Menü Kontaktieren Sie uns Bei Oracle Cloud anmelden

Was ist Single Sign-On (SSO)? Wie funktioniert SSO?

Art Wittman | Content Director | 22. Oktober 2024

In diesem Artikel

Was ist SSO (Single Sign-On)?
SSO erklärt
Wie funktioniert SSO?
Allgemeine SSO-Konfigurationstypen
Vorteile von SSO
SSO und Sicherheit: Ist SSO sicher?
SSO und Datenschutz
SSO-Anwendungsfälle
SSO-Implementierung
Best Practices für SSO
Sicherer und einfacher Zugriff mit Oracle kontrollieren
SSO - Häufig gestellte Fragen

Wir alle tun es, und wir wissen, dass wir es nicht tun sollten. Es gibt diese Datei auf unserem Telefon oder ein Stück Papier in unserer Brieftasche - oder schlimmer noch, eine Post-it-Notiz, die auf der Rückseite unserer Tastatur festgehalten ist - die unsere Benutzernamen und Passwörter auflistet. Dann gibt es die Gewohnheit, den Namen unseres Hundes zusammen mit ein paar Zahlen und einige Satzzeichen zu verwenden.

Tatsache ist, dass das moderne Leben in der Web-Welt bedeutet, dass wir irgendwie Dutzende von Kontonamen und Passwörtern verfolgen müssen. Wenn Sie nicht mit einer bemerkenswerten Erinnerung begabt sind, werden sie nicht alle anders sein. Meistens sind sie einfach, veraltet und leicht zu erraten – wenn sich jemand wirklich Mühe gibt. Es ist ein Geschenk für potenzielle Cyberkriminelle, und es ist zu 100% vermeidbar.

Was ist SSO (Single Sign-On)?

Single Sign-On-Technologie ist eine partielle Lösung für das Passwortproblem, das uns sowohl bei der Arbeit als auch in unserem persönlichen Leben heimsucht. Es ermöglicht uns, sich einmalig bei einem Authentifizierungsserver anzumelden, der dann in unserem Namen Zertifikate ausstellt, die als verifizierte Zugangsdaten für teilnehmende Apps dienen.

Die Wahrscheinlichkeit ist, dass Sie ein solches System verwendet haben. Wenn Sie sich für "Mit Apple anmelden" oder für Google oder das Identity Management-System eines anderen großen Anbieters entschieden haben, anstatt ein neues Passwort für eine Webanwendung zu erstellen, verwenden Sie SSO. In zunehmendem Maße wird SSO auch im Unternehmen verwendet, oft in Kombination mit anderen Autorisierungstechnologien, um sowohl Unternehmenssysteme zu sichern als auch die Passwortverwaltung für Dutzende bis Hunderte von Anwendungen und Services nutzbar zu machen.

Wichtige Erkenntnisse

SSO reduziert die Belastung, sich zahlreiche Kombinationen aus Benutzernamen und Passwörtern merken zu müssen.
SSO erleichtert IT-Teams das Leben, indem es ihnen nur ein Authentifizierungssystem gibt, das für das gesamte Unternehmen verwaltet werden kann.
Mit SSO können Anwendungen Benutzer auch bei Services authentifizieren, die von der Anwendung ausgeführt werden müssen, z. B. bei Anwendungen, die Netzwerkverbindungen verwalten oder nach Softwareupdates suchen.

SSO erklärt

Das Konzept der Single Sign-On ist einfach: Anstatt einen Benutzernamen und ein Passwort anzugeben oder sich anderweitig für jede von Ihnen verwendete Anwendung zu identifizieren, geben Sie diese Informationen nur einmal an einen Authentifizierungsserver weiter. Anschließend sendet der Authentifizierungsserver Identifikationszertifikate in Ihrem Namen aus, wenn Sie auf eine Anwendung zugreifen, die am SSO-System teilnimmt.

SSO reduziert die Anzahl der Benutzernamen und Passwörter, die Sie kennen müssen. Es kann auch erheblich reduzieren, wie oft Sie aufgefordert werden, Identifikationsnachweise bereitzustellen, so dass es einfacher ist, eine breite Palette von Anwendungen zu verwenden und wahrscheinlicher, dass Sie stärkere Passwörter erstellen. Aus Sicht der IT-Planer von Unternehmen ermöglicht SSO es ihnen, Sicherheitsverfahren zu aktualisieren und erweiterte Authentifizierungsmechanismen bereitzustellen, die vom Authentifizierungsserver verwendet werden können, sodass alle teilnehmenden Anwendungen eine sicherere Authentifizierung erhalten, ohne dass Änderungen erforderlich sind.

