What is single sign-on (SSO)?

Single sign-on (SSO) is an authentication capability that lets users access multiple applications with one set of sign-in credentials. Enterprises typically use SSO to provide simpler access to a variety of web, on-premises, and cloud apps for a better user experience.

Why use single sign-on?

Today, applications are deployed across data centers and clouds, and being delivered as SaaS. Every business application requires users to be authenticated before they are given access to a resource. In the pre-SSO days, every time a user needed to move between applications, they had to sign in with a set of credentials. Most of the time, every application had a separate set of credentials, and it resulted in poor user experience, failed sign-ins as a result of forgotten credentials, inconsistent access control policies, and higher cost to support these applications.

How does single sign-on work?

Single sign-on is a component of federated identity management (FIM), an arrangement between enterprises that lets subscribers use the same identification data to access each enterprise's network. FIM is often referred to as identity federation. The user's identity is linked across multiple security domains, each with its own identity management system. When the domains are federated, the user can authenticate to one and access resources in another without having to sign in again.

What are the benefits of single sign-on?

SSO offers benefits to both users and IT. From a user perspective, SSO alleviates password fatigue, making it easier and faster to access applications. For IT, SSO can help reduce the number of password-related support calls. And automated credential management alleviates the burden of manually managing employees' access to apps and services.

What are single sign-on best practices?

When searching for an SSO solution, it's important to keep the following best practices in mind. Access to any application. Secure user identity when accessing SaaS applications. Integration with multi-factor authentication mechanisms. Monitoring and troubleshooting tools.

Was ist SSO (Single Sign-On)?

SSO (Single Sign-On) ist ein Authentifizierungsverfahren, das Benutzern mit nur einer Anmeldung zentralisierten Zugriff auf mehrere Anwendungen ermöglicht. Unternehmen nutzen SSO üblicherweise, um den Zugriff auf eine Vielzahl an lokalen, Cloud- und Webanwendungen zu vereinfachen. Die IT erhält zudem mehr Kontrolle über den Benutzerzugriff, es kommt zu weniger Support-Anrufen aufgrund vergessener Passwörter, und Sicherheit und Compliance werden gefördert.

Warum Single Sign-On?

Heute werden Anwendungen in Rechenzentren, in Clouds oder per SaaS-Modell bereitgestellt. In jeder Unternehmensanwendung müssen sich Benutzer erst authentifizieren, bevor sie Zugriff auf eine Ressource erhalten. Vor der Einführung von SSO mussten sich Benutzer jedes Mal mit verschiedenen Anmeldedaten einloggen, wenn sie zu einer anderen Anwendung wechseln wollten. Die meisten Anwendungen erforderten eigene Anmeldedaten. Das Ergebnis: niedriger Benutzerkomfort, fehlgeschlagene Anmeldungen aufgrund vergessener Anmeldedaten, uneinheitliche Zugriffskontrollen und höhere Kosten, damit diese Anwendungen überhaupt unterstützt werden konnten.

SSO hat den Zugriff auf Anwendungen vereinfacht. Bei SSO können Benutzer schnell mit nur einer Anmeldung auf all Ihre VDI, lokalen, Web- und SaaS-Anwendungen sowie andere Unternehmensressourcen wie Netzwerkdateifreigaben zugreifen.

Wie funktioniert Single Sign-On?

Single Sign-On ist Teil des Federated Identity Management (FIM), eine Absprache zwischen Unternehmen, um Nutzer mit denselben Anmeldedaten auf das Netzwerk eines jeden Unternehmens zugreifen zu lassen. FIM wird oft als Identitätsföderation bezeichnet.

Die Identität des Nutzers ist in mehreren abgesicherten Domänen verknüpft, wobei jede über ihr eigenes Identitätsmanagement verfügt. Sind die Domänen föderiert, muss sich der Benutzer nur in einer Domäne authentifizieren, um ohne erneute Anmeldung auf alle anderen zugreifen zu können.

Das Framework, über das Dritte wie LinkedIn oder Facebook ihre Nutzer ohne Passworteingabe anmelden können, heißt OAuth. Es dient als Zwischenstelle, die dem Service ein Token ausstellt, durch das nur bestimmte Kontodaten weitergegeben werden können. Greift ein Benutzer auf eine Anwendung zu, sendet der Service eine Authentifizierungsanfrage an den Identity Provider, der die Anfrage verifiziert und den Zugriff gewährt.

