Tierney - stock.adobe.com
Single Sign-On für ein komplexes Arbeitsumfeld umsetzen
Single Sign-On ist bestechend einfach. Damit Unternehmen sicherheitstechnisch keine Risiken eingehen, ist jedoch eine Strategie nötig, die auch für Remote-Work-Modelle funktioniert.
Kurz einen Tweet abgesetzt, auf ein Posting reagiert, E-Books in der Online-Bücherei zurückgegeben, mit Freunden gechattet, die neuesten Nachrichten im Schulportal des Nachwuchses gelesen, online den Kontostand gecheckt und im Webshop eingekauft – im Laufe eines Tages bewegen sich die meisten Menschen viele Male und auf vielfältigen Pfaden durchs Netz.
Laut einer Statistik von Web.de haben 41 Prozent der Internetnutzer mehr als 15 passwortgeschützte Accounts bei diversen Onlinediensten. Nicht nur im privaten Bereich wird es immer schwieriger, sich die vielen Benutzernamen und Passwörter zu merken. Hinzu kommen die Zugangsdaten, die man im beruflichen Kontext benötigt.
Da überrascht es nicht, dass allen Sicherheitsschulungen zum Trotz immer noch über die Hälfte der Internetnutzer das gleiche Passwort für mehrere Konten verwendet oder sich mit leicht zu merkenden, aber extrem schwachen Passwörtern behilft, wie dem allseits bekannten „QWERT“ oder „12345“.
Um das leidige Thema mit unsicheren oder mehrfach verwendeten Passwörtern endlich hinter sich zu lassen, setzen immer mehr Unternehmen auf Single-Sign-On-Lösungen (SSO) als sichere Alternative: Die Mitarbeiter melden sich mit einem einzigen Sicherheitstoken an ihrem Arbeitsplatz an und haben damit einfach und unproblematisch Zugriff auf alle Anwendungen und Services im Unternehmen.
Wie funktioniert Single Sign-On?
Dank SSO müssen Nutzer nicht länger mit unterschiedlichen Zugangsdaten jonglieren, sondern übergeben diese Aufgabe an eine vorgelagerte Software. Die Authentifizierung erfolgt über einen zentralen Identitätsprovider (IdP) beziehungsweise Authentizitätsserver. Wenn sich ein Nutzer zum ersten Mal anmeldet, werden der Benutzername und das Passwort zur Verifizierung an den Identitätsprovider weitergeleitet.
Der Authentifizierungsserver gleicht die Anmeldedaten mit dem Verzeichnis ab, in dem die Nutzerdaten hinterlegt sind und startet automatisch eine SSO-Session im Browser des Benutzers. Wenn der User den Zugriff auf eine Anwendung innerhalb einer vertrauten Gruppe anfordert, fragt der Serviceprovider nicht nach einem Passwort, sondern fordert den Identitätsprovider auf, die Identität des Benutzers zu authentifizieren.
Eine neue Generation: Federated Single Sign-On
Wenn alle Mitarbeiter im Büro arbeiten, ist SSO recht unkompliziert, da sich sämtliche Anwendungen in der gleichen Domäne befinden. In einem Arbeitsumfeld jedoch, in dem sich die Belegschaft teilweise von zu Hause oder von unterwegs aus einwählt und sowohl lokale wie auch Cloud- oder SaaS- basierte Anwendungen unter einen Hut gebracht werden müssen, ist eine neue Generation von SSO-Lösungen erforderlich: Das föderierte SSO (Federated SSO) ermöglicht den sicheren Zugriff auf eine vertrauenswürdige Gruppe von Anwendungen oder Service-Providern, selbst wenn diese Ressourcen Dritten gehören oder sich außerhalb der Firewall befinden.
Dazu muss die IAM-Lösung Identitätsstandards wie beispielsweise SAML, OAuth und OpenID Connect unterstützen. Statt Benutzernamen und Passwörter zu speichern und weiterzuleiten, werden signierte Aussagen oder Token verwendet. So bleiben Web- und Mobilanwendungen sowie die zugehörigen APIs geschützt. Um verschiedene Identitätstypen effektiv zusammenzuführen, implementieren vor allem größere Unternehmen einen Identity Federation Hub als eine Art Knotenpunkt, um alle Benutzeridentitäten an einer zentralen Stelle zu verbinden.