Wenn Sie in Ihrem persönlichen Leben das Authentifizierungssystem eines großen Anbieters verwenden, anstatt manuell einen neuen Benutzernamen und ein neues Passwort für jede App einzurichten, bietet dies mehrere Vorteile. Ein wichtiger Vorteil ist, dass die großen Anbieter, die föderierte Identity-Management-Services bereitstellen, gut darin sind, Passwörter und andere personenbezogene Daten zu schützen, die ihnen von Kunden anvertraut werden. Ein neuer Anbieter mit einer neuen Anwendung schützt die von Ihnen angegebenen Zugangsdaten möglicherweise nicht so gut.

Wie funktioniert SSO?

SSO fordert Benutzer auf, sich bei einem SSO-Server und nicht bei einzelnen Anwendungen zu authentifizieren. Sobald dieser Authentifizierungsprozess abgeschlossen ist, stellt der SSO-Server den Anwendungen Zertifikate zur Verfügung, auf die eine authentifizierte Person zugreifen möchte. Zertifikate dienen zur Überprüfung der Identität des Benutzers.

Zertifikate sind in der Regel nur für einen bestimmten Zeitraum gültig und werden in der Regel an das System gebunden, von dem aus sich einzelne Benutzer authentifiziert haben. Um teilnehmen zu können, müssen Anwendungen so geschrieben werden, dass sie den SSO-Service verwenden können. Im Unternehmen wählen IT-Planer normalerweise ein SSO-Modell und fordern dann, dass Anwendungen es verwenden, um die Identität der Mitarbeiter zu überprüfen. Dies kann ein Problem für ältere, monolithische Anwendungen sein, die eigene Benutzerzugangsdaten-Repositorys erstellen oder keine gängigen SSO-Architekturen unterstützen.

Wie SSO funktioniert, um das Diagramm des digitalen Zugriffs zu vereinfachen — So funktioniert SSO, um die Sicherheit zu erhöhen, die Benutzererfahrung zu verbessern und die Produktivität zu steigern.

Allgemeine SSO-Konfigurationstypen

Gemeinsame SSO-Komponenten und -Konzepte weisen mehrere Merkmale auf, darunter zentralisiertes Identitätsmanagement, Standardisierung und robuste Sicherheitsmaßnahmen. Ein Schlüssel ist die Interoperabilität – diese Systeme müssen zusammenarbeiten, um sicherzustellen, dass der Authentifizierungsprozess benutzerfreundlich ist und über mehrere Anwendungen hinweg reibungslos funktioniert. Wenn dies erreicht wird, werden IT-Teams feststellen, dass sie mit minimalem Pushback sicherere Passwörter und Zwei-Faktor-Authentifizierung vorschreiben können.

SAML. Security Assertion Markup Language ist eine technische Spezifikation, in der die Struktur eines Dokuments beschrieben wird, das zur Authentifizierung von Benutzern bei Anwendungen dient. SAML verwendet den weithin akzeptierten XML-Standard, um die Struktur des Dokuments anzugeben, das Identitätsserver – auch Identitätsprovider genannt – erstellen und an Anwendungen senden. Diese Anwendungen werden in SSO-Parlance häufig als "Serviceprovider" bezeichnet. Jeder Identitätsprovider, der SAML verwendet, erstellt Authentifizierungszugangsdaten, die von jeder Anwendung verwendet werden können, die SAML-fähig ist. Dies ist eine gute Wahl für Internetanwendungen.

SAML bietet keinen Mechanismus, um sicherzustellen, dass die Authentifizierungsinformationen, die eine Anwendung empfängt, unverändert bleiben. Das wird von anderen Technologien behandelt.
Kerberos. Kerberos wurde Ende 1980s im Rahmen von Project Athena am MIT erstellt und ist eine vollständige Authentifizierungs- und Autorisierungsarchitektur. Projekt Athena versuchte, ein Netzwerk von Computerressourcen zu schaffen, die universell für MIT-Studenten auf dem gesamten Campus zugänglich sind. Kerberos verwendete ursprünglich den Data Encryption Standard (DES), um Nachrichten zu verschlüsseln, die zwischen Authentifizierungsservern und Anwendungen übergeben wurden. Es verwendete symmetrische 48-Bit-Schlüssel, was bedeutet, dass derselbe Schlüssel zum Verschlüsseln und Entschlüsseln von Nachrichten verwendet wird. DES war damals die sicherste Form der Verschlüsselung, die als Standard DES National Institute of Standards and Technology (NIST) zur Verfügung stand.

Derzeit verwendet Kerberos Advanced Encryption Standard (AES), der DES in den Verschlüsselungsstandards von NIST abgelöst hat. AES gibt längere Schlüssel an - bis zu 256 Bit Länge - und ermöglicht mehrere Verschlüsselungsrunden, wodurch das System sehr schwer zu knacken ist.

