OpenText-Startseite.
Technische Themen

Was ist Single Sign-On?

Illustration von IT-Elementen mit Schwerpunkt auf einem Fragezeichen

Überblick über Single Sign-On (SSO)

Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, mit einer einzigen Eingabe ihrer Anmeldedaten (Anspruch und Geheimnis) auf mehrere Ressourcen zuzugreifen. SSO ermöglicht diese Benutzererfahrung über verschiedene Systeme und Domänen hinweg. Um einen reibungslosen Zugang zu gewährleisten, muss sich SSO auf die verschiedenen Dienste und Ressourcen erstrecken, die in den von den Benutzern genutzten Rechenzentren und Plattformen vorhanden sind. Diese Plattformen können als IaaS, PaaS oder als Full-Service (SaaS) existieren, die ein Vertrauensmodell unterstützen können oder auch nicht.

Single Sign-On

Welche Rolle spielt SSO in einer Sicherheitsstruktur?

Sie können SSO durch verschiedene Technologien erreichen. Ein sichereres Konzept ist eine Implementierung, bei der die Benutzer nicht die Anmeldeinformationen der einzelnen Dienste kennen, die sie in Anspruch nehmen, sondern nur den Master. Da die Benutzer die einzelnen Anmeldeinformationen nicht kennen, besteht keine Gefahr, dass sie Ihr Authentifizierungszentrum umgehen oder sie über weniger sichere Plattformen weitergeben.

Unternehmen bieten SSO in der Regel über ein Vertrauensmodell an. Ein einziger Identitätsanbieter (IdP) ist entweder im Besitz der Anmeldedaten oder kontrolliert den Zugang zu ihnen. Bei diesem Modell verlässt sich jeder Dienst auf den IdP, um die Identität der zugreifenden Partei zu überprüfen. Dieser Ansatz schränkt zwar die Anzahl der Orte ein, an denen die Zugangsdaten gespeichert werden, aber die Benutzer kennen möglicherweise die authentischen Zugangsdaten für den Dienst nicht.

Jedes SSO-Design, das die Anmeldeinformationen mit jeder Anwendung oder jedem Dienst synchronisiert, ist die am wenigsten sichere Option und sollte, wenn überhaupt, nur selten verwendet werden. Im Hinblick auf die Sicherheit arbeiten Unternehmen daran, die Anzahl der Angriffsvektoren zu reduzieren, nicht sie zu erhöhen.

Als Bestandteil einer fortschrittlichen Authentifizierungsumgebung kann Single Sign-On mit der Multi-Faktor-Authentifizierung kombiniert werden, um die Überprüfung der Identität eines Benutzers zu verbessern und gleichzeitig Störungen zu minimieren. Dieser Ansatz hilft Unternehmen, die Benutzerfreundlichkeit und Sicherheit zu maximieren, insbesondere in Verbindung mit passiven passwortlosen Methoden. Auch wenn einige passive Authentifizierungsarten schwächer sind als andere, können Sie sie mit zusätzlichen Verifizierungsmetriken für verschiedene digitale Ressourcen verwenden. Im Rahmen der Planung von Risikodiensten können die Sicherheitsteams ihre Ressourcen in Sensibilitätskategorien einteilen und entsprechende Authentifizierungsstärken zuweisen.

Wie SSO funktioniert

Modernes SSO stützt sich auf föderierte Identitätsprotokolle, wie z.B.:

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Diese Standards ermöglichen eine vertrauenswürdige Kommunikation zwischen einem Identitätsanbieter (IdP), der den Benutzer authentifiziert, und Dienstanbietern (SPs), die den Zugriff auf Anwendungen kontrollieren. Nach der Authentifizierung erhalten die Benutzer ein Token, das in allen Diensten wiederverwendet werden kann, ohne dass die Anmeldedaten erneut eingegeben werden müssen.

SSO-Initiativen fallen oft unter die Kategorie der Verzeichnis-Server-Authentifizierung: Jeder Dienst verwendet dieselben Anmeldeinformationen aus einem einzigen Verzeichnis, wie z.B. Active Directory, oder Umgebungen geben das Authentifizierungs-Token an konfigurierte Anwendungen weiter. Teams können Credential Injection und andere Technologien verwenden, um SSO bereitzustellen. Modernes SSO in Unternehmen verwendet fast immer Föderationsstandards wie SAML oder OpenID Connect (OIDC) mit einem Identitätsanbieter (IdP). Credential Injection/Sync gilt allgemein als weniger sicher und weniger modern. Weithin akzeptierte Föderationsprotokolle (SAML, OIDC) sind die wichtigsten Mechanismen für SSO und gelten als Industriestandards. Unabhängig vom Ansatz muss jede Lösung auch einen Mechanismus für die einmalige Abmeldung enthalten.