„Dadurch, dass sich die Benutzer nur ein einziges starkes Passwort merken müssen, wird die Zahl der Passwort-Angriffsvektoren minimiert und die Wahrscheinlichkeit von Datenlecks sinkt.“
Thomas Schneider, Ping Identity
Beispiele für Single Sign-On
Durch den unkomplizierten Zugang verbessert SSO die Benutzererfahrung für Kunden und Mitarbeiter und reduziert zugleich unproduktive Mehrfachanmeldungen oder Helpdesk-Anfragen aufgrund vergessener Passwörter. Dabei gibt es vielfältige Einsatzmöglichkeiten für SSO:
- Ein Mitarbeiter meldet sich morgens mit seiner E-Mail-Adresse und seinem Passwort bei seinem Firmen-E-Mail-Konto an. Für den Rest des Tages kann er ohne eine erneute Eingabe eines Passworts auf alle seine Anwendungen zugreifen: Instant Messaging, Intranet, Vertriebsdaten, IT-Helpdesk und Arbeitszeitnachweis.
- Ein Bankkunde meldet sich bei seiner Bank an, um seinen Kontostand einzusehen. Im Anschluss daran wechselt er nahtlos zum Hypothekenantrag, prüft seine Bonität und informiert den Kundenservice über eine anstehende Reise. Am Backend ist jeder dieser Dienste eine eigene Anwendung, aber der Kunde muss nie ein weiteres Passwort angeben.
- Ein Einzelhändler arbeitet mit einem umfangreichen Netzwerk von Lieferketten- und Vertriebspartnern. Diese Partner erhalten nach einer einmaligen Anmeldung beim Anwendungsdock von dieser zentralen Stelle direkten Zugang zu allen Anwendungen und Diensten, die der Einzelhändler für ihre Nutzung freigeschaltet hat – ohne weitere Anmeldevorgänge.
Wie sicher ist Single Sign-On?
Dadurch, dass sich die Benutzer nur ein einziges starkes Passwort merken müssen, wird die Zahl der Passwort-Angriffsvektoren minimiert und die Wahrscheinlichkeit von Datenlecks sinkt. Hinzu kommt, dass SSO auch über mobile Geräte einen sicheren Zugriff gewährt, was gerade beim Trend zu BYOD (Bring Your Own Device) ein wichtiger Punkt ist: Denn durch die verschlüsselten Token, die bei Federated SSO zur Authentifizierung verwendet werden, müssen die Anmeldedaten nicht mehr direkt auf dem Gerät gespeichert werden. Bei einem Diebstahl fallen somit mit dem Gerät nicht zugleich auch die Anmeldedaten in die falschen Hände.
Was einem jedoch klar sein muss: Bei SSO genügt eine einzige Kombination, um Zugriff auf alle Apps und Dienste zu erlangen. Sobald ein Hacker diese in die Finger bekommt, sind ihm Tür und Tor geöffnet. Ganz ausschließen lässt sich auch bei der denkbar besten Sicherheitstechnologie nicht, dass ein Passwort kompromittiert wird.
Trotzdem ist es einfacher und sicherer, ein einziges starkes Passwort abzusichern, als viele unterschiedliche Zugangsdaten zu verwalten. Mit Hilfe von Multifaktor-Authentifizierung lässt sich die Sicherheit zusätzlich erhöhen, da die Identität dabei durch mindestens zwei Nachweisfaktoren aus unterschiedlichen Kategorien verifiziert wird. Erweiterte Lösungen sind außerdem in der Lage, durch künstliche Intelligenz das Risikoniveau eines bestimmten Benutzers oder seiner Aktionen zu bewerten und die Sicherheitsstufe für den Zugang entsprechend anzupassen. Für Hacker gilt dann einmal mehr: „Du kommst hier nicht rein!“
Über den Autor:
Thomas Schneider leitet den Vertrieb DACH & EMEA South bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.