Single Sign On (SSO)
Erfahren Sie, wie Single Sign-on die Authentifizierung vereinfacht, das Benutzererlebnis verbessert, die Sicherheit stärkt und einen Zero-Trust-Ansatz unterstützt.
Draufsicht einer Frau und eines Mannes, die ein Tablet betrachten
Was ist Single Sign-on?

Single Sign-On (SSO) ist ein Authentifizierungsschema, das es Benutzern ermöglicht, sich einmal mit einem einzigen Satz von Anmeldeinformationen bei einer Sitzung anzumelden und während dieser Sitzung sicheren Zugriff auf mehrere verwandte Anwendungen und Dienste zu erhalten, ohne sich erneut anzumelden. 

SSO wird häufig verwendet, um die Authentifizierung in Intranets oder Extranets von Unternehmen, Studentenportalen, öffentlichen Cloud-Diensten und anderen Umgebungen zu verwalten, in denen Benutzer zwischen mehreren Anwendungen wechseln müssen, um ihre Arbeit zu erledigen. Es wird auch zunehmend in kundenorientierten Websites und Apps – wie Banking- und E-Commerce-Websites – verwendet, um Anwendungen von Drittanbietern zu nahtlosen, ununterbrochenen Benutzererlebnissen zu kombinieren.


So funktioniert SSO

Single Sign-on basiert auf einer Digital Trust-Beziehung zwischen einer Gruppe zusammengehöriger, vertrauenswürdiger Anwendungen, Websites und Services, den  Service-Providern , und einer SSO-Lösung, dem  Identitätsprovider. Die SSO-Lösung ist oft Teil einer größeren  IAM-Lösung (Identity and Access Management) . 

Im Allgemeinen funktioniert die SSO-Authentifizierung wie folgt:

  1. Ein Benutzer meldet sich an einer der vertrauenswürdigen Anwendungen – oder an einem zentralen Portal an, das alle vertrauenswürdigen Anwendungen verbindet (z. B. ein Mitarbeiterportal oder eine Studentenwebsite) – mit SSO-Anmeldedaten.
  2. Wenn der Benutzer erfolgreich authentifiziert wurde, generiert die SSO-Lösung ein Sitzungsauthentifizierungstoken, das bestimmte Informationen zur Identität des Benutzers enthält – einen Benutzernamen, eine E-Mail-Adresse usw. Dieses Token wird im Web-Browser des Benutzers oder auf dem SSO- oder IAM-Server gespeichert.
  3. Wenn der Benutzer versucht, auf eine andere der vertrauenswürdigen Anwendungen zuzugreifen, prüft die Anwendung beim SSO- oder IAM-Server, ob der Benutzer bereits für die Sitzung authentifiziert ist. Ist dies der Fall, validiert die SSO-Lösung den Benutzer, indem sie das Authentifizierungstoken mit einem digitalen Zertifikat signiert, und der Benutzer erhält Zugriff auf die Anwendung. Falls nicht, wird der Benutzer aufgefordert, seine Anmeldeinformationen erneut einzugeben.

Der Prozess kann abhängig von mehreren Faktoren variieren. Beispielsweise muss sich ein Benutzer, der für einen bestimmten Zeitraum inaktiv war, möglicherweise anmelden, wenn er versucht, auf eine andere App zuzugreifen. Oder wenn ein authentifizierter Benutzer eine App oder einen Dienst verwenden möchte, die bzw. der mit besonders sensiblen Informationen arbeitet, kann der Benutzer nach einem zusätzlichen Authentifizierungsfaktor gefragt werden, z. B. nach einem Code, der an das Mobiltelefon oder an die E-Mail-Adresse des Benutzers gesendet wird (siehe „Adaptives SSO“ unten).

 


Vorteile von SSO

Offensichtlich erspart SSO Benutzern Zeit und Ärger. Nehmen Sie zum Beispiel Benutzer in Unternehmen: Statt sich mehrere Male am Tag an mehreren Anwendungen anzumelden, können sie sich mit SSO oft nur einmal am Intranet des Unternehmens oder am Extranet anmelden, um den ganzen Tag auf alle benötigten Anwendungen zuzugreifen.

