OpenText-Startseite.
Technische Themen

Was ist Single Sign-On?

Überblick über Single Sign-On (SSO)

Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, mit einer einzigen Eingabe ihrer Anmeldedaten (Anspruch und Geheimnis) auf mehrere Ressourcen zuzugreifen. SSO ermöglicht diese Benutzererfahrung über verschiedene Systeme und Domänen hinweg. Um einen reibungslosen Zugang zu gewährleisten, muss sich SSO auf die verschiedenen Dienste und Ressourcen erstrecken, die in den von den Benutzern genutzten Rechenzentren und Plattformen vorhanden sind. Diese Plattformen können als IaaS, PaaS oder als Full-Service (SaaS) existieren, die ein Vertrauensmodell unterstützen können oder auch nicht.

Single Sign-On

Welche Rolle spielt SSO in einer Sicherheitsstruktur?

Sie können SSO durch verschiedene Technologien erreichen. Ein sichereres Konzept ist eine Implementierung, bei der die Benutzer nicht die Anmeldeinformationen der einzelnen Dienste kennen, die sie in Anspruch nehmen, sondern nur den Master. Da die Benutzer die einzelnen Anmeldeinformationen nicht kennen, besteht keine Gefahr, dass sie Ihr Authentifizierungszentrum umgehen oder sie über weniger sichere Plattformen weitergeben.

Unternehmen bieten SSO in der Regel über ein Vertrauensmodell an. Ein einziger Identitätsanbieter (IdP) ist entweder im Besitz der Anmeldedaten oder kontrolliert den Zugang zu ihnen. Bei diesem Modell verlässt sich jeder Dienst auf den IdP, um die Identität der zugreifenden Partei zu überprüfen. Dieser Ansatz schränkt zwar die Anzahl der Orte ein, an denen die Zugangsdaten gespeichert werden, aber die Benutzer kennen möglicherweise die authentischen Zugangsdaten für den Dienst nicht.

Jedes SSO-Design, das die Anmeldeinformationen mit jeder Anwendung oder jedem Dienst synchronisiert, ist die am wenigsten sichere Option und sollte, wenn überhaupt, nur selten verwendet werden. Im Hinblick auf die Sicherheit arbeiten Unternehmen daran, die Anzahl der Angriffsvektoren zu reduzieren, nicht sie zu erhöhen.

Als Bestandteil einer fortschrittlichen Authentifizierungsumgebung kann Single Sign-On mit der Multi-Faktor-Authentifizierung kombiniert werden, um die Überprüfung der Identität eines Benutzers zu verbessern und gleichzeitig Störungen zu minimieren. Dieser Ansatz hilft Unternehmen, die Benutzerfreundlichkeit und Sicherheit zu maximieren, insbesondere in Verbindung mit passiven passwortlosen Methoden. Auch wenn einige passive Authentifizierungsarten schwächer sind als andere, können Sie sie mit zusätzlichen Verifizierungsmetriken für verschiedene digitale Ressourcen verwenden. Im Rahmen der Planung von Risikodiensten können die Sicherheitsteams ihre Ressourcen in Sensibilitätskategorien einteilen und entsprechende Authentifizierungsstärken zuweisen.

Wie SSO funktioniert

Modernes SSO stützt sich auf föderierte Identitätsprotokolle, wie z.B.:

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Diese Standards ermöglichen eine vertrauenswürdige Kommunikation zwischen einem Identitätsanbieter (IdP), der den Benutzer authentifiziert, und Dienstanbietern (SPs), die den Zugriff auf Anwendungen kontrollieren. Nach der Authentifizierung erhalten die Benutzer ein Token, das in allen Diensten wiederverwendet werden kann, ohne dass die Anmeldedaten erneut eingegeben werden müssen.

SSO-Initiativen fallen oft unter die Kategorie der Verzeichnis-Server-Authentifizierung: Jeder Dienst verwendet dieselben Anmeldeinformationen aus einem einzigen Verzeichnis, wie z.B. Active Directory, oder Umgebungen geben das Authentifizierungs-Token an konfigurierte Anwendungen weiter. Teams können Credential Injection und andere Technologien verwenden, um SSO bereitzustellen. Modernes SSO in Unternehmen verwendet fast immer Föderationsstandards wie SAML oder OpenID Connect (OIDC) mit einem Identitätsanbieter (IdP). Credential Injection/Sync gilt allgemein als weniger sicher und weniger modern. Weithin akzeptierte Föderationsprotokolle (SAML, OIDC) sind die wichtigsten Mechanismen für SSO und gelten als Industriestandards. Unabhängig vom Ansatz muss jede Lösung auch einen Mechanismus für die einmalige Abmeldung enthalten.