Da Kerberos eine symmetrische Schlüsselverschlüsselung verwendet, benötigt es einen vertrauenswürdigen Drittanbieter, um Schlüssel zu verwalten. Dies macht es für Unternehmensanwendungen am besten geeignet, bei denen eine Verwendungsdomain streng eingerichtet werden kann, die normalerweise auf die LANs und VPNs des Unternehmens beschränkt ist. Während Kerberos über das Internet verwendet werden kann, wo keine Domain mit einem anderen Authentifizierungsstandard (Public-Key-Verschlüsselung) eingerichtet wird, um den Prozess zu starten, wird er auf diese Weise selten verwendet. Kerberos kann sein eigenes Zugangsdatenformat verwenden oder zur Verwendung von SAML konfiguriert werden. Es bleibt beliebt, auch bei Microsoft, das standardmäßig Kerberos und nicht sein weniger sicheres NTLM-Authentifizierungssystem für Unternehmensnetzwerke verwendet.
OAuth. Als offenes Autorisierungs-Framework, das kein Authentifizierungs-Framework enthält, ist OAuth das Standardsystem, wenn eine Internetanwendung im Namen eines Benutzers auf die Ressourcen eines geschützten Service zugreifen muss. Die meisten Cloud-Provider, einschließlich Oracle mit seiner Oracle Cloud Infrastructure (OCI), verwenden OAuth, um den Zugriff auf ihre Cloud-Ressourcen zu verwalten. Oracle bietet außerdem Bibliotheken und Services, mit denen Entwickler ihre eigenen Anwendungen erstellen können, die OAuth verwenden.

Die folgenden Komponenten sind zentrale Bestandteile eines OAuth-Systems:
- Das Clientsystem, im Allgemeinen eine Endbenutzeranwendung, die möglicherweise auf die Ressourcen verschiedener im Internet verfügbarer Services zugreifen möchte.
- Der Autorisierungsserver, der Anforderungen für Token empfängt, mit denen ein Client auf geschützte Services zugreifen kann. Der Autorisierungsserver empfängt Anforderungen für Token zusammen mit dem Authentifizierungszertifikat des Clients. Es werden Zugriffstoken ausgegeben, die vom Ressourceneigentümer autorisiert wurden.
- Der Ressourcenserver, der die Informationen enthält oder den Service bereitstellt, den der Client verwenden möchte. Er stellt Daten oder Dienste bereit, wenn er gültige Zugriffstoken vom Client erhält.
Mit dem Zugriffstoken können verschiedene Zugriffsberechtigungstypen angegeben werden. Die verschiedenen Typen werden abhängig von der erforderlichen Vertrauensstufe und der Art des Clientgeräts ausgegeben. Zum Beispiel kann ein Smart TV eine andere Zugriffsberechtigung erhalten als ein Laptop.
OpenID Connect (OIDC). OpenID Connect ist das Identity-Management-System, das für die Verwendung mit OAuth entwickelt wurde. Gemeinsam bieten OIDC und OAuth eine vollständige SSO-Umgebung für webbasierte Anwendungen und internetnative Systeme wie mobile Anwendungen. Anstatt SAML als Grundlage für die Rückgabe von Zugangsdateninformationen zu verwenden, verwendet OIDC ein JSON-Dokument, das als JSON Web Tokens (siehe unten) und RESTful-Protokolle bezeichnet wird. Beide sind im Internet nativ und für Entwickler einfach zu verwenden.

Anstatt wie Kerberos eine symmetrische Schlüsselverschlüsselung zu verwenden, verwendet OIDC die Public-Key-Verschlüsselung, die sich besser für domainlose Netzwerke wie das Internet eignet.
Smartcard-Authentifizierung. Systeme wie OIDC verwenden Public-Key-Verschlüsselung, um sicherzustellen, dass nur beabsichtigte Empfänger die Daten sehen können, die während und nach der Authentifizierung mit einem Identity Management-Provider ausgetauscht werden. Die Public-Key-Verschlüsselung ist asymmetrisch und umfasst einen Public Key, mit dem Nachrichten verschlüsselt werden können, die an einen Client oder Server gesendet werden sollen, und einen Private Key, der geheim ist und zum Entschlüsseln von Nachrichten verwendet werden muss.

In der Regel werden private Schlüssel auf dem Gerät eines Benutzers gespeichert. Die meisten Laptops verfügen über einen manipulationssicheren Chip, der die Trusted Platform Module (TPM)-Technologie verwendet, um Nachrichten für das System zu entschlüsseln. Apple- und Android-Handys verwenden unterschiedliche, aber ähnliche Systeme. Apple heißt Secure Enclave und Android heißt Android Knox. Mit diesen Technologien kann das Gerät jedem System, das es ordnungsgemäß anfordert, seinen öffentlichen Schlüssel zur Verfügung stellen und seinen privaten Schlüssel verwenden, der nie zur Entschlüsselung von Nachrichten weitergegeben wird, die es empfängt.

