Definition

Single Sign-On (SSO)

Single Sign-On (SSO) ist ein Sitzungs- und Benutzerauthentifizierungsdienst, der es einem Benutzer ermöglicht, einen Satz von Anmeldedaten – zum Beispiel einen Benutzernamen und ein Passwort - für den Zugriff auf mehrere Anwendungen zu verwenden. SSO kann von Unternehmen, kleinen und mittelständischen Organisationen und Einzelpersonen genutzt werden, um die Verwaltung mehrerer Anmeldeinformationen zu vereinfachen.

So funktioniert Single Sign-On

Single Sign-On ist ein föderiertes Identitätsmanagement. Die Verwendung eines solchen Systems wird manchmal als Identity Federation bezeichnet. Open Authorization (OAuth) ist der Standard, der es ermöglicht, dass die Kontoinformationen eines Endnutzers von Drittanbieterdiensten wie Facebook verwendet werden können, ohne dass das Passwort des Nutzers offengelegt wird.

OAuth fungiert als Vermittler im Auftrag des Endnutzers, indem es dem Dienst ein Zugriffstoken zur Verfügung stellt, das die Freigabe bestimmter Kontoinformationen erlaubt. Wenn ein Benutzer versucht, auf eine Anwendung des Dienstanbieters zuzugreifen, sendet der Dienstanbieter eine Anfrage zur Authentifizierung an den Identitätsanbieter. Der Dienstanbieter verifiziert dann die Authentifizierung und meldet den Benutzer an.

Single Sign-On
Abbildung 1: Mit Single Sign-on können sich Benutzer bei mehreren Anwendungen anmelden, ohne sich für jede ein Passwort merken zu müssen.

Bei einem grundlegenden Web-SSO-Dienst ruft ein Agentenmodul auf dem Anwendungsserver die spezifischen Authentifizierungsdaten für einen einzelnen Benutzer von einem speziellen SSO-Richtlinienserver ab und authentifiziert den Benutzer anhand eines Benutzer-Repositorys, zum Beispiel eines LDAP-Verzeichnisses (Lightweight Directory Access Protocol). Der Dienst authentifiziert den Endbenutzer für alle Anwendungen, für die der Benutzer Rechte erhalten hat, und macht künftige Passwortabfragen für einzelne Anwendungen während derselben Sitzung überflüssig.

Arten von SSO-Konfigurationen

Einige SSO-Dienste verwenden Protokolle wie Kerberos oder Security Assertion Markup Language (SAML):

Bei einer Kerberos-basierten Einrichtung wird nach der Eingabe der Benutzerdaten ein Ticket-gewährendes Ticket (TGT) ausgestellt. Das TGT holt Service-Tickets für andere Anwendungen, auf die der Benutzer zugreifen möchte, ohne den Benutzer zur erneuten Eingabe seiner Anmeldedaten aufzufordern.

SAML ist ein Standard der Extensible Markup Language, der den Austausch von Benutzerauthentifizierungs- und Autorisierungsdaten über sichere Domänen hinweg erleichtert. SAML-basierte SSO-Dienste umfassen die Kommunikation zwischen dem Benutzer, einem Identitätsanbieter, der ein Benutzerverzeichnis verwaltet, und einem Dienstanbieter.

Beim Smartcard-basierten SSO wird der Endbenutzer aufgefordert, für die erste Anmeldung eine Karte mit den Anmeldedaten zu verwenden. Sobald die Karte verwendet wird, muss der Benutzer weder Benutzernamen noch Passwörter erneut eingeben. SSO-Smartcards speichern entweder Zertifikate oder Passwörter.

SSO-Sicherheitsrisiken

Single Sign-On ist zwar für die Benutzer sehr praktisch, birgt aber auch Risiken für die Unternehmenssicherheit. Ein Angreifer, der die Kontrolle über die SSO-Anmeldedaten eines Benutzers erlangt, erhält Zugriff auf jede Anwendung, für die der Benutzer Rechte hat, was den potenziellen Schaden erhöht.

Um böswillige Zugriffe zu vermeiden, sollte SSO mit Identitätsmanagement gekoppelt werden. Unternehmen können auch Zwei-Faktor-Authentifizierung (2FA) oder Multifaktor-Authentifizierung mit SSO kombinieren, um die Sicherheit zu erhöhen.

Social SSO oder Social Login

Google, LinkedIn, Apple, Twitter und Facebook bieten beliebte SSO-Dienste an, mit denen sich Endbenutzer bei Anwendungen von Drittanbietern mit ihren Social-Media-Authentifizierungsdaten anmelden können. Obwohl Social Single Sign-On beziehungsweise Social Login für die Benutzer bequem ist, kann es Sicherheitsrisiken mit sich bringen, da es einen Single Point of Failure (SPoF) schafft, der von Angreifern ausgenutzt werden kann.

Viele Sicherheitsexperten empfehlen Endbenutzern, von der Nutzung Social-Login-Dienste abzusehen, da Angreifer, sobald sie die Kontrolle über die SSO-Anmeldedaten eines Benutzers erlangt haben, auf alle anderen Anwendungen zugreifen können, die dieselben Anmeldedaten verwenden.

SSO für Unternehmen

Enterprise-Single-Sign-On-Software (eSSO) und -Dienste sind Passwortanager mit Client- und Server-Komponenten, die einen Benutzer bei Zielanwendungen anmelden, indem sie die Anmeldedaten des Benutzers wiedergeben. Bei diesen Anmeldedaten handelt es sich fast immer um einen Benutzernamen und ein Passwort. Die Zielanwendungen müssen nicht geändert werden, um mit dem eSSO-System zu arbeiten.

Vor- und Nachteile von SSO

Zu den Vorteilen von SSO gehören die folgenden:

  • Die Anwender müssen sich weniger Passwörter und Benutzerkennungen für jede Anwendung merken und verwalten.
  • Der Prozess der Anmeldung und der Nutzung von Anwendungen wird vereinfacht - die erneute Eingabe von Passwörtern entfällt.
  • Die IT-Helpdesks werden wahrscheinlich weniger Anfragen oder Probleme mit Passwörtern haben.

Zu den Nachteilen von SSO gehören die folgenden:

  • Sie berücksichtigt nicht bestimmte Sicherheitsstufen, die für die Anmeldung bei einer Anwendung erforderlich sind.
  • Wenn die Verfügbarkeit nicht mehr gewährleistet ist, werden die Benutzer von allen mit SSO verbundenen Systemen ausgesperrt.
  • Wenn unbefugte Benutzer Zugang erhalten, könnten sie auf mehr als eine Anwendung zugreifen.
Diese Definition wurde zuletzt im Januar 2023 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)