SSO in einer hybriden IT-Welt

Die Unternehmen von heute arbeiten mit lokalen Systemen, SaaS-Anwendungen, IaaS-Plattformen und mehr. Effektives SSO muss diese Umgebungen mit föderierter Identität, Cloud-nativer Bereitstellung und Verzeichnisintegration überbrücken und dabei sowohl ältere als auch moderne Protokolle unterstützen.

Vorteile von SSO

  • Verbessertes Benutzererlebnis
    Melden Sie sich einmal an und greifen Sie auf alle autorisierten Anwendungen zu. Das steigert die Produktivität und verringert die Passwortmüdigkeit.
  • Verbesserte Sicherheitsposition
    In Kombination mit Multi-Faktor-Authentifizierung (MFA) und kontextbezogener Risikoanalyse reduziert SSO die Angriffsfläche und zentralisiert die Kontrolle.
  • Stärkere Einhaltung und Sichtbarkeit
    Die zentrale Identitätskontrolle ermöglicht eine bessere Protokollierung, Prüfung und Durchsetzung von Richtlinien - der Schlüssel zur Einhaltung von Datenschutz- und Cybersicherheitsvorschriften.
  • Geringerer IT-Aufwand
    Weniger Helpdesk-Tickets für das Zurücksetzen von Passwörtern und optimierte Onboarding/Offboarding-Workflows.

Wie trägt SSO zur Verbesserung interner Prozesse bei?

Der häufigste Grund für IT-Sicherheitsteams, das Single Sign-On ihrer Benutzer zu erweitern, ist, schnell und einfach sicheren Zugriff auf Informationen zu bieten. Wenn Unternehmen diesen Komfort für ihre geschützten Daten nutzen, erzielen sie eine höhere Effizienz und Produktivität. SSO ermöglicht es Benutzern, sich nur einmal für die verschiedenen Anwendungen und anderen digitalen Ressourcen zu authentifizieren, auf die sie im Laufe des Tages zugreifen. Abgesehen von der Zufriedenheit der Benutzer verringert SSO die Ermüdung der Passwörter, ein grundlegendes Element zur Förderung der Anmeldehygiene. Weitere Vorteile sind messbare Effizienz und Produktivität. Es verringert die Zugangshindernisse, die manchmal die Ursache für das Zögern bei der Erledigung eines Geschäftsvorgangs sind. Dies gilt vor allem für Berufstätige, die an entfernten Standorten oder nach Feierabend tätig sind, da sie aufgrund ihres Standorts oft mit höheren Sicherheitsanforderungen konfrontiert sind. Die Bequemlichkeit des einfachen Zugriffs verringert die Reibungsverluste bei Geschäftsprozessen, die über mobile Geräte abgewickelt werden, und ermöglicht es, dass diese schnell vonstatten gehen, während jemand unterwegs ist oder außerhalb der regulären Arbeitszeiten arbeitet.


Wie hilft SSO den Unternehmen im Wettbewerb?

Das Engagement der Verbraucher reicht von der einfachen Personalisierung bis hin zu hochriskanten Transaktionen. Diese Verbraucherplattformen nutzen häufig Verhaltensdaten, um Interessen zu erkennen und nach Hinweisen zu suchen, die die Identität des Nutzers bestätigen. Die Verbraucher erwarten, dass die Marken, denen sie vertrauen, sie gut genug kennen, um ihnen interessante Informationen zu bieten und ihnen die Möglichkeit zu geben, so viele Geschäfte wie möglich über mobile Geräte abzuwickeln. Hier kommt das Single Sign-On ins Spiel.

Die heutige mobile und Online-Erfahrung erfordert eine robuste Plattform, die von mehreren Backend-Systemen unterstützt wird, um die immer anspruchsvollere Erfahrung zu bieten, die die Verbraucher erwarten. In der Regel dulden sie es nicht, dass ihre Identität mehrfach auf einem Smartphone überprüft wird. Es ist zwar üblich, dass mobile Anwendungen verschiedene Backend-Systeme nutzen, aber sie sind nicht Teil der Benutzererfahrung.