Der Vorteil dieser Systeme besteht darin, dass der Benutzer des Geräts nichts über die Handhabung der Verschlüsselung wissen muss. Der Nachteil ist, dass jedes Gerät, das der Benutzer besitzt, ein eindeutiges öffentliches/privates Schlüsselpaar hat, so dass die Geräte im Verschlüsselungsprozess individuell bekannt sind. Wenn ein Laptop oder Telefon verloren geht oder gestohlen wird, wird sein Verschlüsselungssystem den Zugriff nicht verhindern, wenn der Dieb das Passwort des Besitzers kennt.

Durch die Verwendung einer Smartcard mit einem Chip, der den in Kreditkarten eingebetteten Chips ähnelt, können Benutzer mit einem Schlüsselsatz authentifiziert werden, unabhängig von den Geräten, die sie verwenden. Der Chip auf der Karte ist ein eigener Mikroprozessor, so dass er in einen Kartenleser eingesetzt oder aktiviert und mit einer RFID-Technologie wie Nahfeldkommunikation betrieben werden muss. Smartcard-Sicherheit ist ähnlich wie bei TPM-Chips.
Enterprise SSO. Große Unternehmen mit komplexen Anwendungsinfrastrukturen können ein Enterprise SSO-System (eSSO) erstellen, das auf die Grenzen seiner Netzwerke beschränkt ist. Mitarbeiter werden es zu schätzen wissen müssen, dass sie nur ein oder zwei Passwörter und Benutzernamen kennen müssen, um in die Apps zu gelangen, die ihre Arbeit erfordert, und das Unternehmen wird von einer besseren, besser verwaltbaren Sicherheit für Systeme und Daten profitieren. Diese eSSO-Systeme bevorzugen möglicherweise symmetrische Schlüsselverschlüsselung basierend auf ihrer Fähigkeit, Schlüssel einfacher zu entziehen, und SAML für sein bekanntes Format, und sie verwenden häufig verschiedene Arten von Multifaktor-Authentifizierung für eine bessere Endpunktsicherheit.

Da SaaS-Anwendungen immer häufiger werden, haben Unternehmen die Wahl, auf ein System wie OAuth zu wechseln, das häufiger im Internet verwendet wird, oder zu verlangen, dass SaaS-Anwendungen in das von dem Unternehmen gewählte eSSO-Framework passen. SAML kann im Unternehmensnetzwerk und über das Internet verwendet werden. Viele SaaS-Anwendungen unterstützen beide Frameworks für die Benutzerauthentifizierung.
Web-SSO. Webanwendungen funktionieren wahrscheinlich besser mit OAuth, um Benutzeraktivitäten zu autorisieren, oder mit OpenID Connect, um Benutzer zu authentifizieren. Da das Internet als Übertragungsweg vorausgesetzt wird, sind die Komponenten eines Web-SSO-Systems als IETF-Standard definiert und funktionieren daher in einer Weise, die Webentwickler erwarten und schätzen. Darüber hinaus ist die Authentifizierung eng mit der Autorisierung verbunden und verwendet Zugriffsmethoden wie REST-Protokolle und Informationsstandards, die auf JSON basieren, um ein vollständiges, erweiterbares System zu erstellen. Web-SSO-Systeme sind auch für die domänenübergreifende und skalierbare Arbeit gedacht.
LDAP. Das Lightweight Directory Access Protocol wurde erstmals in 1990s eingeführt, damit Benutzer Ressourcen finden, die sie möglicherweise in einem lokalen Netzwerk verwenden möchten, wie Server oder Drucker. Es handelt sich um einen autoritativen Server, der alle Ressourcen innerhalb einer Domain kennt. Daher ist es nicht für die Internetnutzung geeignet.

Da LDAP für den Zugriff auf Netzwerkressourcen verwendet wird, umfasst es ein Benutzerauthentifizierungssystem mit den Zugangsdaten des Benutzers, die auf dem LDAP-Server gespeichert sind. Die Authentifizierungsmechanismen der Benutzer sind nicht sicher; sie senden beispielsweise Passwörter als Klartext über das Netzwerk. Die Verschlüsselung kann von einem anderen Protokoll wie SSL/TLS bereitgestellt werden.

LDAP hat den Vorteil, flexibel und erweiterbar zu sein, sodass Unternehmen damit zusätzliche Informationen über Mitarbeiter speichern können, wie z.B. Organisationsrollen und Gruppenmitgliedschaften sowie Attribute wie Bürostandort und Telefonnummer. Dennoch sind im Unternehmen häufig granularere Zugriffsberechtigungen erforderlich – denken Sie daran, wer Zugriff auf bestimmte Daten hat – und diese Zugriffsrechte können nicht einfach von LDAP verwaltet werden.
JWT. JSON Web Tokens sind kompakte Dokumente, die verwendet werden, um Informationen zwischen Parteien strukturiert zu übertragen. Sie erfüllen denselben Bedarf wie SAML-Dokumente, jedoch im kürzeren Format, wodurch sie für die Aufnahme in URLs geeignet sind. JWTs werden mithilfe von Public-Key-Verschlüsselungstechniken kryptografisch signiert, um die Authentizität sicherzustellen. Nach der Authentifizierung eines Benutzers gibt der Identitätsserver in Open Authentication (Oath) ein JSON-ID-Token zurück.