Es gibt weitere Authentifizierungsprotokolle wie Kerberos oder SAML (Security Assertion Markup Language). Kerberos-basierte SSO-Services stellen ein Authentifizierungsticket mit Zeitstempel oder ein „Ticket-Granting Ticket“ (TGT) aus, das Servicetickets anderer Anwendungen abruft, ohne den Benutzer zu einer erneuten Anmeldung aufzufordern. SAML-basierte SSO-Services tauschen Anmeldedaten über sichere Domänen hinweg aus und verwalten die Kommunikation zwischen dem Benutzer, einem Identity Provider mit einem Benutzerverzeichnis und einem Service Provider.

Welche Vorteile bietet Single Sign-On?

SSO bietet Vorteile für Benutzer und die IT. Für den Benutzer fallen weniger Passwörter an und er kann einfacher und schneller auf Anwendungen zugreifen.

Die IT profitiert von weniger Supportfällen aufgrund vergessener Passwörter. Darüber hinaus entfällt durch das automatisierte Management von Anmeldedaten das manuelle Verwalten des Mitarbeiterzugriffs auf Anwendungen und Services. SSO ermöglicht außerdem schnellere Bereitstellungen und Rollouts von SaaS-Anwendungen.

Hinsichtlich der Sicherheit reduziert SSO das Risiko von Cyberangriffen wie Phishing, da weniger Anmeldedaten gestohlen werden können. Auf Multi-Faktor-Authentifizierung als Rückfallmethode ist jedoch nicht zu verzichten, sollten Passwörter doch einmal kompromittiert werden.

Best Practices für Single Sign-On

Bei der Entscheidung für eine SSO-Lösung sollten folgende Best Practices berücksichtigt werden.

Zugriff auf jede Anwendung.Einige SSO-Lösungen unterstützen nur bestimmte Anwendungstypen. Einige Lösungen für Anwendungen im eigenen Rechenzentrum ermöglichen auch SSO für Web- und Unternehmensanwendungen, jedoch nicht für VDI- oder SaaS-Anwendungen. Andererseits stellen einige IDaaS-Anbieter SSO für Cloud- und SaaS-Anwendungen, jedoch nicht für Anwendungen im eigenen Rechenzentrum zur Verfügung. Bei der Wahl einer SSO-Lösung sollten Sie vor allem darauf achten, dass sie nicht nur Zugriff auf alle VDI-, Unternehmens-, Web- und SaaS-Anwendungen bietet, sondern auch Netzwerkzugriff auf andere Unternehmensressourcen wie Netzlaufwerke.
Sichere Anwenderidentität beim Zugriff auf SaaS-Anwendungen. SaaS-Anwendungen werden außerhalb des eigenen Rechenzentrums gehostet. Um SSO für diese Anwendungen bereitzustellen, erfordern viele Anbieter, dass Kunden ihr Nutzerverzeichnis in die Cloud verlagern. Für viele Unternehmen stellt das ein Sicherheitsrisiko dar, weshalb bei Ihrer Lösung das Benutzerverzeichnis im eigenen Rechenzentrum verbleiben können sollte.
Integration von Multi-Faktor-Authentifizierung. Es ist besonders wichtig, Anwender schnell und zuverlässig zu identifizieren, sodass sie Zugriff auf Unternehmensressourcen haben. Unternehmenskunden sollten deshalb keine Lösung verwenden, die lediglich einen Benutzernamen und ein Passwort für die Anmeldung nutzt. Eine effiziente Lösung bietet Flexibilität und identifiziert Anwender anhand bestimmter Faktoren wie z. B. Endgerät, Standort und Ziel-Anwendung. Daher ist es wichtig, eine SSO-Lösung auszuwählen, die jedes beliebige Authentifizierungsverfahren und Authentifizierungsprotokolle wie RADIUS, Kerberos, Microsoft NTLM oder Certificate Services unterstützt.
Tools für Monitoring und Fehlerbehebung. Für eine schnelle Problemlösung sollte Ihre SSO-Lösung Tools zur Überwachung der Performance aller Anwendungen umfassen, egal ob diese lokal, in der Cloud oder als SaaS bereitgestellt werden.

Was ist SSO (Single Sign-On)?

Warum Single Sign-On?

Wie funktioniert Single Sign-On?

Welche Vorteile bietet Single Sign-On?

Best Practices für Single Sign-On

Zusätzliche Ressourcen