Über den einfachen Zugang hinaus spielt SSO eine Rolle beim tieferen und anspruchsvolleren Fernzugriff. Die Möglichkeit für Ihre Kunden, mit Ihren Produkten und Dienstleistungen mehr zu erreichen, ist nach wie vor ein Schlachtfeld im Wettbewerb der mobilen Apps. Im Zuge der Entwicklung der digitalen Wirtschaft werden über mobile Anwendungen immer mehr geschäftliche Interaktionen abgewickelt, darunter auch riskantere. Ein wirksames Mittel, um sich von der Konkurrenz abzuheben, ist das Anbieten aussagekräftigerer Dienstleistungen als die der Konkurrenz. Aber es stellt auch mehr Anforderungen an Ihre Authentifizierungsinfrastruktur. Die Bequemlichkeit von SSO ist wichtig, aber auch eine Identitätsüberprüfung, die dem Risiko für das Unternehmen entspricht. Je mehr ein Unternehmen das kontextbezogene Risiko einer Zugriffsanfrage messen kann, desto größer ist die Bandbreite des mobilen Zugriffs auf private und sensible Informationen. Fragen Sie sich selbst:

  • Befindet sich der Nutzer am erwarteten Ort (GSM, Geolokalisierung, Netz)?
  • Wird das Gerät erkannt?
  • Spiegelt die Art der Anfragen das frühere Verhalten wider?
  • Wie hoch ist das Risiko der Daten selbst?

Auf der Grundlage dieser Risikokennzahlen kann SSO in Verbindung mit fortschrittlichen Authentifizierungsarten arbeiten, um die Identitätsüberprüfung auf das jeweilige Risiko abzustimmen und bei Bedarf eine Multi-Faktor-Authentifizierung einzusetzen:

  • Bieten Sie mehrere passwortlose Authentifizierungsoptionen an, z. B. Fingerabdruck, Gesichtserkennung, Spracherkennung, Out-of-Band-Push, Einmalpasswort usw.
  • Unterbrechen Sie den Verbraucher nur bei Bedarf mit einer Überprüfungsanfrage.
  • Verwenden Sie eine oder mehrere Authentifizierungsarten, um die erforderliche Überprüfungsstärke zu erreichen.

Die einmalige Anmeldung bietet den Verbrauchern zwar Bequemlichkeit, aber auch ein Gleichgewicht zwischen Bequemlichkeit und Sicherheit, wenn sie mit anderen Authentifizierungsmethoden verwendet wird.


Was sind die häufigsten Fehler bei der Implementierung von SSO?

Sowohl die IT-Abteilung als auch die Fachabteilungen sollten den wachsenden Wert von Single Sign-On als eine sich beschleunigende Kurve betrachten. Je mehr Anmeldedaten ein Benutzer hat, desto schwieriger ist es, sich diese zu merken. Wenn das Unternehmen die Anzahl der Berechtigungsnachweise reduziert, ist es wahrscheinlicher, dass die Benutzer ein vernünftiges Berechtigungsmanagement betreiben.

Die gleiche aggressive Wertkurve wird durch Bequemlichkeit bestimmt. Je weniger Sie die Nutzer unterbrechen, desto produktiver (Arbeitnehmer oder Auftragnehmer) und zufriedener (Verbraucher) sind sie. Im Idealfall gibt es einen ersten Fingerabdruck, eine Gesichtserkennung oder einen anderen Anspruch beim Eintritt in die Anwendung oder beim Start einer Sitzung und nichts weiter. Unabhängig davon, wie viele Dienste oder Ressourcen die Nutzer in Anspruch nehmen, werden sie nicht von ihren Aufgaben abgehalten. Je mehr die Anwendung oder der Webdienst den Benutzer mit einer Authentifizierungsaufforderung unterbricht, desto weniger zufriedenstellend und kontraproduktiv ist sie. Aus diesen Gründen sind technische Entscheidungen oder Implementierungen, die kein SSO für häufig genutzte Ressourcen ermöglichen, am schädlichsten.

Beschränkung der Authentifizierung auf Active Directory (AD)

Obwohl AD (und auch Azure AD) zum primären Identitätsanbieter geworden ist, verfügen die meisten Unternehmen über wichtige Ressourcen, die darüber hinausgehen. Während jüngere oder kleinere Unternehmen vielleicht feststellen, dass AD zusammen mit Microsoft Federation-Lösungen ausreicht, um Single Sign-On zu ermöglichen, sind die meisten von ihnen heterogener.

Ausschließlich auf Vertrauensmodelltechnologien angewiesen

SAML und OIDC haben sich weitgehend durchgesetzt. Komplizierte Umgebungen sind jedoch in der Regel nicht in der Lage, eine vollständige Abdeckung zu gewährleisten. Überraschenderweise unterstützen eine Reihe von SaaS-basierten Diensten entweder keine Föderation oder verlangen mehr dafür, als Unternehmen bereit sind zu zahlen. Umgekehrt füllen Record/Play-Technologien oder ein zentral verwaltetes Access Gateway die Lücken der Single Sign-On-Abdeckung.

