25. Oktober 2021
Single Sign-on (SSO) – probates Mittel gegen Passwortmüdigkeit
Single Sign-on (SSO) schafft mit einem zentralen Service zur Nutzerauthentifizierung höchsten Bedienkomfort – ständiges An- und Abmelden bei Accounts entfällt.
Cloudanwendungen, Web-Apps, On-Premises-Software, PC, E-Mail, Social Media, Bezahlsysteme… – bisweilen benutzen wir tagtäglich zahlreiche digitale Dienste und das bedeutet zwangsweise: Benutzernamen und Passwörter müssen laufend eingetippt, aktualisiert oder zurückgesetzt werden. Mal ganz abgesehen davon, dass die Anmeldeprozeduren unsere Gedächtnisleistung auf die Probe stellen, sind die häufigen Eingaben lästig. Sie nehmen kostbare Arbeitszeit in Anspruch und verleiten uns mitunter dazu, aus Bequemlichkeit und trotz aller Mahnungen, leicht einprägsame aber unsichere Kennungen zu wählen. Um den leidigen Log-in-Vorgängen unkompliziert, effizient und mit starker Authentifizierung beizukommen, haben wir unsere Bausoftwareplattform mydocma jetzt auch auf die Single Sign-on-Technologie ausgerichtet. Abgekürzt: SSO, ins Deutsche übersetzt: Einmalanmeldung.
SINGLE SIGN-ON – DER DIGITALE GENERALSCHLÜSSEL
Ein Log-in ist mit einem Schlüssel vergleichbar. Viele Accounts wecken folglich die Assoziation an einen digitalen Schlüsselbund der Größe XXL. Voll, unübersichtlich, umständlich im Gebrauch. Türöffner unterscheiden sich im Profil oft nur ganz marginal – Fehlversuche sind vorprogrammiert! Bleiben wir bei der Metapher, gibt es für den schnellen Zugang eine benutzerfreundlichere Lösung: den Generalschlüssel. Übertragen auf die IT-Welt ist es das Single Sign-on-Prinzip. Das Verfahren ersetzt viele einzelne Anmeldevorgänge, indem es eine übergreifende Identität des Anwenders nutzt. Mit lediglich einer sicheren Benutzername/Passwort-Kombination wird der Zugriff zu allen an das System angebundenen Lösungen gestattet.
Welcher Mechanismus steckt hinter dem SSO-System?
Single Sign-on wird durch einen zentralisierten Authentifizierungsdienst ermöglicht, über den sogenannten Identity Provider. Er ist sozusagen der Herausgeber des Generalschlüssels – eine Instanz, die alle Identitäten mit den jeweiligen Berechtigungen speichert, verwaltet und überprüft. Von ihr erhalten digitale Lösungsanbieter wie die edr software, im Fachjargon als Service Providers bezeichnet, nach der erfolgreichen Validierung eines Nutzers einen sicheren Identitätsbeweis, woraufhin nahtloser Zugang gewährt wird. Der Austausch zwischen Identity und Service Provider geschieht durch das gegenseitige Übermitteln von einem signierten Token – das gilt sowohl für Authentifizierungsanfragen als auch für User-Bestätigungen. Dieses Datenpaket enthält neben den Identitätsangaben auch ein Zertifikat, womit sich beide Seiten als vertrauensvolle Quelle ausweisen.
Log-in mit Single Sign-on – schnell, sicher, omnipräsent
Die beschriebenen SSO-Prozesse laufen wohlgemerkt im Hintergrund ab. Im Vordergrund regiert das Prinzip der Einfachheit. Für den/die Anwender/in unserer mydocma-Plattform resultieren daraus zwei praktische Anmeldeszenarien.
Szenario 1:
Sie/Er tippt auf unserer Plattform die Benutzerkennung ein und ist sofort eingeloggt, weil das System registriert, dass beim Identitätsdienstleister bereits eine Authentifizierung stattgefunden hat.
Szenario 2:
Er/sie trägt auf unserer Plattform die Benutzerkennung ein und das System erkennt sogleich, dass noch keine Authentifizierung erfolgt ist. Postwendend wird eine automatische Weiterleitung zur Eingabemaske des Identity Providers bzw. zur Log-in-Seite des Unternehmens in Gang gesetzt, wo die einmalige Eingabe der Benutzername/Passwort-Kombination getätigt wird. Nach dem Klick des Bestätigungsbuttons ist sowohl die Anmeldung beim mydocma-Portal als auch bei allen anderen ans SSO-System angegliederten Anwendungen vollzogen.
Single Sign-on: Schritt in Richtung passwortlose Zukunft
Wir haben das Prinzip der Einmalanmeldung zunächst in Verbindung mit der Identitäts- und Zugriffsverwaltung von Microsoft, Azure Active Diretory (kurz Azure AD), ins Leben gerufen. Hierüber lässt sich unkompliziert managen, dass per Firmenlogin ein ungehinderter Zugriff auf die gewünschten digitalen Ressourcen erfolgt. Auf Anfrage leiten wir das SSO-Verfahren jedoch auch mithilfe anderer Identity Provider, wie etwa ADFS, OneLogin, Okta, Auth0 oder G-Suite, in die Wege. Single Sign-on ist vor allem für Unternehmen nutz- und gewinnbringend, die mehrere Mitarbeiter beschäftigen und ein größeres Sammelsurium an Anwendungen besitzen.
Ist das SSO-System sicher?
Das Single-Sign-on-Verfahren wirft zwangsläufig die Frage auf: Kann es nicht auch mit Unsicherheit behaftet sein, wenn lediglich ein Log-in-Datensatz Tür und Tor zu einer Vielzahl an Modulen öffnet? Werden die Best Practices für SSO eingehalten, lautet die Antwort: Nein! Die „Gefahr“ sitzt vielmehr vor dem Computer. Für jeden einsehbare Passwort-Post-its am PC, lange PW-Listen in der Schublade und risikoreiche Praktiken wie die Wiederverwendung von Kennwörtern oder Passwörter aus simplen Zahlenabfolgen, sind nur allzu gängige Praxis. Kurzum: Was die IT-Umgebung von Unternehmen unsicher macht, sind Anmeldungen und Log-in-Daten in übermäßiger Anzahl.
SSO wirkt dem entgegen und folgt indessen sehr strengen Sicherheitsrichtlinien wie z.B. der Passwortkomplexität, Multi-Faktor-Authentifizierung und SSL-Zertifizierung. Durch die reduzierten Anmeldevorgänge verkleinert sich außerdem die Angriffsfläche für Hacker-Attacken. Hinzukommt, dass der einmalige Einlogg-Vorgang beim Benutzer sowohl das Bewusstsein für ein „starkes Passwort“ als auch für vertrauenswürdige Seiten schärft. Das System bietet zudem eine Audit-Protokollierung, über die alle Nutzeraktivitäten nachvollziehbar zurückverfolgt und eventuelle Ungereimtheiten aufgeklärt werden können. Da die Verwaltung der Zugänge zentral gesteuert wird, lässt sich eine Kontensperrung, z.B. bei Verlust eines Gerätes oder beim Ausscheiden eines Mitarbeiters, schnell veranlassen und das Risiko eines unerlaubten Zugriffs bannen.