Menü Kontaktieren Sie uns Bei Oracle Cloud anmelden

Was ist Single Sign-On (SSO)? Funktionsweise von Single Sign-On

Art Wittman | Content Director | 22. Oktober 2024

In diesem Artikel

Was ist SSO (Single Sign-On)?
SSO einfach erklärt
Funktionsweise von SSO
Häufige SSO-Konfigurationstypen
Vorteile von SSO
SSO und Sicherheit: Ist SSO sicher?
SSO und Datenschutz
SSO-Anwendungsfälle
SSO-Implementierung
Best-Practices für SSO
Sicherer und einfacher Zugriff mit Oracle kontrollieren
Häufig gestellte Fragen zum SSO

Wir alle tun es – obwohl wir wissen, dass wir es nicht sollten. Da ist diese Datei auf dem Smartphone oder der Zettel im Portemonnaie – oder schlimmer noch, das Post-it am Monitor – mit unseren Benutzernamen und Passwörtern. Dann ist da noch die Angewohnheit, den Namen unseres Hundes mit ein paar Zahlen und Satzzeichen zu kombinieren.

Fakt ist: In der digitalen Welt von heute müssen wir Dutzende von Konten und Passwörtern verwalten. Und es sei ehrlich gesagt – außer man hat ein außergewöhnliches Gedächtnis, werden sie kaum alle unterschiedlich sein. Meist sind sie einfach, alt und leicht zu erraten, wenn sich jemand Mühe gibt. Ein gefundenes Fressen für Cyberkriminelle – und dabei völlig vermeidbar.

Was ist SSO (Single Sign-On)?

Die Single-Sign-On-Technologie ist eine Teillösung für das Passwortproblem, das uns sowohl im Berufs- als auch im Privatleben begleitet. Sie ermöglicht es, sich einmal bei einem Authentifizierungsserver anzumelden, der anschließend im Namen des Nutzers Zertifikate ausstellt, die als verifizierte Anmeldeinformationen für verbundene Anwendungen dienen.

Wahrscheinlich haben Sie ein solches System bereits genutzt: Wenn Sie sich etwa mit „Mit Apple anmelden“, „Mit Google anmelden“ oder über das Identitätsmanagement eines anderen großen Anbieters statt mit einem neuen Passwort bei einer Webanwendung eingeloggt haben, dann verwenden Sie SSO. Zunehmend kommt SSO auch in Unternehmen zum Einsatz – häufig in Kombination mit weiteren Autorisierungstechnologien, um Unternehmenssysteme zu schützen und die Passwortverwaltung über Dutzende oder gar Hunderte von Anwendungen und Services hinweg praktikabel zu gestalten.

Wichtige Erkenntnisse

SSO verringert die Belastung für einzelne Benutzer, sich zahlreiche Kombinationen aus Benutzernamen und Passwörtern merken zu müssen.
Gleichzeitig erleichtert SSO den IT-Teams die Arbeit, da sie nur ein zentrales Authentifizierungssystem für die gesamte Organisation verwalten müssen.
Darüber hinaus ermöglicht SSO Anwendungen, Benutzer gegenüber den Services zu authentifizieren, die sie für ihren Betrieb benötigen – wie z. B. für die Verwaltung von Netzwerkverbindungen oder zur Überprüfung von Softwareaktualisierungen.

SSO einfach erklärt

Das Konzept von Single Sign-On ist einfach: Anstatt sich bei jeder einzelnen Anwendung mit Benutzername und Passwort zu identifizieren, geben Sie diese Informationen nur einmal an einen Authentifizierungsserver weiter. Nachdem Sie sich dort angemeldet haben, sendet der Server bei jedem Zugriff auf eine am SSO-System beteiligte Anwendung Identifikationszertifikate in Ihrem Namen.

SSO reduziert somit die Anzahl der Benutzernamen und Passwörter, die Sie sich merken müssen. Außerdem verringert es deutlich die Häufigkeit, mit der Sie Anmeldeinformationen eingeben müssen – was die Nutzung vieler Anwendungen erleichtert und die Wahrscheinlichkeit erhöht, dass Sie stärkere Passwörter verwenden. Aus Sicht der IT-Planer in Unternehmen bietet SSO den Vorteil, dass Sicherheitsrichtlinien zentral aktualisiert und fortschrittlichere Authentifizierungsmechanismen auf dem Server implementiert werden können. Dadurch profitieren alle angeschlossenen Anwendungen automatisch von sichereren Anmeldeverfahren, ohne dass sie selbst angepasst werden müssen.