Missverständnis der Authentifizierungserfahrung Ihrer Benutzer

Oft kennen IT-Organisationen nicht die unterschiedlichen Persönlichkeiten der Benutzer, die während der Woche zugreifen. Ohne ein klares Bild können sie keine Prioritäten setzen, welche Ressourcen ihrer Single Sign-On-Infrastruktur hinzugefügt werden sollen. Außerdem werden Dienste, die von Abteilungen oder Geschäftsbereichen genutzt werden, in der Regel nicht in die SSO-Planung einbezogen.

Der OpenText SSO-Vorteil

Die OpenText™ für Identitäts- & -Zugriffsmanagement (IAM) bietet sicheres, standardbasiertes Single Sign-On (SSO) mit folgenden Funktionen:

  • Integrierte Unterstützung für SAML, OAuth und OIDC.
  • Integration mit Active Directory, LDAP und Cloud-Identitätsquellen.
  • Passwortlose und adaptive Authentifizierung.
  • Föderiertes Vertrauen über B2B- und B2C-Ökosysteme hinweg.
  • Kompatibilität mit modernen Zero Trust-Architekturen.

OpenText™ NetIQ™ Access Manager, OpenText™ NetIQ™ Identity Foundation und OpenText™ NetIQ™ Advanced Authentication arbeiten zusammen, um eine einheitliche, flexible Zugriffskontrolle zu gewährleisten – für jeden Benutzer, jedes Gerät und jede Umgebung.


Wie bietet OpenText SSO an?

OpenText IAM bietet fünf verschiedene Ansätze zur Bereitstellung von SSO:

OpenText™ NetIQ™ Access Manager

Mithilfe verschiedener Technologien – OpenText™ NetIQ™ Access Manager bietet zahlreiche Möglichkeiten, Single Sign-On (SSO) für jedes Intranet oder jeden cloudbasierten Dienst bereitzustellen. Unabhängig davon, ob Ihre Anwendungen über eine Benutzeroberfläche verfügen oder nicht, erhalten Ihre Nutzer (Mitarbeiter, Kunden usw.) schnellen und bequemen Zugriff. Gleichzeitig bietet Ihnen der OpenText™ NetIQ™ Access Manager eine umfassende Zugriffskontrolle unter Nutzung Ihrer bestehenden Prozesse.
 
Neben den Vorteilen von SSO bietet der OpenText™ NetIQ™ Access Manager über einfach zu bedienende Einrichtungssymbole im Mini-Portal den Zugriff auf Webanwendungen mit nur einem Klick. OpenText™ NetIQ™ Access Manager’s integriertes Mini-Portal ist nicht dazu gedacht, Ihre bestehende Lösung zu ersetzen, sondern stellt vielmehr eine Option für diejenigen dar, die noch keine solche Lösung haben. Das Portal lässt sich von Administratoren mühelos aktivieren, konfigurieren und warten und ist zudem für jeden Nutzer intuitiv zu bedienen. Die Schnellzugriffsoberfläche von OpenText™ NetIQ™ Access Manager verbessert das Single-Sign-On-Erlebnis.

OpenText™ NetIQ™ Access Manager bietet Ihrem Unternehmen drei Optionen für die Implementierung von Single Sign-On (SSO) für alle Ihre Cloud- und intranetbasierten Anwendungen:

  • Access Gateway - das ultimative Zugangsmanagement für die Zugangskontrolle und die Bereitstellung von Single Sign-On. Access Gateway ist der beste Weg, um eine nahtlose Benutzererfahrung über mehrere Dienste und komplexe Umgebungen (Cloud, Off-Cloud, Hybrid) hinweg zu ermöglichen.
  • Standardbasierte Föderation – SAML, OAuth, OpenID Connect, WS-Trust und WS-Federation – OpenText™ NetIQ™ Access Manager unterstützt diese Anwendungen über einen vorkonfigurierten Konnektorkatalog oder ein Toolkit, mit dessen Hilfe Sie die Vertrauensbeziehung zwischen einem Authentifizierungsanbieter und einem Dienstanbieter konfigurieren können.
  • Single-Sign-On-Assistent - für die vielen kleinen oder speziellen Anwendungen, die keine Föderation unterstützen, bietet der SSO-Assistent einen Service für sie alle.

