Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist

Was ist eigentlich „Single-Sign-On“ (SSO)?

Blogbeitrag

Wer sich als Einsteiger mit Identity Access Governance auseinandersetzt, sieht sich zwangsläufig mit Begriffen konfrontiert, die zunächst für Ratlosigkeit sorgen: So vielleicht auch „Single-Sign-On“ (SSO). In unserer Reihe möchten wir ein wenig Licht ins Dunkel bringen und verschiedene IAG-Bereiche allgemeinverständlich darstellen.

Dabei geht es nicht nur um das "was" und "wie", sondern vor allem auch um das "warum". Wir starten mit einer Definition und einigen interessanten Fakten zu Single-Sign-On.

Das ist Single-Sign-On – Definition

Single-Sign-On ist im Grunde ein Kategorie-Begriff für eine ganze Reihe von Technologien und Konzepten. Trotzdem interpretieren ihn viele als konkrete Funktionalität, zum Beispiel „SSO mit Windows“. Gemeint ist stets, dass über einen ersten Login (z.B. am Betriebssystem) alle oder zumindest möglichst viele Kennworteingaben (Authentifizierungen) automatisch erfolgen und somit entfallen. Das Schöne am SSO: Sowohl der Komfort für den Benutzer als auch die IT-Sicherheit werden erhöht. Dabei steht SSO im Gegensatz zu vielen anderen Maßnahmen im Security-Umfeld, die zwar für mehr Sicherheit sorgen, gleichzeitig aber mehr Aufwand für den Anwender bedeuten.

Die Geburt von SSO – Geschichte

Werfen wir einen Blick in die Vergangenheit: Ursprünglich war es gar nicht auf allen Systemen vorgesehen, sich auf einen Computer anzumelden. Primär im Bereich der vernetzten Systeme gab es eine Anforderung zur Authentifizierung des „fremden“ Anwenders. Selbst bei Netzwerkanwendungen wie E-Mail-Versand (SMTP) war eine zwingende Authentifizierung zu Beginn nicht Teil des Konzeptes.

Im Zuge der immer stärker zunehmenden Vernetzung der Arbeitsplatzsysteme entstanden nun mehrere Anforderungen: Die Anwender mussten insbesondere beim Austausch von Informationen ihre Identität nachweisen und jedes System sah dafür eine Authentifizierung vor. Die Anzahl der Systeme stieg über die Zeit an; von Betriebssystem über E-Mail bis hin zu Buchhaltung und mehr – mit schützenswerten vertraulichen Daten und abgegrenzten Berechtigungen wie „Lesen“ vs. „Vollzugriff“.

Leider etablierte sich keine übergreifende Lösung. Anstatt dessen entstand für den Anwender die Hürde verschiedener Zugriffe (Accounts) und Kennwörter. Der gelbe Zettel am Monitor oder unter der Tastatur wurde der Standard in vielen Unternehmen. Dies ebnete den Weg für SSO, das sich gewissermaßen aus drei verschiedenen Richtungen entwickelte:

1. Kennwortmanager

Kennwortmanager kamen auf den Markt, die Accounts und Kennwörter sicher verwahren und die Daten, wenn möglich, automatisch in die entsprechenden Felder eintragen. Dies war eine gewisse Herausforderung, da Web-Anwendungen und Browser früher keinen Standard darstellten und die Software daher so intelligent wie möglich die Eingabe in verschiedenartige, proprietäre Anwendungstechnologien erlauben musste.

2. Betriebssysteme

Betriebssysteme boten die Möglichkeit, die entsprechenden Zugangsdaten weiterzuverwenden, um so zusätzliche Anmeldungen zu vermeiden. Dies war hilfreich, sofern sich Anwendungen auf eine Plattform wie z.B. Windows fokussierten – problematisch wurde es allerdings, sobald solch ein Fokus nicht erwünscht war, zum Beispiel bei plattformübergreifenden Systemen.

3. Verzeichnissysteme

Auch Verzeichnissysteme und darauf basierende Anmeldungsmethoden wurden für das Access Management verwendet. In einem Benutzerverzeichnis sind die Daten zu einem Benutzer eines oder mehrerer Systeme hinterlegt. Zu Beginn brachte jede Anwendung ein Verzeichnis mit, dann entstanden bestimmte Anwendungen die „für jeden“ verfügbar wurden – z.B. E-Mail. Damit gab es endlich ein Verzeichnis aller Anwender und viele Unternehmen begannen, dieses auch für andere beziehungsweise für alle Anwendungen zu nutzen. Ein typisches allgemeine Verzeichnis war ein LDAP-Verzeichnis, welches sich darauf fokussierte, die Unternehmensstruktur abzubilden.

Solche Ansätze waren kompliziert und nur dann erfolgreich, wenn in fast allen Anwendungen dasselbe Kennwort zum Einsatz kam. Heutzutage ist die Anzahl der Anwendungen und Plattformen stetig weitergewachsen – nichtsdestotrotz ist auch die Wahrscheinlichkeit, SSO erfolgreich zu implementieren, höher als jemals zuvor.