Auch im privaten Bereich bringt die Nutzung eines Authentifizierungssystems großer Anbieter Vorteile. Ein wesentlicher Pluspunkt besteht darin, dass diese Anbieter, die föderierte Identitätsservices bereitstellen, sehr gut darin sind, Passwörter und persönliche Daten ihrer Nutzer zu schützen. Ein neuer oder kleiner Anbieter mit einer unbekannten App bietet dagegen möglicherweise kein vergleichbar hohes Schutzniveau für die von Ihnen angegebenen Zugangsdaten.

Funktionsweise von Single Sign-On

SSO funktioniert, indem sich Benutzer nicht bei jeder einzelnen Anwendung, sondern zentral bei einem SSO-Server authentifizieren. Sobald dieser Authentifizierungsprozess abgeschlossen ist, stellt der SSO-Server den Anwendungen Zertifikate zur Verfügung, auf die der authentifizierte Benutzer zugreifen möchte. Zertifikate dienen der Verifizierung der Benutzeridentität.

Sie sind in der Regel nur für einen bestimmten Zeitraum gültig und meist an das System gebunden, von dem aus sich der Benutzer authentifiziert hat. Damit Anwendungen am SSO-System teilnehmen können, müssen sie so entwickelt sein, dass sie den SSO-Service nutzen können. In Unternehmen wählen IT-Planer in der Regel ein zentrales SSO-Modell und legen fest, dass alle Anwendungen dieses zur Identitätsprüfung der Mitarbeiter verwenden. Für ältere, monolithische Anwendungen, die eigene Benutzerverzeichnisse führen oder gängige SSO-Architekturen nicht unterstützen, kann dies jedoch eine Herausforderung darstellen.

Wie SSO den digitalen Zugriff vereinfacht – Diagramm — So trägt SSO dazu bei, die Sicherheit zu erhöhen, die Benutzererfahrung zu verbessern und die Produktivität zu steigern.

Häufige SSO-Konfigurationstypen

Gemeinsame Komponenten und Konzepte von SSO-Systemen weisen mehrere zentrale Merkmale auf – darunter ein zentrales Identitätsmanagement, Standardisierung und starke Sicherheitsmaßnahmen. Ein entscheidender Faktor ist die Interoperabilität: Diese Systeme müssen nahtlos zusammenarbeiten, um sicherzustellen, dass der Authentifizierungsprozess benutzerfreundlich bleibt und reibungslos über mehrere Anwendungen hinweg funktioniert. Ist dies erreicht, können IT-Teams strengere Passwortvorgaben und Zwei-Faktor-Authentifizierung einführen – mit minimalem Widerstand seitens der Nutzer.

SAML. Security Assertion Markup Language ist eine technische Spezifikation, die den Aufbau eines Dokuments definiert, das zur Benutzer-authentifizierung in Anwendungen dient. SAML nutzt den etablierten XML-Standard, um die Struktur des Dokuments festzulegen, das Identitätsserver – auch Identity Provider genannt – erstellen und an Anwendungen senden. Diese Anwendungen werden in SSO-Szenarien häufig als Service Provider bezeichnet. Jeder Identity Provider, der SAML verwendet, erzeugt Authentifizierungsdaten, die von jeder SAML-fähigen Anwendung genutzt werden können. Dadurch eignet sich SAML gut für internetbasierte Anwendungen.

SAML selbst stellt jedoch keinen Mechanismus bereit, um sicherzustellen, dass die übermittelten Authentifizierungsinformationen unverändert sind. Dies wird durch zusätzliche Technologien gewährleistet.
Kerberos. Kerberos wurde in den späten 1980er-Jahren am MIT im Rahmen von Project Athena entwickelt und stellt eine vollständige Architektur für Authentifizierung und Autorisierung dar. Ziel von Project Athena war es, ein campusweites Netzwerk zu schaffen, das Studierenden einen universellen Zugriff auf Computerressourcen ermöglicht. Ursprünglich nutzte Kerberos den Data Encryption Standard (DES), um Nachrichten zwischen Authentifizierungsservern und Anwendungen zu verschlüsseln. Dabei kamen symmetrische 48-Bit-Schlüssel zum Einsatz, also Schlüssel, die sowohl zum Ver- als auch zum Entschlüsseln verwendet werden. Zu dieser Zeit galt DES als sicherster Verschlüsselungsstandard des National Institute of Standards and Technology (NIST).

Heute setzt Kerberos auf den Advanced Encryption Standard (AES), der DES in den NIST-Standards abgelöst hat. AES verwendet deutlich längere Schlüssel – bis zu 256 Bit – und unterstützt mehrere Verschlüsselungsrunden. Damit bietet Kerberos ein wesentlich höheres Sicherheitsniveau und ist äußerst schwer zu kompromittieren.

