dienst vorzeigt. Assertions sind sozusagen "Versicherungen", dass der Nutzer diese Identität besitzt.

  • Mehrstufige Authentifizierung / Multi-Faktor-Authentifizierung (MFA): Mehr als nur Nutzername und Passwort werden zur Authentifizierung abgefragt, z. B. PIN, TAN, Geburtsort der Mutter, biometrische oder geographische Daten des Benutzers, etc. oder ein physisches Gerät (Dongle) muss bei der Anmeldung verwendet werden.

(Quelle: https://de.wikipedia.org/wiki/Authentifizierung)

Welche Single Sign-On Methoden gibt es?

Portallösung: Die Anmeldung und Authentifizierung findet in einem Portal statt, an welchem mehrere Dienste angeschlossen sind. Der Benutzer bekommt z. B. ein Cookie, das ihn innerhalb des Portals eindeutig ausweist und ihn die Webanwendungen nutzen lässt. Beispiel: Google Suite

Ticketing System: In einem Netz aus vertrauenswürdigen Diensten erhält ein Anwender eine gemeinsame Identifikation, die die Dienste gegenseitig austauschen. Das nennt man auch “Circle of trust”, also “Kreis des Vertrauens”.

Lokale Lösung: Der Benutzer installiert sich einen Client, der Anmeldemasken mit den zuvor “gelernten” Anmeldedaten ausfüllt. Beispiele sind browserinterne Passwort-Manager oder Dienste wie Lastpass.

Welche Vor- und Nachteile hat Single Sign-On?

Dienste wie Google, Facebook, Twitter etc. bieten SSO an. "Mit Facebook anmelden" bietet einem Anwender die Möglichkeit, sich über den Social Media Dienst zu authentifizieren. Für Endanwender bietet dies hohen Komfort, denn SSO ersetzt eine große Zahl an Passwörtern, die sich Benutzer merken müssten. Als Portallösung kann man mit einem Google Account sämtliche (kostenfreien) Dienste von Google nutzen, z. B. Maps, Gmail, Calendar, etc.

Für Unternehmen sowie deren Mitarbeiter ergeben sich bei Nutzung verschiedenster Dienste wie Cloud-Systemen, SaaS oder anderen Webanwendungen durch ein SSO-System gewisse Vorteile:

  • Zeitersparnis und Bedienkomfort durch einmalige Anmeldung des Benutzers

  • Sicherheit durch nur noch ein Passwort: Das Passwort muss nur einmal und nur an einer Stelle übertragen werden. Das vermindert Man-in-the-middle-Angriffspunkte. Benutzer müssen sich nicht mehr viele, ggf. unsichere Passwörter merken, sondern nur noch eines, welches dann auch komplexer ausfallen kann.

  • Weniger Help-Desk-Anfragen bzgl. Passwort-Resets

  • Skalierbarkeit durch Zugangskontrolle: Der Administrator kann Dienste an das SSO-System anschließen, Zugänge für einzelne Mitarbeiter gewähren oder begrenzen und nach Austritt eines Mitarbeiters den Zugang zu allen angeschlossenen Systemen auf einmal entziehen. Hierbei muss die SSO-Strategie jedoch auch Identitäts- und Berechtigungsmanagement mit einschließen.

Allerdings bringt eine SSO-Lösung auch Nachteile bzw. Gefahren mit sich:

  • Wenn es keine Single Sign-Out-Lösung gibt, bleibt der Zugang offen, bis die festgelegte Zeitspanne abgelaufen ist. Wenn der Mitarbeiter sich von seinem Arbeitsplatz entfernt, haben theoretisch Dritte die Möglichkeit, diesen Zugang zu allen angeschlossenen Systemen zu nutzen.

  • Bei Diebstahl der SSO-Identität ermöglicht dies den Zugriff auf mehrere Systeme statt nur auf eines.

  • Zum Schutz vor Missbrauch oder Hacker-Angriffen nutzen manche SSO-Lösungen Multi-Faktor-Authentifizierung (MFA), bei der mehr Authentifizierungsmerkmale übermittelt werden müssen, als nur Benutzername und Passwort. Sofern eine MFA angewendet wird, mindert das den vorher als Vorteil genannten Bedienkomfort.

