News & Blog

25. Oktober 2021

Single Sign-on (SSO) – probates Mittel gegen Passwortmüdigkeit

SSO schafft mit einem zentralen Service zur Nutzerauthentifizierung höchsten Bedienkomfort – ständiges An- und Abmelden bei Accounts entfällt.

Cloudanwendungen, Web-Apps, On-Premises-Software, PC, E-Mail, Social Media, Bezahlsysteme… – bisweilen benutzen wir tagtäglich zahlreiche digitale Dienste und das bedeutetet zwangsweise: Benutzernamen und Passwörter müssen laufend eingetippt, aktualisiert oder zurückgesetzt werden. Mal ganz abgesehen davon, dass die Anmeldeprozeduren unsere Gedächtnisleistung auf die Probe stellen, sind die häufigen Eingaben lästig. Sie nehmen kostenbare Arbeitszeit in Anspruch und verleiten uns mitunter dazu, aus Bequemlichkeit und trotz aller Mahnungen, leicht einprägsame aber unsichere Kennungen zu wählen. Um den leidigen Log-in-Vorgängen unkompliziert, effizient und mit starker Authentifizierung beizukommen, haben wir unsere Bausoftwareplattform mydocma jetzt auch auf die Single Sign-on-Technologie ausgerichtet. Abgekürzt: SSO, ins Deutsche übersetzt: Einmalanmeldung.

 

SINGLE SIGN-ON – DER DIGITALE GENERALSCHLÜSSEL

Ein Log-in ist mit einem Schlüssel vergleichbar. Viele Accounts wecken folglich die Assoziation an einen digitalen Schlüsselbund der Größe XXL. Voll, unübersichtlich, umständlich im Gebrauch. Türöffner unterscheiden sich im Profil oft nur ganz marginal – Fehlversuche sind vorprogrammiert! Bleiben wir bei der Metapher, gibt es für den schnellen Zugang eine benutzerfreundlichere Lösung: den Generalschlüssel. Übertragen auf die IT-Welt ist es das Single Sign-on-Prinzip. Das Verfahren ersetzt viele einzelne Anmeldevorgänge, indem es eine übergreifende Identität des Anwenders nutzt. Mit lediglich einer sicheren Benutzername/Passwort-Kombination wird der Zugriff zu allen an das System angebundenen Lösungen gestattet.

Welcher Mechanismus steckt hinter dem SSO-System?

SSO wird durch einen zentralisierten Authentifizierungsdienst ermöglicht, über den sogenannten Identity Provider. Er ist sozusagen der Herausgeber des Generalschlüssels – eine Instanz, die alle Identitäten mit den jeweiligen Berechtigungen speichert, verwaltet und überprüft. Von ihr erhalten digitale Lösungsanbieter wie die edr software, im Fachjargon als Service Providers bezeichnet, nach der erfolgreichen Validierung eines Nutzers einen sicheren Identitätsbeweis, woraufhin nahtloser Zugang gewährt wird. Der Austausch zwischen Identity und Service Provider geschieht durch das gegenseitige Übermitteln von einem signierten Token – das gilt sowohl für Authentifizierungsanfragen als auch für User-Bestätigungen. Dieses Datenpaket enthält neben den Identitätsangaben auch ein Zertifikat, womit sich beide Seiten als vertrauensvolle Quelle ausweisen.

Log-in mit Single Sign-on – schnell, sicher, omnipräsent

Die beschriebenen SSO-Prozesse laufen wohlgemerkt im Hintergrund ab. Im Vordergrund regiert das Prinzip der Einfachheit. Für den/die Anwender/in unserer mydocma-Plattform resultieren daraus zwei praktische Anmeldeszenarien.

Szenario 1:

Sie/Er tippt auf unserer Plattform die Benutzerkennung ein und ist sofort eingeloggt, weil das System registriert, dass beim Identitätsdienstleister bereits eine Authentifizierung stattgefunden hat.

Szenario 2:

Er/sie trägt auf unserer Plattform die Benutzerkennung ein und das System erkennt sogleich, dass noch keine Authentifizierung erfolgt ist. Postwendend wird eine automatische Weiterleitung zur Eingabemaske des Identity Providers bzw. zur Log-in-Seite des Unternehmens in Gang gesetzt, wo die einmalige Eingabe der Benutzername/Passwort-Kombination getätigt wird. Nach dem Klick des Bestätigungsbuttons ist sowohl die Anmeldung beim mydocma-Portal als auch bei allen anderen ans SSO-System angegliederten Anwendungen vollzogen.