Autorisierungsanforderungen für den Zugriff auf geschützte Ressourcen geben anschließend ein JSON-Zugriffstoken zurück, das dann bei jeder Anforderung an den Ressourcenserver enthalten sein muss. Solche Transaktionen übertragen den Status des Clients – in diesem Fall authentifiziert und autorisiert – mit jeder Anfrage und werden daher als sogenannte RESTful-Exchanges bezeichnet. REST, das für "representational state transfer" steht, ist von Vorteil, da Ressourcenserver keine Sessions mit jedem Client einrichten und verwalten müssen, der die Ressourcen des Servers verwenden möchte.

JWTs sind Klartextdokumente, daher sollten sie über HTTPS-verschlüsselte Verbindungen verwendet werden. Token sind in der Regel so konzipiert, dass sie keine sensiblen Daten enthalten, wie z. B. personenbezogene Daten. Da jedes Token gemäß X.509, dem internationalen Standard für die Formatierung von PublicKey-Zertifikaten, signiert ist, wird diese Signatur von Ressourcenservern validiert, um sicherzustellen, dass das Token nicht manipuliert wurde. JWTs sind Komponenten eines OAuth/OpenID-Authentifizierungs- und -Autorisierungssystems. Sie sind für die Verwendung durch Webanwendungen konzipiert, können gut skaliert werden und sollen domänenübergreifend verwendet werden.

Vorteile von SSO

IT- und Sicherheitsexperten sind in der Regel Fans von SSO. Sie verstehen, dass dies die Zentralisierung der Benutzerauthentifizierung, den Schutz potenziell sensibler Informationen und die Verwaltung der Integration mit Unternehmenssystemen und -anwendungen bedeutet. Sie sind im Allgemeinen glücklich, die erforderlichen Benutzerschulungen in Angriff zu nehmen und die laufende Überwachung und Wartung anzugehen. Das ist ein direktes Ergebnis mehrerer signifikanter Vorteile, die mit der Technologie verbunden sind.

Zentralisierter Zugriff. SSO-Systeme vereinfachen die Verwaltung von Benutzerkonten und den Zugriff auf die vielen Anwendungen, die von den meisten Unternehmen und Internet-Cloud-Anbietern verwaltet werden. Der Benutzerzugriff auf alle Anwendungen kann an einem Ort erteilt und entzogen werden. Wenn beispielsweise ein Mitarbeiter eine Organisation verlässt, müssen Administratoren die Zugangsdaten des Mitarbeiters nicht für jede Anwendung einzeln entfernen. Sicherheitsprofis können auch Änderungen an Authentifizierungssystemen an nur einem Ort vornehmen, anstatt Änderungen an jeder Anwendung vornehmen zu müssen.
Mehr Sicherheit. SSO reduziert die Anzahl der Benutzernamen- und Passwortpaare, die Mitarbeiter im Speicher festschreiben müssen. Da diese Belastung reduziert wird, ist es sinnvoll, insbesondere für Unternehmen, die Sicherheit des Authentifizierungsaustauschs mit Multifaktor-Authentifizierung und strengen Passwortrichtlinien zu verbessern.
Erhöhte Mitarbeiterproduktivität. Mitarbeiter werden weniger Schwierigkeiten haben, sich Benutzernamen und Passwörter zu merken, wenn SSO vorhanden ist. Nach der Authentifizierung können Benutzer normalerweise auf Anwendungen zugreifen, ohne sich erneut zu authentifizieren. SSO sollte es Mitarbeitern daher ermöglichen, schneller zu ihrer beabsichtigten Arbeit zu gelangen. Je nach Implementierungsdetails müssen sie sich möglicherweise noch bei den von ihnen verwendeten Anwendungen authentifizieren, müssen sich aber zumindest nur ihre SSO-Zugangsdaten merken.
Reduzierte Passwortersättigung. Seien wir ehrlich, niemand möchte mit Dutzenden von Benutzername- und Passwort-Paaren umgehen. Die Schwierigkeit, sich komplexe Passwörter zu merken, insbesondere wenn sie häufig geändert werden müssen, kann zu Frustration führen und dazu führen, dass Menschen einfach zu erratende Passwörter verwenden, dasselbe Passwort für mehrere Konten wiederverwenden oder die Post-it Note-Methode der Passwortverwaltung verwenden. SSO erleichtert die Belastung.
Einhaltung von Vorschriften. SSO kann die Einhaltung gesetzlicher Vorschriften durch die Vorteile eines zentralisierten Zugriffsmanagements erleichtern, das gerade beschrieben wurde. Auditing und Korrektur werden ebenfalls vereinfacht, da nur ein SSO-Framework geprüft werden muss.
Vereinfachte Integration. Ein typisches Unternehmen verwaltet Petabyte an Daten, die in vielen Datenbankinstanzen gespeichert sind. Es ist nicht schwer, sich eine Datenbank für Fertigungsdaten, eine andere für Lieferkettendaten und andere für Finanzdaten, Marketingdaten, Vertriebsdaten usw. vorzustellen. Es ist auch leicht zu verstehen, wie hilfreich es für Vertriebsmitarbeiter wäre, beispielsweise Zugriff auf Bestandsdaten zu haben. Ein CRM-System kann auf diese Daten zugreifen, aber jeder Vertriebsmitarbeiter muss der Bestandsverwaltungsdatenbank sowie seinem CRM-System bekannt sein. SSO kann die erforderliche verifizierte Identität des Anforderers bereitstellen, und Zugriffstoken können dazu beitragen, festzustellen, welche Daten eine Person in jeder Rolle anzeigen darf. Ohne SSO wäre die Integration zwischen dem CRM- und Bestandssystem viel schwieriger zu erstellen und zu verwalten und würde einen weiteren Authentifizierungsschritt für Benutzer oder möglicherweise eine schwächere Sicherheit für Bestandsdaten beinhalten.
Optimierte Benutzererfahrung. Die Verringerung der Notwendigkeit der Authentifizierung für Unternehmensanwendungen und Webanwendungen sorgt im Allgemeinen für eine bessere Benutzererfahrung. Und weil viele Menschen an SSO über ihre persönliche Online-Präsenz gewöhnt sind, ist oft nur wenig Training erforderlich.