Da Kerberos symmetrische Verschlüsselung nutzt, benötigt es eine vertrauenswürdige dritte Instanz zur Verwaltung der Schlüssel. Daher eignet es sich vor allem für Unternehmensumgebungen, in denen ein klar abgegrenzter Nutzungsbereich besteht – in der Regel das interne LAN oder ein VPN. Zwar lässt sich Kerberos auch über das öffentliche Internet einsetzen, wenn der Prozess durch einen anderen Authentifizierungsstandard – wie z. B. Public-Key-Verschlüsselung – initialisiert wird, doch wird dies nur selten praktiziert. Kerberos kann ein eigenes Anmeldeformat verwenden oder so konfiguriert werden, dass es SAML nutzt. Es ist weiterhin weit verbreitet, unter anderem bei Microsoft, wo Kerberos standardmäßig zur Authentifizierung in Unternehmensnetzwerken eingesetzt wird und damit das weniger sichere NTLM-Verfahren ersetzt.
OAuth. Als offenes Autorisierungsframework ohne eigenes Authentifizierungssystem ist OAuth die Standardlösung, wenn eine Internetanwendung im Namen eines Nutzers auf die Ressourcen eines geschützten Services zugreifen soll. Die meisten Cloud-Anbieter – einschließlich Oracle mit der Oracle Cloud Infrastructure (OCI) – setzen OAuth ein, um den Zugriff auf ihre Cloud-Ressourcen zu steuern. Oracle stellt zudem Bibliotheken und Services bereit, die Entwicklern die Integration von OAuth in eigene Anwendungen erleichtern.

Die Kernkomponenten eines OAuth-Systems sind:
- Das Clientsystem – in der Regel eine Endnutzeranwendung, die auf Ressourcen verschiedener Internetdienste zugreifen möchte.
- Der Autorisierungsserver – empfängt Anfragen für Tokens, die dem Client Zugriff auf geschützte Dienste ermöglichen. Der Autorisierungsserver erhält diese Anfragen zusammen mit dem Authentifizierungszertifikat des Clients. Er stellt Zugriffstokens aus, die vom Eigentümer der Ressource autorisiert wurden.
- Der Ressourcenserver – speichert die Informationen oder stellt die Dienste bereit, auf die der Client zugreifen möchte. Er liefert Daten oder Dienste aus, sobald er vom Client gültige Zugriffstokens erhält.
Ein Zugriffstoken kann verschiedene Arten von Zugriffsberechtigungen enthalten. Welche Art ausgegeben wird, hängt vom erforderlichen Vertrauensniveau und von der Art des verwendeten Clientgeräts ab. So erhält beispielsweise ein Smart-TV andere Zugriffsrechte als ein Laptop.
OpenID Connect (OIDC). OpenID Connect ist das Identitätsmanagementsystem, das speziell für die Nutzung mit OAuth entwickelt wurde. Gemeinsam ermöglichen OIDC und OAuth eine vollständige SSO-Umgebung für webbasierte Anwendungen und internetnative Systeme wie mobile Apps. Anstatt SAML zur Übermittlung von Anmeldeinformationen zu verwenden, setzt OIDC auf ein JSON-Dokument, das als JSON Web Token bezeichnet wird, sowie auf RESTful-Protokolle. Beides ist internetnativer Standard und für Entwickler einfach zu nutzen.

Im Gegensatz zu Kerberos, das auf symmetrischer Verschlüsselung basiert, verwendet OIDC Public-Key-Verschlüsselung. Diese eignet sich besser für netzwerkunabhängige Umgebungen wie das Internet.
Smartcard-Authentifizierung. Systeme wie OIDC nutzen Public-Key-Verschlüsselung, um sicherzustellen, dass ausschließlich die vorgesehenen Empfänger die während oder nach der Authentifizierung ausgetauschten Daten eines Identity Providers einsehen können. Die asymmetrische Public-Key-Verschlüsselung verwendet dabei einen öffentlichen Schlüssel zum Verschlüsseln eingehender Nachrichten an einen Client oder Server sowie einen privaten, geheimen Schlüssel, der zum Entschlüsseln erforderlich ist.

In der Regel werden private Schlüssel auf dem Gerät des Nutzers gespeichert. Die meisten Laptops verfügen über einen manipulationssicheren Chip mit Trusted Platform Module (TPM), der Nachrichten entschlüsselt, die für das System bestimmt sind. Apple- und Android-Smartphones nutzen ähnliche, aber jeweils eigene Technologien: Apple setzt auf die Secure Enclave, Android auf Android Knox. Diese Technologien ermöglichen es dem Gerät, seinen öffentlichen Schlüssel an berechtigte Systeme weiterzugeben und empfangene Nachrichten mit dem privaten, niemals offengelegten Schlüssel zu entschlüsseln.

