SSO (Single Sign-On) ist ein Authentifizierungsverfahren, das Benutzern mit nur einer Anmeldung zentralisierten Zugriff auf mehrere Anwendungen ermöglicht. Unternehmen nutzen SSO üblicherweise, um den Zugriff auf eine Vielzahl an lokalen, Cloud- und Webanwendungen zu vereinfachen. Die IT erhält zudem mehr Kontrolle über den Benutzerzugriff, es kommt zu weniger Support-Anrufen aufgrund vergessener Passwörter, und Sicherheit und Compliance werden gefördert.
Heute werden Anwendungen in Rechenzentren, in Clouds oder per SaaS-Modell bereitgestellt. In jeder Unternehmensanwendung müssen sich Benutzer erst authentifizieren, bevor sie Zugriff auf eine Ressource erhalten. Vor der Einführung von SSO mussten sich Benutzer jedes Mal mit verschiedenen Anmeldedaten einloggen, wenn sie zu einer anderen Anwendung wechseln wollten. Die meisten Anwendungen erforderten eigene Anmeldedaten. Das Ergebnis: niedriger Benutzerkomfort, fehlgeschlagene Anmeldungen aufgrund vergessener Anmeldedaten, uneinheitliche Zugriffskontrollen und höhere Kosten, damit diese Anwendungen überhaupt unterstützt werden konnten.
SSO hat den Zugriff auf Anwendungen vereinfacht. Bei SSO können Benutzer schnell mit nur einer Anmeldung auf all Ihre VDI, lokalen, Web- und SaaS-Anwendungen sowie andere Unternehmensressourcen wie Netzwerkdateifreigaben zugreifen.
Single Sign-On ist Teil des Federated Identity Management (FIM), eine Absprache zwischen Unternehmen, um Nutzer mit denselben Anmeldedaten auf das Netzwerk eines jeden Unternehmens zugreifen zu lassen. FIM wird oft als Identitätsföderation bezeichnet.
Die Identität des Nutzers ist in mehreren abgesicherten Domänen verknüpft, wobei jede über ihr eigenes Identitätsmanagement verfügt. Sind die Domänen föderiert, muss sich der Benutzer nur in einer Domäne authentifizieren, um ohne erneute Anmeldung auf alle anderen zugreifen zu können.
Das Framework, über das Dritte wie LinkedIn oder Facebook ihre Nutzer ohne Passworteingabe anmelden können, heißt OAuth. Es dient als Zwischenstelle, die dem Service ein Token ausstellt, durch das nur bestimmte Kontodaten weitergegeben werden können. Greift ein Benutzer auf eine Anwendung zu, sendet der Service eine Authentifizierungsanfrage an den Identity Provider, der die Anfrage verifiziert und den Zugriff gewährt.
Es gibt weitere Authentifizierungsprotokolle wie Kerberos oder SAML (Security Assertion Markup Language). Kerberos-basierte SSO-Services stellen ein Authentifizierungsticket mit Zeitstempel oder ein „Ticket-Granting Ticket“ (TGT) aus, das Servicetickets anderer Anwendungen abruft, ohne den Benutzer zu einer erneuten Anmeldung aufzufordern. SAML-basierte SSO-Services tauschen Anmeldedaten über sichere Domänen hinweg aus und verwalten die Kommunikation zwischen dem Benutzer, einem Identity Provider mit einem Benutzerverzeichnis und einem Service Provider.
Sowohl Benutzer als auch die IT profitieren von SSO. Für den Benutzer fallen weniger Passwörter an und er kann einfacher und schneller auf Anwendungen zugreifen.
Die IT profitiert von weniger Supportfällen aufgrund vergessener Passwörter. Darüber hinaus entfällt durch das automatisierte Management von Anmeldedaten das manuelle Verwalten des Mitarbeiterzugriffs auf Anwendungen und Services. SSO ermöglicht außerdem schnellere Bereitstellungen und Rollouts von SaaS-Anwendungen.
Hinsichtlich der Sicherheit reduziert SSO das Risiko von Cyberangriffen wie Phishing, da weniger Anmeldedaten gestohlen werden können. Auf Multi-Faktor-Authentifizierung als Rückfallmethode ist jedoch nicht zu verzichten, sollten Passwörter doch einmal kompromittiert werden.
Bei der Entscheidung für eine SSO-Lösung sollten folgende Best Practices berücksichtigt werden.