SSO in einer hybriden IT-Welt

Die Unternehmen von heute arbeiten mit lokalen Systemen, SaaS-Anwendungen, IaaS-Plattformen und mehr. Effektives SSO muss diese Umgebungen mit föderierter Identität, Cloud-nativer Bereitstellung und Verzeichnisintegration überbrücken und dabei sowohl ältere als auch moderne Protokolle unterstützen.

Vorteile von SSO

  • Verbessertes Benutzererlebnis
    Melden Sie sich einmal an und greifen Sie auf alle autorisierten Anwendungen zu. Das steigert die Produktivität und verringert die Passwortmüdigkeit.
  • Verbesserte Sicherheitsposition
    In Kombination mit Multi-Faktor-Authentifizierung (MFA) und kontextbezogener Risikoanalyse reduziert SSO die Angriffsfläche und zentralisiert die Kontrolle.
  • Stärkere Einhaltung und Sichtbarkeit
    Die zentrale Identitätskontrolle ermöglicht eine bessere Protokollierung, Prüfung und Durchsetzung von Richtlinien - der Schlüssel zur Einhaltung von Datenschutz- und Cybersicherheitsvorschriften.
  • Geringerer IT-Aufwand
    Weniger Helpdesk-Tickets für das Zurücksetzen von Passwörtern und optimierte Onboarding/Offboarding-Workflows.

Wie trägt SSO zur Verbesserung interner Prozesse bei?

Der häufigste Grund für IT-Sicherheitsteams, das Single Sign-On ihrer Benutzer zu erweitern, ist, schnell und einfach sicheren Zugriff auf Informationen zu bieten. Wenn Unternehmen diesen Komfort für ihre geschützten Daten nutzen, erzielen sie eine höhere Effizienz und Produktivität. SSO ermöglicht es Benutzern, sich nur einmal für die verschiedenen Anwendungen und anderen digitalen Ressourcen zu authentifizieren, auf die sie im Laufe des Tages zugreifen. Abgesehen von der Zufriedenheit der Benutzer verringert SSO die Ermüdung der Passwörter, ein grundlegendes Element zur Förderung der Anmeldehygiene. Weitere Vorteile sind messbare Effizienz und Produktivität. Es verringert die Zugangshindernisse, die manchmal die Ursache für das Zögern bei der Erledigung eines Geschäftsvorgangs sind. Dies gilt vor allem für Berufstätige, die an entfernten Standorten oder nach Feierabend tätig sind, da sie aufgrund ihres Standorts oft mit höheren Sicherheitsanforderungen konfrontiert sind. Die Bequemlichkeit des einfachen Zugriffs verringert die Reibungsverluste bei Geschäftsprozessen, die über mobile Geräte abgewickelt werden, und ermöglicht es, dass diese schnell vonstatten gehen, während jemand unterwegs ist oder außerhalb der regulären Arbeitszeiten arbeitet.

Wie hilft SSO den Unternehmen im Wettbewerb?

Das Engagement der Verbraucher reicht von der einfachen Personalisierung bis hin zu hochriskanten Transaktionen. Diese Verbraucherplattformen nutzen häufig Verhaltensdaten, um Interessen zu erkennen und nach Hinweisen zu suchen, die die Identität des Nutzers bestätigen. Die Verbraucher erwarten, dass die Marken, denen sie vertrauen, sie gut genug kennen, um ihnen interessante Informationen zu bieten und ihnen die Möglichkeit zu geben, so viele Geschäfte wie möglich über mobile Geräte abzuwickeln. Hier kommt das Single Sign-On ins Spiel.

Die heutige mobile und Online-Erfahrung erfordert eine robuste Plattform, die von mehreren Backend-Systemen unterstützt wird, um die immer anspruchsvollere Erfahrung zu bieten, die die Verbraucher erwarten. In der Regel dulden sie es nicht, dass ihre Identität mehrfach auf einem Smartphone überprüft wird. Es ist zwar üblich, dass mobile Anwendungen verschiedene Backend-Systeme nutzen, aber sie sind nicht Teil der Benutzererfahrung.