Der Vorteil dieser Systeme besteht darin, dass Nutzer nichts über die zugrunde liegende Verschlüsselung wissen müssen. Der Nachteil ist jedoch, dass jedes Gerät ein eigenes Schlüsselpaar besitzt, sodass es im Verschlüsselungsprozess eindeutig identifizierbar ist. Wird ein Laptop oder Smartphone verloren oder gestohlen und kennt der Dieb das Gerätepasswort, schützt das Verschlüsselungssystem nicht mehr zuverlässig vor Zugriff.

Durch die Nutzung einer Smartcard, deren Chip ähnlich wie der in Kreditkarten aufgebaut ist, können sich Nutzer mit einem einzigen Schlüsselpaar authentifizieren – unabhängig vom verwendeten Gerät. Der Chip fungiert als eigener Mikroprozessor und muss in ein Lesegerät eingesetzt oder über RFID-Technologie wie Near Field Communication aktiviert und mit Strom versorgt werden. Die Sicherheit einer Smartcard entspricht der eines TPM-Chips.
Enterprise-SSO. Große Unternehmen mit komplexen Anwendungslandschaften können ein Enterprise-SSO-System (eSSO) einrichten, das auf das eigene Netzwerk beschränkt ist. Mitarbeiter profitieren davon, nur ein oder zwei Benutzernamen und Passwörter zu benötigen, um auf alle für ihre Arbeit erforderlichen Anwendungen zuzugreifen. Gleichzeitig gewinnt das Unternehmen eine besser steuerbare und zuverlässig verwaltbare Sicherheitsstruktur für Systeme und Daten. Diese eSSO-Lösungen setzen häufig auf symmetrische Verschlüsselung, da sich Schlüssel leichter widerrufen lassen, sowie auf SAML aufgrund seines etablierten Formats. Zusätzlich kommen verschiedene Formen der Multifaktor-Authentifizierung zum Einsatz, um die Endpunktsicherheit zu erhöhen.

Mit der zunehmenden Verbreitung von SaaS-Anwendungen stehen Unternehmen vor der Wahl, auf internetübliche Verfahren wie OAuth umzusteigen oder von den SaaS-Anbietern zu verlangen, dass ihre Lösungen in das bestehende eSSO-Framework integriert werden. SAML kann sowohl im Unternehmensnetzwerk als auch über das Internet genutzt werden. Viele SaaS-Anwendungen unterstützen beide Ansätze für die Benutzerauthentifizierung.
Web-SSO. Webanwendungen funktionieren in der Regel besser mit OAuth für die Autorisierung von Nutzeraktionen und OpenID Connect für die Authentifizierung. Da das Internet als Transportweg vorausgesetzt wird, folgen die Komponenten eines Web-SSO-Systems einem IETF-Standard und arbeiten damit so, wie es Webentwickler erwarten und zu schätzen wissen. Zudem sind Authentifizierung und Autorisierung eng miteinander verknüpft. Dabei kommen Zugriffsmethoden wie REST-Protokolle sowie JSON-basierte Informationsstandards zum Einsatz, um ein vollständiges und erweiterbares System bereitzustellen. Web-SSO-Lösungen sind außerdem darauf ausgelegt, domainsübergreifend und in großem Maßstab zu funktionieren.
LDAP. Das Lightweight Directory Access Protocol wurde in den 1990er-Jahren eingeführt, um Benutzern das Auffinden relevanter Ressourcen im lokalen Netzwerk zu erleichtern, wie z. B. Server oder Drucker. Es basiert auf einem zentralen Server, der sämtliche Ressourcen innerhalb einer Domain kennt. Daher eignet sich LDAP nicht für den Einsatz im Internet.

Da LDAP den Zugriff auf Netzwerkressourcen steuert, enthält es ein eigenes Authentifizierungssystem, bei dem die Anmeldedaten der Nutzer auf dem LDAP-Server gespeichert werden. Die Authentifizierungsmechanismen sind jedoch nicht besonders stark; so werden Passwörter beispielsweise im Klartext über das Netzwerk übertragen. Die Verschlüsselung kann durch zusätzliche Protokolle wie SSL/TLS bereitgestellt werden.