Identitätsmanagement ist die Verwaltung von Benutzerdaten, die einzelnen Personen zugeordnet sind.

Eine Person kann nur eine physische Identität haben, aber mehrere (virtuelle) Identitäten besitzen, z. B.:

  • Identität in Onlineshop: Name, Adresse, Bankdaten, Bestellhistorie

  • Identität in Forum: Pseudonym, Anzahl der Beiträge, Profil

Beispiele aus der Offlinewelt:

  • Führerschein

  • Personalausweis

  • Kundenkarten

  • Bankkonto

Eine Identität kann gewöhnlich nur einer Person zugewiesen sein, wobei Identität die Gesamtheit personenbezogener Attribute, die diese Person individualisiert, bedeutet.

Im Unternehmen können verschiedene Accounts (E-Mail, Betriebssystem, Arbeitstools etc.) einer Person konsolidiert werden. Auch können Berechtigungen verwaltet werden. Hierzu bedarf es einer Schnittstelle zwischen Identity Management und Access Management, dem Identity and Access Management (IAM, IdAM)

(Quelle: https://de.wikipedia.org/wiki/Identit%C3%A4tsmanagement)

  • Überwindet Mechanismen von Sicherungen gegen Unbefugte.

  • Erfolgt nach vorheriger, erfolgreicher Authentifizierung.

  • Erlaubnis, Einräumung von Rechten, Gewährung von Zugriffen auf Ressourcen

(Quelle: https://de.wikipedia.org/wiki/Autorisierung)

Single Sign-On mit OpenID

OpenID ist ein dezentrales Authentifizierungssystem für webbasierte Dienste. EIn Benutzer erstellt sich bei einem OpenID-Provider einen Benutzernamen und Kennwort (seine OpenID). Mithilfe der OpenID (Identifier, URL-basiert) kann sich die Person ohne Angabe der Nutzerdaten anmelden, wenn es sich um Relying Parties (unterstützende Webseiten) handelt.

Dezentralität bedeutet hierbei, dass jeder OpenID-Provider werden und OpenID-Identitäten bereitstellen kann. Die Open-Source-Software kann auf einem eigenen Server installiert werden.

URL-basiert bedeutet, dass die OpenID z. B. als Subdomain (benutzername.example.com) oder als Pfad (example.com/benutzername) übertragen wird.

Facebook bietet an, dass Facebook-Nutzer sich mit OpenIDs beliebiger Provider authentifizieren.

Neben OpenID gibt es noch weitere Systeme wie Shibboleth (basiert auf SAML) oder Kerberos.

SAML steht für “Security Assertion Markup Language” und ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungs-Informationen. Durch SAML können sicherheitsbezogene Informationen beschrieben und übertragen werden.

(Quelle: https://de.wikipedia.org/wiki/Security_Assertion_Markup_Language)

Weiterer Bedienkomfort durch OAuth

OAuth ist ein offenes Protokoll, welches API-Autorisierung an Webanwendungen, Apps etc. erlaubt. Der Nutzer erteilt einem Dienst dabei die Erlaubnis, auf seine Daten zuzugreifen, welche bei einem anderen Dienst hinterlegt sind, ohne sensible Daten wie Passwörter übertragen zu müssen. Beispiele hierfür sind Abfragen bei Apps, ob diese auf Hardware (Kamera, Mikrofon, …) oder Daten (im Smartphone, auf andere Apps, …) zugreifen dürfen.

(Quelle: https://de.wikipedia.org/wiki/OAuth)

Weitere Quellen:

https://de.wikipedia.org/wiki/Assertion_(Informatik)

https://de.wikipedia.org/wiki/OpenID

https://de.wikipedia.org/wiki/Single_Sign-out

https://de.wikipedia.org/wiki/Single_Sign-on

https://www.computerwoche.de/a/wunderwaffe-sso,3545560

https://praxistipps.chip.de/was-ist-single-sign-on-einfach-erklaert_99624

Video:

Buchtipps

Single Sign-on mit SAP

Themen