Über den einfachen Zugang hinaus spielt SSO eine Rolle beim tieferen und anspruchsvolleren Fernzugriff. Die Möglichkeit für Ihre Kunden, mit Ihren Produkten und Dienstleistungen mehr zu erreichen, ist nach wie vor ein Schlachtfeld im Wettbewerb der mobilen Apps. Im Zuge der Entwicklung der digitalen Wirtschaft werden über mobile Anwendungen immer mehr geschäftliche Interaktionen abgewickelt, darunter auch riskantere. Ein wirksames Mittel, um sich von der Konkurrenz abzuheben, ist das Anbieten aussagekräftigerer Dienstleistungen als die der Konkurrenz. Aber es stellt auch mehr Anforderungen an Ihre Authentifizierungsinfrastruktur. Die Bequemlichkeit von SSO ist wichtig, aber auch eine Identitätsüberprüfung, die dem Risiko für das Unternehmen entspricht. Je mehr ein Unternehmen das kontextbezogene Risiko einer Zugriffsanfrage messen kann, desto größer ist die Bandbreite des mobilen Zugriffs auf private und sensible Informationen. Fragen Sie sich selbst:

  • Befindet sich der Nutzer am erwarteten Ort (GSM, Geolokalisierung, Netz)?
  • Wird das Gerät erkannt?
  • Spiegelt die Art der Anfragen das frühere Verhalten wider?
  • Wie hoch ist das Risiko der Daten selbst?

Auf der Grundlage dieser Risikokennzahlen kann SSO in Verbindung mit fortschrittlichen Authentifizierungsarten arbeiten, um die Identitätsüberprüfung auf das jeweilige Risiko abzustimmen und bei Bedarf eine Multi-Faktor-Authentifizierung einzusetzen:

  • Bieten Sie mehrere passwortlose Authentifizierungsoptionen an, z. B. Fingerabdruck, Gesichtserkennung, Spracherkennung, Out-of-Band-Push, Einmalpasswort usw.
  • Unterbrechen Sie den Verbraucher nur bei Bedarf mit einer Überprüfungsanfrage.
  • Verwenden Sie eine oder mehrere Authentifizierungsarten, um die erforderliche Überprüfungsstärke zu erreichen.

Die einmalige Anmeldung bietet den Verbrauchern zwar Bequemlichkeit, aber auch ein Gleichgewicht zwischen Bequemlichkeit und Sicherheit, wenn sie mit anderen Authentifizierungsmethoden verwendet wird.

Was sind die häufigsten Fehler bei der Implementierung von SSO?

Sowohl die IT-Abteilung als auch die Fachabteilungen sollten den wachsenden Wert von Single Sign-On als eine sich beschleunigende Kurve betrachten. Je mehr Anmeldedaten ein Benutzer hat, desto schwieriger ist es, sich diese zu merken. Wenn das Unternehmen die Anzahl der Berechtigungsnachweise reduziert, ist es wahrscheinlicher, dass die Benutzer ein vernünftiges Berechtigungsmanagement betreiben.

Die gleiche aggressive Wertkurve wird durch Bequemlichkeit bestimmt. Je weniger Sie die Nutzer unterbrechen, desto produktiver (Arbeitnehmer oder Auftragnehmer) und zufriedener (Verbraucher) sind sie. Im Idealfall gibt es einen ersten Fingerabdruck, eine Gesichtserkennung oder einen anderen Anspruch beim Eintritt in die Anwendung oder beim Start einer Sitzung und nichts weiter. Unabhängig davon, wie viele Dienste oder Ressourcen die Nutzer in Anspruch nehmen, werden sie nicht von ihren Aufgaben abgehalten. Je mehr die Anwendung oder der Webdienst den Benutzer mit einer Authentifizierungsaufforderung unterbricht, desto weniger zufriedenstellend und kontraproduktiv ist sie. Aus diesen Gründen sind technische Entscheidungen oder Implementierungen, die kein SSO für häufig genutzte Ressourcen ermöglichen, am schädlichsten.

Beschränkung der Authentifizierung auf Active Directory (AD)

Obwohl AD (und auch Azure AD) zum primären Identitätsanbieter geworden ist, verfügen die meisten Unternehmen über wichtige Ressourcen, die darüber hinausgehen. Während jüngere oder kleinere Unternehmen vielleicht feststellen, dass AD zusammen mit Microsoft Federation-Lösungen ausreicht, um Single Sign-On zu ermöglichen, sind die meisten von ihnen heterogener.

Ausschließlich auf Vertrauensmodelltechnologien angewiesen

SAML und OIDC haben sich weitgehend durchgesetzt. Komplizierte Umgebungen sind jedoch in der Regel nicht in der Lage, eine vollständige Abdeckung zu gewährleisten. Überraschenderweise unterstützen eine Reihe von SaaS-basierten Diensten entweder keine Föderation oder verlangen mehr dafür, als Unternehmen bereit sind zu zahlen. Umgekehrt füllen Record/Play-Technologien oder ein zentral verwaltetes Access Gateway die Lücken der Single Sign-On-Abdeckung.