LDAP ist flexibel und erweiterbar. Unternehmen können damit zusätzliche Informationen über Mitarbeiter speichern, wie z. B. Rollen, Gruppenzugehörigkeiten sowie Attribute wie Standort oder Telefonnummer. Dennoch sind in vielen Organisationen feinere Zugriffsrechte erforderlich – wie beispielsweise wer auf bestimmte Daten zugreifen darf – und diese lassen sich mit LDAP nur schwer verwalten.
JWT. JSON Web Tokens sind kompakte Dokumente, die Informationen sicher und strukturiert zwischen zwei Parteien übertragen. Sie erfüllen denselben Zweck wie SAML-Dokumente, jedoch in deutlich kürzerer Form, wodurch sie sich auch für die Verwendung in URLs eignen. JWTs sind kryptografisch signiert und nutzen Verfahren der Public-Key-Verschlüsselung, um ihre Echtheit sicherzustellen. Im Rahmen von Open Authentication (OAuth) stellt der Identitätsserver nach erfolgreicher Authentifizierung ein JSON-ID-Token aus.

Anfragen zur Autorisierung geschützter Ressourcen liefern anschließend ein JSON-Access-Token, der bei jedem Zugriff an den Ressourcenserver übermittelt werden muss. Diese Transaktionen übertragen den Zustand des Clients – also authentifiziert und autorisiert – mit jeder Anfrage. Damit handelt es sich um sogenannte RESTful-Austausche. REST („Representational State Transfer“) ist vorteilhaft, da Ressourcenserver keine eigenen Sitzungen mit jedem einzelnen Client aufbauen und verwalten müssen.

JWTs sind Klartextdokumente und sollten daher nur über HTTPS-verschlüsselte Verbindungen verwendet werden. In der Regel enthalten die Tokens keine sensiblen Informationen wie personenbezogene Daten. Da jeder Token gemäß X.509 – dem internationalen Standard für die Strukturierung von Public-Key-Zertifikaten – signiert wird, kann der Ressourcenserver die Signatur prüfen und sicherstellen, dass das Token unverändert ist. JWTs sind Bestandteile eines OAuth/OpenID-Systems für Authentifizierung und Autorisierung. Sie sind für den Einsatz in Webanwendungen konzipiert, lassen sich gut skalieren und sind auf domainsübergreifende Nutzung ausgelegt.

Vorteile von SSO

IT- und Sicherheitsexperten schätzen SSO, da es die zentrale Verwaltung von Benutzerauthentifizierung, den Schutz sensibler Informationen und die Integration in Unternehmenssysteme erleichtert. Sie übernehmen in der Regel gern die erforderlichen Schulungen sowie die laufende Überwachung und Wartung. Das liegt an den spürbaren Vorteilen, die diese Technologie bietet.

Zentralisierter Zugriff. SSO-Systeme reduzieren den Aufwand für die Verwaltung von Benutzerkonten und den Zugriff auf die Vielzahl von Anwendungen, die Unternehmen und Cloudanbieter bereitstellen. Der Zugriff lässt sich zentral gewähren oder entziehen. Verlässt ein Mitarbeiter das Unternehmen, müssen Administratoren die Berechtigungen nicht für jede Anwendung einzeln entfernen. Ebenso können Änderungen an Authentifizierungssystemen an einer zentralen Stelle vorgenommen werden, ohne jede Anwendung separat anpassen zu müssen.
Mehr Sicherheit. SSO verringert deutlich die Anzahl an Benutzername-Passwort-Kombinationen, die Mitarbeiter sich merken müssen. Mit dieser Entlastung wird es für Unternehmen einfacher, die Sicherheit von Anmeldevorgängen zu erhöhen – wie z. B. durch Multifaktor-Authentifizierung und strengere Passwortrichtlinien.
Erhöhte Mitarbeiterproduktivität. Mit SSO müssen sich Mitarbeiter deutlich weniger Benutzernamen und Passwörter merken. Nach der ersten Anmeldung können sie in der Regel auf Anwendungen zugreifen, ohne sich erneut authentifizieren zu müssen. SSO ermöglicht es Mitarbeitern daher, schneller mit ihrer eigentlichen Arbeit zu beginnen. Je nach Umsetzung kann für bestimmte Anwendungen weiterhin eine Anmeldung erforderlich sein, doch zumindest müssen sich Nutzer nur noch ihre SSO-Zugangsdaten merken.
Weniger Passwortmüdigkeit. Niemand möchte mit Dutzenden von Zugangsdaten jonglieren. Das Merken komplexer Passwörter – insbesondere wenn sie regelmäßig geändert werden müssen – frustriert viele Menschen. Die Folge sind leicht zu erratende Passwörter, mehrfach verwendete Kennwörter oder handschriftliche Notizen, die Passwörter offen sichtbar machen. SSO verringert den Aufwand deutlich.
Einhaltung von Vorschriften. SSO kann die Einhaltung regulatorischer Vorgaben erleichtern, da der zuvor beschriebene Vorteil einer zentralen Zugriffskontrolle greift. Auch Audits und Korrekturmaßnahmen werden einfacher, da nur ein einziges SSO-Framework überprüft werden muss.
Vereinfachte Integration. Ein typisches Unternehmen verwaltet Petabytes an Daten, die auf zahlreiche Datenbanken verteilt sind. So kann es beispielsweise eigene Datenbanken für Fertigungsdaten, Lieferkettendaten, Finanzdaten, Marketingdaten oder Vertriebsdaten geben. Gleichzeitig liegt auf der Hand, wie hilfreich es wäre, wenn Vertriebsmitarbeiter beispielsweise Zugriff auf Bestandsdaten hätten. Ein CRM-System kann diese Daten einbinden, doch jeder Mitarbeiter müsste sowohl im CRM als auch im Bestandsmanagementsystem als Nutzer registriert sein. SSO stellt die erforderliche, verifizierte Identität der anfragenden Person bereit. Zugriffstokens regeln darüber hinaus, welche Daten für eine Rolle freigegeben werden dürfen. Ohne SSO wäre die Integration zwischen CRM und Bestandsmanagement deutlich aufwendiger, schwieriger zu pflegen und würde einen zusätzlichen Authentifizierungsschritt oder eine potenziell schwächere Sicherung der Bestandsdaten erfordern.
Optimierte Benutzererfahrung. Weniger Anmeldevorgänge bei Unternehmens- und Webanwendungen führen in der Regel zu einer deutlich besseren Nutzererfahrung. Da viele Menschen SSO bereits aus ihrem privaten Online-Umfeld kennen, ist der Schulungsbedarf zudem meist gering.