Aber durch die drastische Verringerung der Anzahl Kennwörter, die sich Benutzer merken müssen, und der Anzahl Benutzerkonten, die Administratoren verwalten müssen, verbessert SSO das Sicherheitsniveau eines Unternehmens. Insbesondere bietet SSO Folgendes:

  • Vermeidung von Kennwortmüdigkeit durch ein starkes Kennwort. Benutzer mit vielen zu verwaltenden Kennwörtern neigen oft dazu, für jede Anwendung die gleichen kurzen, schwachen Kennwörter – oder geringfügige Variationen davon – zu verwenden. Ein Hacker, der eines dieser Kennwörter knackt, kann ohne großen Aufwand Zugriff auf mehrere Anwendungen erhalten. SSO kann oft zahlreiche kurze, schwache Kennwörter zu einem einzigen langen, komplexen, starken Kennwort reduzieren, das für Benutzer leichter zu merken ist – und für Hacker viel schwieriger zu knacken.
  • Vermeidung unsicherer Gewohnheiten bei der Kennwortspeicherung. SSO kann den Bedarf an Kennwortmanagern, in Spreadsheets gespeicherten Kennwörtern, auf Haftnotizen vermerkten Kennwörtern und sonstigen Erinnerungshilfen reduzieren oder eliminieren – alles Dinge, durch die Kennwörter einfacher in die Hände der falschen Leute gelangen.
  • Erhebliche Reduzierung von Help-Desk-Anrufen. Laut Branchenanalyst Gartner sind 20 bis 50 Prozent der IT-Help-Desk-Anrufe auf vergessene Kennwörter oder Zurücksetzungen von Kennwörtern zurückzuführen. Die meisten SSO-Lösungen vereinfachen es Benutzern, Kennwörter selbst zurückzusetzen, mit Help-Desk-Unterstützung.
  • Reduzierung des Ziels für Hacker. Laut IBM Bericht Cost of a Data Breach 2021 waren manipulierte Berechtigungsnachweise die häufigsten ursprünglichen Angriffsvektoren bei einer Datenschutzverletzung, was etwa 20 % aller Datenschutzverletzungen ausmacht. Zudem kosteten Datenschutzverletzungen, die mit manipulierten Berechtigungsnachweisen begannen, deren Opfer durchschnittlich 4,31 Millionen US-Dollar. Weniger Kennwörter bedeuten weniger potenzielle Angriffsvektoren.
  • Vereinfachung von Management, Bereitstellung und Stilllegung von Benutzerkonten. Mit SSO haben Administratoren zentralere Kontrolle über Authentifizierungsanforderungen und Zugriffsberechtigungen. Und wenn ein Benutzer das Unternehmen verlässt, können Administratoren mit weniger Schritten Berechtigungen entziehen und das Benutzerkonto stilllegen.
  • Vereinfachung der Einhaltung gesetzlicher Vorschriften. SSO erfüllt oder erleichtert die Einhaltung gesetzlicher Bestimmungen im Zusammenhang mit dem Schutz persönlicher Identitätsinformationen (PII) und der Kontrolle des Datenzugriffs sowie bestimmter Voraussetzungen in einigen Regelungen – wie HIPAA – rund um Sitzungszeitlimits. 

SSO-Risiken

Das Hauptrisiko von SSO besteht darin, dass die Berechtigungsnachweise eines Benutzers, sofern sie manipuliert werden, einem Angreifer Zugriff auf alle oder die meisten Anwendungen und Ressourcen im Netz ermöglichen.

Benutzer dazu aufzufordern, lange und komplexe Kennwörter zu erstellen – und sie unabhängig von ihrem Speicherort sorgfältig zu verschlüsseln und zu schützen – kann viel dazu beitragen, dieses Worst-Case-Szenario zu verhindern. Aber die meisten Sicherheitsexperten empfehlen die Implementierung von SSO mit Mehrfaktorauthentifizierung oder MFA. MFA fordert Benutzer dazu auf, zusätzlich zu einem Kennwort mindestens einen Authentifizierungsfaktor bereitzustellen – z. B. einen an ein Mobiltelefon gesendeten Code, einen elektronischen Fingerabdruck oder eine ID-Karte. Da es sich bei diesen zusätzlichen Berechtigungsnachweisen um solche handelt, die Hacker nicht ohne weiteres stehlen oder fälschen können, kann MFA Risiken in Verbindung mit manipulierten Berechtigungsnachweisen in SSO drastisch verringern.