Missverständnis der Authentifizierungserfahrung Ihrer Benutzer

Oft kennen IT-Organisationen nicht die unterschiedlichen Persönlichkeiten der Benutzer, die während der Woche zugreifen. Ohne ein klares Bild können sie keine Prioritäten setzen, welche Ressourcen ihrer Single Sign-On-Infrastruktur hinzugefügt werden sollen. Außerdem werden Dienste, die von Abteilungen oder Geschäftsbereichen genutzt werden, in der Regel nicht in die SSO-Planung einbezogen.

Der OpenText SSO-Vorteil

OpenText™ Identitäts- und Zugriffsmanagement (IAM) bietet sichere, standardbasierte SSO mit:

  • Integrierte Unterstützung für SAML, OAuth und OIDC.
  • Integration mit Active Directory, LDAP und Cloud-Identitätsquellen.
  • Passwortlose und adaptive Authentifizierung.
  • Föderiertes Vertrauen über B2B- und B2C-Ökosysteme hinweg.
  • Kompatibilität mit modernen Zero Trust-Architekturen.

OpenText Access Manager, OpenText Core Identity Foundation und OpenText Advanced Authentication arbeiten zusammen, um eine einheitliche, flexible Zugriffskontrolle zu ermöglichen - für jeden Benutzer, jedes Gerät und jede Umgebung.

Wie bietet OpenText SSO an?

OpenText IAM bietet fünf verschiedene Ansätze zur Bereitstellung von SSO:

OpenText Access Manager

OpenText Access Manager nutzt eine Vielzahl von Technologien, um SSO für jedes Intranet oder jeden Cloud-basierten Dienst bereitzustellen. Unabhängig von der Schnittstelle, die Ihre Anwendungen haben oder nicht haben, erhalten Ihre Benutzer (Mitarbeiter, Kunden usw.) schnellen und bequemen Zugriff. Gleichzeitig bietet Ihnen der OpenText Access Manager volle Zugriffskontrolle unter Verwendung Ihrer aktuellen Prozesse.
 
Neben den Vorteilen von SSO bietet der OpenText Access Manager über einfache Einrichtungssymbole im Miniportal einen Ein-Klick-Zugang zu Webanwendungen. Das integrierte Miniportal von OpenText Access Manager ist nicht als Ersatz für ein bereits vorhandenes Portal gedacht, sondern eher als Option für diejenigen, die noch keins haben. Das Portal ist für Administratoren leicht einzuschalten, zu konfigurieren und zu pflegen und für jeden Benutzer intuitiv zu bedienen. Die Schnellzugriffsoberfläche von OpenText Access Manager verbessert das Single Sign-On-Erlebnis.

OpenText Access Manager bietet Ihrem Unternehmen drei Optionen für die Implementierung von Single Sign-On (SSO) für alle Ihre Cloud- und Intranet-basierten Anwendungen:

  • Access Gateway - das ultimative Zugangsmanagement für die Zugangskontrolle und die Bereitstellung von Single Sign-On. Access Gateway ist der beste Weg, um eine nahtlose Benutzererfahrung über mehrere Dienste und komplexe Umgebungen (Cloud, Off-Cloud, Hybrid) hinweg zu ermöglichen.
  • Standardbasierte Föderation - SAML, OAuth, OpenID Connect, WS-Trust und WS-Federation - OpenText Access Manager unterstützt diese Anwendungen durch einen vorkonfigurierten Verbindungskatalog oder ein Toolkit, mit dem Sie Ihr Vertrauen zwischen einem Authentifizierungsanbieter und einem Dienstanbieter konfigurieren können.
  • Single-Sign-On-Assistent - für die vielen kleinen oder speziellen Anwendungen, die keine Föderation unterstützen, bietet der SSO-Assistent einen Service für sie alle.

OpenText Access Manager-Gateway

Das Gateway ist ein Reverse Proxy, den Sie jeder Ressource vorschalten können, unabhängig davon, ob diese über ein eigenes Sicherheitsmodell oder Zugriffskontrollen verfügt. So können Sie denselben Identitätsanbieter für die Verwaltung von Anmeldeinformationen nutzen. Wie der Single Sign-On-Assistent bietet auch das Gateway Richtlinien zum Ausfüllen von HTML-Formularen. Richtlinien zum Ausfüllen von Formularen scannen jede Anmeldeseite, die durch das Access Gateway beschleunigt wird, um zu sehen, ob sie die Anmeldeinformationen ausfüllen kann. Ganz gleich, wie viele Single Sign-On-Technologien Sie einsetzen, OpenText Access Manager bietet einen zentralen Verwaltungs- und Kontrollpunkt.