Schritt in Richtung passwortlose Zukunft

Wir haben das Prinzip der Einmalanmeldung zunächst in Verbindung mit der Identitäts- und Zugriffsverwaltung von Microsoft, Azure Active Diretory (kurz Azure AD), ins Leben gerufen. Hierüber lässt sich unkompliziert managen, dass per Firmenlogin ein ungehinderter Zugriff auf die gewünschten digitalen Ressourcen erfolgt. Auf Anfrage leiten wir das SSO-Verfahren jedoch auch mithilfe anderer Identity Provider, wie etwa ADFS, OneLogin, Okta, Auth0 oder G-Suite, in die Wege. Single Sign-on ist vor allem für Unternehmen nutz- und gewinnbringend, die mehrere Mitarbeiter beschäftigen und ein größeres Sammelsurium an Anwendungen besitzen.

Ist das SSO-System sicher?

Das Single-Sign-on-Verfahren wirft zwangsläufig die Frage auf: Kann es nicht auch mit Unsicherheit behaftet sein, wenn lediglich ein Log-in-Datensatz Tür und Tor zu einer Vielzahl an Modulen öffnet? Werden die Best Practices für SSO eingehalten, lautet die Antwort: Nein! Die „Gefahr“ sitzt vielmehr vor dem Computer. Für jeden einsehbare Passwort-Post-its am PC, lange PW-Listen in der Schublade und risikoreiche Praktiken wie die Wiederverwendung von Kennwörtern oder Passwörter aus simplen Zahlenabfolgen, sind nur allzu gängige Praxis. Kurzum: Was die IT-Umgebung von Unternehmen unsicher macht, sind Anmeldungen und Log-in-Daten in übermäßiger Anzahl.

SSO wirkt dem entgegen und folgt indessen sehr strengen Sicherheitsrichtlinien wie z.B. der Passwortkomplexität, Multi-Faktor-Authentifizierung und SSL-Zertifizierung. Durch die reduzierten Anmeldevorgänge verkleinert sich außerdem die Angriffsfläche für Hacker-Attacken. Hinzukommt, dass der einmalige Einlogg-Vorgang beim Benutzer sowohl das Bewusstsein für ein „starkes Passwort“ als auch für vertrauenswürdige Seiten schärft. Das System bietet zudem eine Audit-Protokollierung, über die alle Nutzeraktivitäten nachvollziehbar zurückverfolgt und eventuelle Ungereimtheiten aufgeklärt werden können. Da die Verwaltung der Zugänge zentral gesteuert wird, lässt sich eine Kontensperrung, z.B. bei Verlust eines Gerätes oder beim Ausscheiden eines Mitarbeiters, schnell veranlassen und das Risiko eines unerlaubten Zugriffs bannen.

Die Vorteile von Single Sign-on

Ende des Passwort-Chaos

Die Anzahl der Log-ins wird auf das absolute Minimum reduziert – über alle Kanäle und digitalen Endgeräte hinweg: Ein Benutzername & ein Passwort, fertig! Endbenutzer erstellen keine Accounts mehr in Eigenregie, sie werden über das zentrale Zugangssystem einfach zugewiesen und freigeschalten.

Zeit ist Geld

Es minimiert nicht nur die Menge der Anmeldedaten sondern auch die der Anmeldevorgänge. Zeitintensives Einloggen, umständliche Registrierungen, langwieriges Suchen nach Passwörtern, aufwendige Aktualisierungen von Kennungen oder „Passwort vergessen“-Aktivitäten sind passé.

Verwaltung leichtgemacht

Die eine digitale Identität wird mit allen Berechtigungen in einem einzigen Kontoprofil geführt. System-Administratoren können so alle Verwaltungsaufgaben z.B. Änderungen, Löschungen, Sicherheitsvorkehrungen, etc. an zentraler Stelle vornehmen, was Zeit und Kosten spart.

Top-Bedienkomfort

Für die Anwender bedeutet der Ein-Klick-Zugriff: höhere Benutzerfreundlichkeit, verbesserter Workflow & mehr Produktivität. Frustration sowie Ausfallzeiten aufgrund ineffizienter Tätigkeiten wie Account-Erstellung, Resets, Support-Tickets, misslungene Anmeldungen, etc. gehören der Vergangenheit an.

Entlastung des IT-Supports

Dank des einen „Generalschlüssels“ gehen weniger passwortbezogene Rücksetzungs- oder Safe-Anfragen beim Helpdesk ein. IT-Teams profitieren von der schnelleren Skalierung, besseren Kontrolle über den Anwenderzugriff, automatisierten Authentifizierung & haben somit mehr Kapazität für Kernaufgaben.

Daten- & Zugriffsicherheit

Single Sign-on leistet einen wichtigen Beitrag zur Sicherheit und Compliance im Unternehmen. Es minimiert die Angriffsvektoren, vereinfacht die konsequente Umsetzung von Security Policies, u.a. Datenschutzeinstellungen & mindert die Gefahr durch Datenlecks wie Phishing, Identitätsdiebstahl sowie Privilegienmissbrauch.

Gerne stehen wir für Fragen zur Verfügung.
Wir freuen uns auf Ihre Anfrage.

Technische Redakteurin
Claudia Jung

Wie können wir Ihnen weiterhelfen?

Wir freuen uns auf Ihre Nachricht.