SSO und Sicherheit: Ist SSO sicher?

Erstens gibt es so etwas wie sicher nicht, es gibt nur Grade der Sicherheit. Das heißt, jedes kommerziell erhältliche SSO-Framework ist hochsicher – das ist Teil der Technologie. Im Allgemeinen ist das SSO-System allein keine totale Sicherheitslösung. Stattdessen ist es ein wichtiger Bestandteil einer sicheren Umgebung. Seine Rolle als System für die Authentifizierung von Benutzern und die Bereitstellung von Authentifizierungszugangsdaten für Anwendungen und andere ressourcenschonende Systeme ist ein wichtiger Bestandteil einer allgemeinen Sicherheitsstrategie.

SSO und Datenschutz

SSO bietet eine bessere Privatsphäre, aber die Privatsphäre kann je nach Implementierung variieren. Beispiel: SAML- und JWT-Antworten enthalten mindestens eine Assertion der Authentifizierung. Sie können auch Informationen enthalten, wie Gruppen und Rollen, die für den Benutzer gelten, sowie andere Daten, die Implementierer angeben.

Im webbasierten Einzelhandel oder in sozialen Medien kann es für die Anwendung nützlich sein, das Alter, den Standort und andere persönliche Informationen eines Benutzers zu kennen. Im Allgemeinen, wenn Sie diese personenbezogenen Daten an Facebook nachweisen, gehen Sie davon aus, dass Facebook sie anderen zur Verfügung stellt, es sei denn, die Datenschutzerklärung sagt, dass dies nicht der Fall ist, oder die App ermöglicht es Ihnen, ausdrücklich zu sagen, dass Sie einige Informationen nicht teilen.

Im Unternehmen sollten SSO-Systeme Assertions der Authentifizierung zusammen mit den relevanten Rollen zurückgeben, die der Benutzer in der Organisation hat. Es kann auch nützlich sein, das Büro des Unternehmens, in dem der Benutzer arbeitet, und die geschäftliche Telefonnummer anzubieten. Andere Informationen sollten schwieriger zu bekommen sein. Was standardmäßig bereitgestellt wird, wird in der Regel durch HR-Policys bestimmt.

SSO-Anwendungsfälle

SSO wurde entwickelt, um Benutzern einen nahtlosen Zugriff auf mehrere Anwendungen und Systeme mit nur einer Gruppe von Anmeldeinformationen zu ermöglichen. Unternehmen, die strenge Anforderungen an die Einhaltung gesetzlicher Vorschriften haben, müssen möglicherweise zusätzliche Sicherheitsmaßnahmen ergreifen, es gibt jedoch viele Anwendungsfälle für SSO. Dazu gehören:

Unternehmensanwendungen. Ein Unternehmen verwaltet in der Regel Dutzende bis Hunderte von Anwendungen, für die jeweils eine Authentifizierung der Benutzer erforderlich ist. Das Erstellen und Verwalten von Identity Management-Systemen pro Anwendung ist für Benutzer oder IT-Teams nicht praktisch. SSO bietet eine Möglichkeit, Mitarbeiter einmal zu authentifizieren und dann ihre Autorisierung zur Verwendung von Ressourcen basierend auf dieser einmaligen Authentifizierung zu verwalten.