Single Sign-On durch Föderation

Für Single Sign-On durch Föderation können Sie mit OpenText Access Manager eine Vertrauensbeziehung einrichten, die je nach Bedarf als Identitätsanbieter oder als Dienstanbieter fungieren kann. Sie müssen auch die Art der Föderation (SAML, OAuth, OpenID Connect, WS-Trust oder WS-Federation) einrichten. Wenn Sie SAML verwenden, können Sie einen der vielen vorkonfigurierten Konnektoren wählen. Wenn der Katalog keinen vorkonfigurierten SAML-Connector für den von Ihnen gewünschten Dienst enthält, können Sie das Toolkit verwenden, um Ihren eigenen einzurichten.

Einzelanmeldung über den Assistenten

Für Cloud-basierte Dienste, die zu alt, klein oder primitiv sind, um Federation zu unterstützen, bietet der Single Sign-On-Assistent ein SSO-Erlebnis mit minimalem Aufwand. Es fordert die Benutzer auf, das Browser-Plugin herunterzuladen, das die Anmeldedaten sicher abruft, wenn sie aufgezeichnet werden. Sobald der Assistent eingerichtet ist, können Benutzer SSO nutzen, wenn sie auf die Anwendung zugreifen. Die erste Anlaufstelle für vorgefertigte Assistenten-Konnektoren ist der OpenText Access Manager Connector Catalog. Sie können Ihre eigene Aufnahme machen, wenn Sie den benötigten Anschluss nicht finden. OpenText Access Manager fordert den Benutzer beim ersten Mal automatisch auf, den Connector zu installieren. Danach werden die Anmeldedaten des Benutzers vom OpenText Access Manager abgerufen und zur automatischen Anmeldung übermittelt. Bei der Konfiguration der Basic SSO-Konnektoren für die verschiedenen Anwendungen legen Sie den Konnektor für den jeweiligen Standort fest. Basic SSO erfasst die Anmeldedaten der Benutzer über ein Browser-Plugin oder eine Erweiterung. Es speichert die Benutzeranmeldeinformationen sicher auf dem Identitätsserver und verwendet niemals das Zugangsgateway.

OpenText Advanced Authentication

OpenText Advanced Authentication bietet Single Sign-On für Benutzer auf Windows-Clients. SSO-Unterstützung umfasst .NET, Java, native Anwendungen und Webanwendungen auf allen gängigen Browsern. Für die Endbenutzer ist das nahtlos und hilft ihnen, sich auf ihre eigentliche Aufgabe zu konzentrieren. Selbst für Remote-Benutzer, die nicht mit einem zentralen Verzeichnis verbunden sind, funktioniert Single Sign-On auch auf isolierten Laptops ohne Internetverbindung. OpenText Advanced Authentication bietet außerdem eine schnelle Benutzerumschaltung, d.h. es ermöglicht ein schnelles Single Sign-On für Kioske oder gemeinsam genutzte Arbeitsstationen. Es kann mit einem Ausweis oder einer anderen berührungslosen Methode aufgerufen werden, die schnell, einfach und sehr sicher ist.

OpenText bietet mehr Single Sign-On-Optionen für Unternehmen als jeder andere Anbieter.

OpenText Zugriffsverwaltung

Aufbau eines wiederverwendbaren Satzes von Zugangsverwaltungsdiensten für Ihre neuen und bestehenden Anwendungen

OpenText™ Access Manager

Ermöglichen Sie Single Sign-on und Zugriffskontrolle bei mobilen, Cloud- und älteren Plattformen

OpenText™ Advanced Authentication

Aktivieren Sie die kennwortlose und mehrstufige Authentifizierung für einen einfachen, unternehmensweiten Schutz

OpenText™ Identity Governance und Verwaltung

Verschaffen Sie den zuständigen Nutzern den erforderlichen Zugang mit so wenig Reibungsverlusten wie möglich.

OpenText™ Privileged Access Manager

Zentralisieren Sie die Kontrolle über Administratorkonten in Ihrer gesamten IT-Landschaft

Alle verwandten Produkte anzeigen

Wie können wir behilflich sein?

Fußnoten