SSO und Sicherheit: Ist SSO sicher?

Zunächst gilt: Absolute Sicherheit existiert nicht, es gibt lediglich unterschiedliche Sicherheitsniveaus. Dennoch sind kommerziell verfügbare SSO-Frameworks in der Regel sehr sicher – genau das ist einer ihrer zentralen Zwecke. Ein SSO-System stellt jedoch keine vollständige Sicherheitslösung dar. Es bildet einen wesentlichen Baustein einer umfassenden Sicherheitsarchitektur. Seine Aufgabe, Nutzer zu authentifizieren und Anwendungen sowie anderen Ressourcensystemen die erforderlichen Anmeldedaten bereitzustellen, ist ein entscheidender Bestandteil einer ganzheitlichen Sicherheitsstrategie.

SSO und Datenschutz

SSO kann zu mehr Datenschutz beitragen, doch das tatsächliche Datenschutzniveau hängt stark von der jeweiligen Implementierung ab. SAML- und JWT-Antworten enthalten mindestens eine Bestätigung der erfolgreichen Authentifizierung. Zusätzlich können sie Informationen wie Gruppen- oder Rollenzugehörigkeiten sowie weitere Daten enthalten, die Implementierende bereitstellen möchten.

Im webbasierten Einzelhandel oder in sozialen Medien kann es für eine Anwendung nützlich sein, das Alter, den Standort oder andere persönliche Angaben eines Nutzers zu kennen. Wenn Sie solche persönlichen Daten an Facebook weitergeben, sollten Sie grundsätzlich davon ausgehen, dass Facebook diese Informationen auch an andere weitergibt – es sei denn, die Datenschutzrichtlinie schließt dies aus oder die App erlaubt ausdrücklich, bestimmte Daten nicht zu teilen.

In Unternehmen sollten SSO-Systeme neben der Authentifizierungsbestätigung auch die relevanten Rollen des Nutzers zurückgeben. Ebenso kann es hilfreich sein, den Standort des Unternehmensstandorts sowie die geschäftliche Telefonnummer bereitzustellen. Weitere Informationen sollten deutlich schwerer zugänglich sein. Welche Daten standardmäßig weitergegeben werden, wird üblicherweise durch HR-Richtlinien festgelegt.