Authentifizierungs-Assertions sind in der Regel nur für einen bestimmten Zeitraum und auf einem einzelnen System gültig. Detailliertere Details zu den Rollen der einzelnen Mitarbeiter im Unternehmen können vom SSO-System aufbewahrt und von Anwendungen oder Autorisierungssystemen verwendet werden, um einen eingeschränkten Zugriff auf Anwendungen, Daten und andere Ressourcen zu ermöglichen.
Cloudbasierte Anwendungen Sowohl für Unternehmen als auch für Verbraucher weisen cloudbasierte Systeme unterschiedliche Identifikations- und Autorisierungsanforderungen auf als SSO-Systeme, die für das Unternehmen bestimmt sind. Für Verbraucher kann die Bequemlichkeit vorschreiben, dass Benutzer, sobald sie authentifiziert sind, den Service von diesem Gerät aus dauerhaft nutzen können. Sobald Sie sich bei Gmail angemeldet haben, können Sie es und andere Google-Anwendungen wie Docs oder Sheets verwenden, ohne sich erneut zu authentifizieren. Im Unternehmen ermöglichen Cloud-Serviceprovider, die SaaS-Anwendungen oder -Plattformen und -Infrastruktur als Service anbieten, auch einen breiten Zugriff auf ihre Services, sobald die Identität des Benutzers bestätigt wird. Die Authentifizierung ist der erste Schritt in einem größeren Serviceautorisierungsschema, bei dem sich Benutzer einmal anmelden und ein breites Spektrum an Services verwenden können. Der Servicezugriff hängt von der Rolle jedes Benutzers für jede Anwendung ab. Möglicherweise sind sie Administrator für eine Anwendung, Entwickler für eine Sekunde und Endbenutzer für eine dritte Anwendung. Der Zugriff hängt auch davon ab, wofür die Organisation bezahlt hat.

SSO-Implementierung

Lassen Sie sich nicht von einem Mangel an interner Sicherheitskompetenz von der SSO-Einführung abhalten. Verwaltete Sicherheitsdienstleister sowie Teams für die Implementierung von SSO-Anbietern stehen zur Verfügung. Viele Unternehmen entscheiden sich für die Nutzung von SSO-Diensten, die von Drittanbietern angeboten werden. Das Unternehmen profitiert von Fachwissen, erweiterten Sicherheitsfunktionen und Skalierbarkeit, und IT-Teams können sich darauf konzentrieren, das Wachstum des Unternehmens zu fördern und gleichzeitig das SSO-Management den Experten überlassen.

Auf hoher Ebene erfordert die Umsetzung drei wesentliche Elemente.

Wählen und Verteilen von Clientauthentifizierungssystemen, die sicher Endbenutzereingaben wie Benutzername und Passwort erfassen. Selbst im Unternehmen werden diese Systeme oft als Webseiten bereitgestellt. Daher ist es einfach, die Authentifizierungsprozesse geräteübergreifend einheitlich zu halten. Im Allgemeinen muss der Benutzer im Unternehmen entweder im Netzwerk des Unternehmens sein oder über ein VPN darauf zugreifen. Diese Anforderung ermöglicht es der Organisation, ein einziges, autoritatives ID-Managementsystem zu erstellen.
Einrichten eines ID-Managers, der Benutzer authentifiziert und Zertifikate im Namen der Organisation ausstellt. In den meisten Shops wird der ID-Manager entweder Teil eines Systems sein, das auch Benutzerautorisierungstoken bereitstellt, die Anwendungen wissen lassen, was eine Person innerhalb der App tun darf, oder eng mit dem Autorisierungsserver verbunden sind.
Konfigurieren oder ändern Sie Anwendungen, um die Zertifikate und Token aus den SSO- und Autorisierungssystemen zu verwenden, anstatt ihr eigenes Benutzer-ID-System beizubehalten.