Speichern von Kennwörtern – Problematisch für Privat und Business

Anwender sehen sich nicht nur im Berufsleben mit einer Fülle verschiedener Accounts und Kennwörter konfrontiert, auch im Privaten sind diese gang und gäbe. Da Kennwortmanager in Browsern mittlerweile zum Standard gehören, sind viele Nutzer es gewohnt, Passwörter zu speichern und komfortabel wiederzuverwenden. Dieses Vorgehen ist nicht gerade sicher – es zum Zwecke eines höheren Schutzlevels zu untersagen, ist aber nicht zielführend. Anstatt dessen sollte im Enterprise-Bereich zunächst eine Lösung geschaffen werden, welche den Mitarbeitern eine akzeptable Alternative bietet. Entsprechend geht der Bedarf zurück und mit modernen Multifaktorauthentifizierungsverfahren lässt sich schließlich die Gefahr der unsicheren Speichervorgänge reduzieren.

Ein Ausblick: Eine gut implementierte SSO-Infrastruktur ermöglicht es heute, die Anzahl der Authentifizierungsvorgänge soweit zu minimieren, dass sie kaum als solche erkennbar sind. So lässt es sich auch ganz auf Kennwörter verzichten.

Das war er – unser erster Überblick zu SSO! In unseren folgenden Beiträgen der Reihe stellen wir konkrete technische Konzepte und SSO-Verfahren vor, wie zum Beispiel Windows Desktop SSO, SAML oder OIDC. Sie dürfen gespannt sein! 

Sie benötigen Unterstützung im Bereich IAG? Wir helfen gern! Interessante Informationen zum Thema finden Sie hier.

Blogbeitrag, was bedeutet Zero Trust bedeutet
Blog 30.09.20

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust? Wie funktioniert es und welchen Nutzen hat es? Diese und weitere Fragen beantworten wir in unserem Blogbeitrag!

Blog Spoofing Fishing Teaser
Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

SSO
Blog 15.03.21

Mit Single Sign-On Login auf beliebigen Rechner

Moderne Single Sign-on Lösungen bieten für den Login auf jeden Rechner maximalen Bedienerkomfort bei gleichzeitiger Sicherheit.

Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat eine neue Ära erreicht: Das Zero Trust-Zeitalter verändert den Blick auf Sicherheitsbedrohungen und stellt neue Anforderungen an den Schutz digitaler Systeme.

Titelbild zur Referenz IAM-Lösung, Kantonsspital Winterthur von aussen
Referenz 27.09.17

Schnell-Login für medizinisches Personal via Single Sign-On

Innert zehn Tage, verteilt über sechs Monate, führte das Kantonsspital Winterthur Single Sign-On (SSO) und Fast User Switching (FUS) ein. Dank umfassender Vorinformation des Personals traf das Projekt von Anfang an auf hohe Akzeptanz, der Schnell-Login via Badge-Karte wurde begeistert aufgenommen.

Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann
Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen
Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.

Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Header zum Expertenbericht Self-Sovereign Identity 1
Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Header zum Expertenbericht Self-Sovereign Identity 3
Blog 06.10.21

Self-Sovereign Identity Teil 3: Eine neue Ära

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Passwörter Zukunft
Blog 26.05.21

Die Zukunft des Passworts – Login ohne Gehirnakrobatik

Ist die Zukunft des Passworts eine Zukunft ohne Passwort? Lange Zeit hat sich in Sachen Identity Management nicht wirklich viel getan. Die Zukunft scheint da vielversprechender – ein Gedankenexperiment.

Passwörter Geschichte
Blog 14.05.21

Kleine Geschichte des Passworts

Passwörter gibt es schon länger als sie vielleicht denken. Im ersten Blogbeitrag der Serie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ nehmen wir Sie mit auf eine Reise zu den Ursprüngen des Passworts.

Passwörter Gegenwart
Blog 19.05.21

Passwörter heute – der Status quo

Was hat sich bei Passwörtern vom Mittelalter bis heute verändert? Erfahren Sie alles zu Status Quo sowie aktuellen Zahlen & Fakten in Teil 2 der Blogserie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ .

Header zum Expertenbericht Self-Sovereign Identity 2
Blog 30.09.21

Self-Sovereign Identity Teil 2: Identitäten

Der ausschlaggebende Faktor ist die Einführung der „Identität“ als digitales Abbild des Anwenders aus Sicht der Fachprozesse und des Unternehmens und nicht als Kopie oder Aggregierung der Benutzerkonten. Diese sind vielmehr der Identität subsequent zugeordnet. Basis dafür sind Identitäts- und ORG-Daten von HR.

Event Archive

Webcast: "Expedition zum Identity Management"

Gemeinsam mit tollen Speakern und einer spannenden Agenda möchten wir Ihnen das Thema "Einführung eines Identity Managements" näher bringen. Dazu zeigen wir Ihnen, wie tatsächliche Expeditionen (beispielsweise im Himalaya) geplant und durchgeführt werden, wie ein Unternehmen - übertragen auf IAM - auf diesem Weg agiert und wie die TIMETOACT in Kooperation mit Savyint Sie begleitet.

Sep 30
Customer IAM Azure
Blog

Customer IAM mit Azure

Das Customer IAM von Azure ermöglicht die Verwaltung von Identitätsinformationen und die Zugriffsteuerung für verschiedene Kunden-Identitäten.

GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten
Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Releasewechsel eines eingesetzten IAM-Tools
Referenz

Releasewechsel eines eingesetzten IAM-Tools

TIMETOACT erhielt den Auftrag, einen Major Releasewechsel beim eingesetzten IAM-Tool durchzuführen und die Prozesse soweit wie möglich zurück zum Standard des Produktes zu entwickeln. Gleichzeitig wurde ein Wechsel des Service Providers notwendig, was zur Folge hatte, dass sämtliche Komponenten des IAM in ein neues Rechenzentrum umgezogen werden mussten.