SSO-Anwendungsfälle

SSO soll Benutzern einen nahtlosen Zugriff auf mehrere Anwendungen und Systeme mit nur einem Satz von Anmeldedaten ermöglichen. Unternehmen mit strengen regulatorischen Vorgaben müssen gegebenenfalls zusätzliche Sicherheitsmaßnahmen umsetzen, doch es gibt zahlreiche sinnvolle Einsatzszenarien für SSO. Dazu gehören unter anderem:

Unternehmensanwendungen. Ein Unternehmen verwaltet in der Regel Dutzende bis Hunderte von Anwendungen, die jeweils eine eigene Benutzerauthentifizierung erfordern. Für jede Anwendung ein separates Identitätsmanagement zu betreiben, ist weder für die Nutzer noch für die IT praktikabel. SSO ermöglicht eine einmalige Authentifizierung der Mitarbeiter und erlaubt anschließend die zentrale Verwaltung ihrer Zugriffsrechte auf alle benötigten Ressourcen.

Authentifizierungsbestätigungen sind in der Regel nur für einen bestimmten Zeitraum und auf einem einzelnen System gültig. Detailliertere Informationen über die Rollen eines Mitarbeiters im Unternehmen können im SSO-System hinterlegt werden. Anwendungen oder Autorisierungssysteme nutzen diese Daten, um den Zugriff auf Anwendungen, Daten und andere Ressourcen gezielt zu begrenzen.
Cloudbasierte Anwendungen. Für geschäftliche und private Nutzer gelten in cloudbasierten Systemen andere Anforderungen an Identifikation und Berechtigungen als in unternehmensinternen SSO-Systemen. Für Verbraucher steht häufig der Komfort im Vordergrund: Sobald sie sich auf einem Gerät angemeldet haben, können sie den Service dauerhaft nutzen. Ein Beispiel ist Gmail: Nach der Anmeldung stehen auch andere Google-Anwendungen wie Docs oder Sheets ohne erneute Authentifizierung bereit. Im Unternehmensumfeld ermöglichen Cloud-Anbieter von SaaS-, PaaS- oder IaaS-Lösungen ebenfalls einen breiten Zugriff, sobald die Identität bestätigt ist. Die Authentifizierung ist dabei nur der erste Schritt in einem umfassenden Autorisierungskonzept, das einen einmaligen Login für viele Services erlaubt. Der konkrete Zugriff hängt von der jeweiligen Rolle des Nutzers pro Anwendung ab – wie z. B. Administrator in einer Anwendung, Entwickler in einer zweiten und Endnutzer in einer dritten. Zusätzlich richtet sich der Zugriff nach dem Leistungsumfang, den das Unternehmen gebucht hat.

SSO-Implementierung

Lassen Sie sich durch fehlende interne Security-Expertise nicht von der Einführung einer SSO-Lösung abhalten. Sowohl Managed-Security-Dienstleister als auch Implementierungsteams der SSO-Anbieter unterstützen Sie dabei. Viele Unternehmen nutzen bewusst SSO-Services externer Anbieter. So profitieren sie von Fachwissen, erweiterten Sicherheitsfunktionen und hoher Skalierbarkeit, während sich die internen IT-Teams auf das Unternehmenswachstum konzentrieren und das SSO-Management den Spezialisten überlassen.

Auf hoher Ebene umfasst die Implementierung drei zentrale Elemente.

Auswahl und Bereitstellung von Client-Authentifizierungssystemen, die Benutzereingaben wie Benutzername und Passwort sicher erfassen. Auch im Unternehmensumfeld werden diese Systeme häufig als Webseiten bereitgestellt, was eine einheitliche Authentifizierung über verschiedene Geräte hinweg erleichtert. In der Regel muss sich der Nutzer im Netzwerk des Unternehmens befinden oder über ein VPN darauf zugreifen. Diese Voraussetzung ermöglicht die Einrichtung eines einzigen, verbindlichen Identity-Management-Systems.
Einrichten eines ID-Managers, der Benutzer authentifiziert und im Namen der Organisation Zertifikate ausstellt. In den meisten Umgebungen ist der ID-Manager entweder Teil eines Systems, das auch Autorisierungstoken bereitstellt, die den Anwendungen anzeigen, welche Aktionen ein Nutzer ausführen darf, oder er ist eng mit dem Autorisierungsserver verbunden.
Konfiguration oder Anpassung von Anwendungen, damit sie die Zertifikate und Token der SSO- und Autorisierungssysteme nutzen, anstatt eigene Benutzerverwaltungssysteme zu betreiben.