Best Practices für SSO

Unabhängig davon, ob Sie intern, mit Hilfe eines Drittanbieters oder mit einem As-a-Service-Modell arbeiten, gibt es Schlüssel zum Erfolg. Dazu gehören:

Multifaktorauthentifizierung (MFA) erforderlich. So wie SSO es Unternehmen ermöglicht, Passwortrichtlinien aus einem einzigen Framework durchzusetzen, kann es Unternehmen auch ermöglichen, eine stärkere Identifikationstechnologie zu implementieren, die kollektiv als Multifaktor-Authentifizierung bezeichnet wird. Diese Faktoren können Smartcards, Anwendungen, die auf Smartphones ausgeführt werden, verschiedene Formen der biometrischen Authentifizierung und andere umfassen.
Verwenden Sie die rollenbasierte Zugriffskontrolle (Role-Based Access Control – RBAC). Die Authentifizierung von Benutzern löst nur einen Teil des Problems der Verwaltung des Zugriffs auf Unternehmensressourcen. Die andere Herausforderung besteht darin, den Zugriff der Benutzer nur auf die Ressourcen zu beschränken, die sie verwenden dürfen. Durch die Einrichtung von Gruppen – wie Marketing, Finanzen, Fertigung und Vertrieb – und durch die Festlegung von Rollen innerhalb jeder Gruppe für ihre Mitglieder kann die Zugriffskontrolle sowohl verfeinert als auch an einem zentralen, verwaltbaren Ort aufbewahrt werden.
Standards prüfen und aktualisieren Die Authentifizierung, die sich auf einen einzigen Mechanismus konzentriert, vereinfacht das Auditing erheblich und den Prozess der Aktualisierung, um neue Standards zu erfüllen, wenn sie entstehen.
Rollen- und Berechtigungsverwaltung implementieren SSO eignet sich für eine Null-Trust-Philosophie. Benutzer können nur auf die Ressourcen zugreifen, die explizit für ihre Rollen erforderlich sind, und nur Daten anzeigen, für die sie eine explizite Anzeigeberechtigung haben.
Befolgen Sie die Datenschutzgesetze. Die Verwendung eines SSO-Frameworks gewährleistet nicht die Einhaltung der Datenschutzgesetze, kann diese Compliance jedoch viel einfacher erreichen und nachweisen.

Sicherer und einfacher Zugriff mit Oracle kontrollieren

Sie müssen Benutzeridentitäten und Zugriff für Oracle Cloud Infrastructure (OCI) sowie über Cloud- und On-Premises-Anwendungen hinweg verwalten? Für Unternehmen, die eine Zero-Trust-Sicherheitsstrategie verfolgen, stellt Oracle Cloud Infrastructure Identity and Access Management (IAM) die erforderlichen Management- und Integrationstools bereit.

Möchten Sie einen universellen Authentifizierer mit Unterstützung der Multifaktor-Authentifizierung bereitstellen? Oracle Access Management bietet ein flexibles System, das On-Premises oder in der Cloud ausgeführt werden kann. Organisationen können ermöglichen, dass diese Richtlinien dem Benutzer unabhängig von Gerät und Standort folgen, um einen sicheren Zugriff auf Daten von einem beliebigen Gerät aus überall und jederzeit zu ermöglichen. Zusammen mit MFA unterstützt das IAM-Portfolio von Oracle vertrauenswürdiges Geräte-SSO und Anwendungs-SSO – alles, was erforderlich ist, um Zero-Trust-Architekturprinzipien und -Vorgaben zu erreichen.

Da sich Unternehmen auf mehr Anwendungen verlassen und Anwendungen für ihre Arbeit auf mehr Services und Datenquellen angewiesen sind, wird die Benutzerauthentifizierung und -autorisierung schwieriger zu verwalten. SSO-Frameworks vereinfachen das Leben sowohl für Endbenutzer als auch für Anwendungsarchitekten, indem sie den Authentifizierungs- und Autorisierungsprozess vereinfachen.

KI kann die Funktionen und Sicherheit von SSO-Systemen durch biometrische Verifizierung, Anomalieerkennung, Bereitstellung und andere Funktionen erheblich verbessern. Erfahren Sie, wie Sie ein KI-Programm sicher und kostengünstig einführen können.

E-Book lesen

SSO - Häufig gestellte Fragen

Wofür steht SSO?

SSO steht für Single Sign-On.

Was ist mein SSO-Konto?

Ihr SSO-Account ist ein zentraler Authentifizierungsservice, mit dem Sie eine Gruppe von Anmeldezugangsdaten für den Zugriff auf mehrere Anwendungen und Systeme verwenden können. Dies bedeutet, dass Sie sich nur einen Benutzernamen und ein Kennwort merken müssen, um auf alle von Ihrer Organisation bereitgestellten Services und Ressourcen zuzugreifen. SSO-Accounts optimieren den Anmeldeprozess, verbessern die Sicherheit und erleichtern Benutzern den Zugriff auf die Informationen und Tools, die sie für ihre Aufgaben benötigen.

Was ist ein Beispiel für einen SSO?

Im Consumer Space können große Anbieter wie Amazon, Google, Meta und Microsoft als Quelle für Benutzerzugangsdaten für andere Anwendungen fungieren. Wenn ein Dialogfeld angezeigt wird, in dem Sie entweder Ihre Zugangsdaten eingeben oder sich mit einem der oben genannten Services anmelden können, verwenden Sie den SSO.