OpenText™ NetIQ™ Access Manager Gateway

Das Gateway ist ein Reverse-Proxy, den Sie vor jede beliebige Ressource schalten können, unabhängig davon, ob diese über ein eigenes Sicherheitsmodell oder eigene Zugriffskontrollen verfügt. Auf diese Weise können Sie denselben Identitätsanbieter für die Verwaltung von Anmeldedaten nutzen. Ähnlich wie der Single-Sign-On-Assistent bietet das Gateway Richtlinien zum Ausfüllen von Formularen, mit denen die HTML-Formulare automatisch ausgefüllt werden können. Die Richtlinien zur automatischen Ausfüllung von Formularen überprüfen jede Anmeldeseite, die über das Zugriffs-Gateway geleitet wird, um festzustellen, ob die Anmeldedaten automatisch ausgefüllt werden können. Unabhängig davon, wie viele Single-Sign-On-Technologien Sie einsetzen, bietet OpenText™ NetIQ™ Access Manager eine zentrale Verwaltungs- und Kontrollstelle.

Single Sign-On durch Föderation

Für das Single Sign-On über eine Verbundlösung (Federation) – OpenText™ NetIQ™ Access Manager – können Sie je nach Ihren Anforderungen eine Vertrauensbeziehung einrichten, die entweder als Identitätsanbieter oder als Dienstanbieter fungieren kann. Außerdem müssen Sie die Art der Föderation festlegen (SAML, OAuth, OpenID Connect, WS-Trust oder WS-Federation). Wenn Sie SAML verwenden, können Sie einen der zahlreichen vorkonfigurierten Konnektoren auswählen. Sollte der Katalog keinen vorkonfigurierten SAML-Konnektor für den von Ihnen gewünschten Dienst enthalten, können Sie mithilfe des Toolkits einen eigenen einrichten.

Einzelanmeldung über den Assistenten

Für cloudbasierte Dienste, die zu alt, zu klein oder zu einfach aufgebaut sind, um eine Verbundlösung zu unterstützen, bietet der Single-Sign-On-Assistent eine SSO-Lösung mit minimalem Aufwand. Es fordert die Nutzer dazu auf, das Browser-Plugin herunterzuladen, das Anmeldedaten bei der Erfassung sicher abruft. Sobald der Assistent eingerichtet ist, profitieren die Benutzer beim Zugriff auf die Anwendung von SSO. Die erste Anlaufstelle für vorgefertigte Assistant-Konnektoren ist der OpenText™ NetIQ™ Access Manager Connector-Katalog. Falls Sie den benötigten Stecker nicht finden können, können Sie selbst einen anfertigen. OpenText™ NetIQ™ Access Manager fordert den Benutzer bei der ersten Nutzung automatisch auf, den Connector zu installieren. Danach ruft er die Anmeldedaten des Benutzers von OpenText™ NetIQ™ Access Manager ab und übermittelt sie zur automatischen Anmeldung. Bei der Konfiguration der Basic-SSO-Konnektoren für die verschiedenen Anwendungen legen Sie den Konnektor für den jeweiligen Standort fest. Basic SSO erfasst die Anmeldedaten der Benutzer über ein Browser-Plugin oder eine Browser-Erweiterung. Es speichert die Anmeldedaten der Benutzer sicher auf dem Identitätsserver und nutzt dabei niemals das Zugangs-Gateway.

OpenText™ NetIQ™ Advanced Authentication

OpenText™ NetIQ™ Advanced Authentication bietet Single Sign-On für Benutzer auf Windows-Clients. Die SSO-Unterstützung umfasst .NET, Java, native Anwendungen sowie Webanwendungen in allen gängigen Browsern. Für die Endnutzer verläuft der Vorgang nahtlos, sodass sie sich auf ihre eigentliche Arbeit konzentrieren können. Selbst für Remote-Benutzer, die nicht mit einem zentralen Verzeichnis verbunden sind, funktioniert Single Sign-On weiterhin auf isolierten Laptops ohne Internetverbindung. OpenText™ NetIQ™ Advanced Authentication bietet zudem einen schnellen Benutzerwechsel, was bedeutet, dass es Single Sign-On für Kiosksysteme oder gemeinsam genutzte Arbeitsplätze zügig bereitstellt. Die Funktion kann über einen Ausweis oder eine andere berührungslose Methode ausgelöst werden, die schnell, einfach und äußerst sicher ist.

OpenText bietet mehr Single Sign-On-Optionen für Unternehmen als jeder andere Anbieter.

Wie können wir behilflich sein?

Fußnoten