Best Practices für SSO

Ganz gleich, ob Sie intern implementieren, Unterstützung von einem Drittanbieter nutzen oder ein As-a-Service-Modell wählen – es gibt entscheidende Erfolgsfaktoren. Dazu gehören unter anderem:

Multifaktorauthentifizierung (MFA) verpflichtend einführen. Wie SSO bereits die zentrale Umsetzung von Passwortrichtlinien ermöglicht, erlaubt es auch den Einsatz stärkerer Identifikationsverfahren, die unter dem Begriff Multifaktorauthentifizierung zusammengefasst werden. Dazu zählen Smartcards, Smartphone-Apps, verschiedene Formen biometrischer Authentifizierung und weitere Verfahren.
Rollenbasierte Zugriffskontrolle (RBAC) nutzen. Die reine Authentifizierung löst nur einen Teil der Herausforderung beim Zugriff auf Unternehmensressourcen. Ebenso wichtig ist es, den Zugriff auf die Ressourcen zu beschränken, die ein Nutzer tatsächlich verwenden darf. Durch die Bildung von Gruppen – wie z. B. Marketing, Finanzen, Produktion oder Vertrieb – sowie die Definition klarer Rollen innerhalb dieser Gruppen lässt sich der Zugriff präzise steuern und zentral verwalten.
Standards prüfen und aktualisieren. Wenn die Authentifizierung auf einem zentralen Mechanismen-Framework basiert, vereinfacht das sowohl Audits als auch notwendige Aktualisierungen, um neuen Vorgaben gerecht zu werden.
Rollen- und Berechtigungsmanagement umsetzen. SSO unterstützt eine Zero-Trust-Philosophie. Nutzer erhalten nur Zugriff auf die Ressourcen, die sie ausdrücklich für ihre Aufgaben benötigen, und sehen nur Daten, für die sie eine klar definierte Berechtigung haben.
Einhaltung von Datenschutzgesetzen sicherstellen. Ein SSO-Framework garantiert keine gesetzeskonforme Datenverarbeitung, erleichtert jedoch die Umsetzung und den Nachweis der Compliance erheblich.

Sicherer und einfacher Zugriff mit Oracle kontrollieren

Müssen Sie Benutzeridentitäten und Zugriffe für Oracle Cloud Infrastructure (OCI) sowie für Cloud- und On-Premises-Anwendungen verwalten? Für Unternehmen, die eine Zero-Trust-Sicherheitsstrategie verfolgen, bietet Oracle Cloud Infrastructure Identity and Access Management (IAM) die erforderlichen Verwaltungs- und Integrationstools.

Interessiert an der Bereitstellung eines universellen Authenticators mit Unterstützung für Multifaktor-Authentifizierung? Oracle Access Management bietet ein flexibles System, das sowohl On-Premises als auch in der Cloud betrieben werden kann. Unternehmen können Richtlinien so konfigurieren, dass sie dem Nutzer folgen – unabhängig von Gerät oder Standort – und so den Zugriff auf Daten jederzeit, überall und von jedem Gerät aus absichern. Neben MFA unterstützt das IAM-Portfolio von Oracle auch Trusted-Device-SSO und Application-SSO – zentrale Bausteine für die Umsetzung der Zero-Trust-Architektur.

Da Unternehmen immer mehr Anwendungen nutzen und diese wiederum zunehmend auf zusätzliche Services und Datenquellen angewiesen sind, wird die Verwaltung von Benutzerauthentifizierung und -autorisierung komplexer. SSO-Frameworks vereinfachen diesen Prozess und erleichtern sowohl Endanwendern als auch Architekten die Arbeit, indem sie Authentifizierung und Autorisierung zentralisieren und standardisieren.

KI kann die Leistungsfähigkeit und Sicherheit von SSO-Systemen erheblich steigern – wie z. B. durch biometrische Verifizierung, Anomalieerkennung, automatisierte Bereitstellung von Berechtigungen und andere Funktionen. Erfahren Sie, wie Sie ein KI-Programm sicher und kosteneffizient aufsetzen und in Betrieb nehmen.

E-Book lesen

Häufig gestellte Fragen zum SSO

Wofür steht SSO?

SSO steht für Single Sign-On.

Was ist mein SSO-Konto?

Ihr SSO-Konto ist ein zentrales Anmeldesystem, mit dem Sie über ein einziges Login auf mehrere Anwendungen und Systeme zugreifen können. Sie müssen sich also nur einen Benutzernamen und ein Passwort merken, um alle Services und Ressourcen Ihres Unternehmens zu nutzen. SSO vereinfacht den Anmeldeprozess, erhöht die Sicherheit und erleichtert den Zugriff auf die Informationen und Tools, die Sie für Ihre Arbeit benötigen.

Was ist ein Beispiel für SSO?

Im privaten Umfeld fungieren große Anbieter wie Amazon, Google, Meta oder Microsoft als Quellen für Benutzeranmeldedaten. Wenn Ihnen ein Dialogfeld angezeigt wird, in dem Sie entweder Ihre Zugangsdaten eingeben oder sich über einen dieser Dienste anmelden können, verwenden Sie SSO.