SSO-Variationen

Das oben beschriebene SSO-Schema – eine einzige Anmeldung und Gruppe von Benutzerberechtigungen, die Sitzungszugriff auf mehrere zusammengehörige Anwendungen bieten – wird manchmal als einfaches oder reines SSO bezeichnet. Andere Arten von SSO – oder mit SSO vergleichbare Authentifizierungsmethoden – sind unter anderem folgende:

  • Adaptives SSO erfordert zunächst einen Benutzernamen und ein Kennwort bei der Anmeldung, jedoch anschließend zusätzliche Authentifizierungsfaktoren oder eine erneute Anmeldung, wenn zusätzliche Risiken auftreten – beispielsweise wenn sich ein Benutzer von einer neuen Einheit aus anmeldet oder versucht, auf besonders sensible Daten oder Funktionalität zuzugreifen.
  • Föderiertes SSO – korrekterweise föderiertes Identitätsmanagement (FIM) – ist eine Obermenge von SSO. Während SSO auf einer Digital Trust-Beziehung zwischen Anwendungen innerhalb der Domäne eines einzigen Unternehmens basiert, erweitert FIM diese Beziehung auf vertrauenswürdige dritte Parteien, Anbieter und andere Service-Provider außerhalb des Unternehmens. Beispielsweise könnte FIM es einem angemeldeten Mitarbeiter ermöglichen, ohne zusätzliche Anmeldung oder mit einer einfachen Anmeldung nur mit dem Benutzernamen auf Webanwendungen von Drittanbietern wie Slack oder WebEx zuzugreifen.
  • Social Log-in ermöglicht es Benutzern, die gleichen Anmeldeinformationen zu verwenden, die sie für den Zugriff auf beliebte Social-Media-Websites verwenden, um auf Anwendungen von Drittanbietern zuzugreifen. Social Log-in macht Benutzern das Leben leichter. Für Drittanbieter von Anwendungen kann es unerwünschte Verhaltensweisen (z. B. falsche Anmeldungen, Einkaufsabbrüche) verhindern und wertvolle Informationen zur Verbesserung ihrer Apps zur Verfügung stellen.

Verwandte Technologien

SSO kann mit beliebigen Authentifizierungsprotokollen und -services implementiert werden.

SAML/SAML 2.0

SAML (Security Assertion Markup Language) ist das älteste offene Standardprotokoll zum Austausch verschlüsselter Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsprovider und mehreren Service-Providern. Da es größere Kontrolle über die Sicherheit bietet als andere Protokolle, wird SAML typischerweise verwendet, um SSO in und zwischen Anwendungsdomänen von Unternehmen oder Behörden zu implementieren.

OAuth/OAuth 2.0

OAuth/OAuth 2.0 (Offene Autorisierung) ist ein offenes Standardprotokoll, das Daten zur Autorisierung zwischen Anwendungen austauscht, ohne das Kennwort des Benutzers offenzulegen. OAuth ermöglicht die Verwendung einer einzigen Anmeldung, um Interaktionen zwischen Anwendungen zu optimieren, die normalerweise getrennte Anmeldungen für jede Anwendung erfordern würden. Beispielsweise ermöglicht OAuth es LinkedIn Ihre E-Mail-Kontakte nach potenziellen neuen Mitgliedern Ihres Netzwerks zu durchsuchen.

OpenID Connect (OIDC)

Ein weiteres offenes Standardprotokoll, OICD, verwendet REST-APIs und JSON-Authentifizierungstoken, damit eine Website oder Anwendung Benutzern Zugriff erteilen kann, indem sie sie über einen anderen Service-Provider authentifiziert.

OICD, das auf OAuth aufbaut, wird in erster Linie zur Implementierung von Social Log-ins bei Anwendungen von Drittanbietern, Warenkörben und mehr verwendet. Eine einfachere Implementierung, OAuth/OIDC, wird häufig von SAML verwendet, für die Implementierung von SSO über SaaS (Software as a Service) und Cloud-Anwendungen, mobile Apps und IoT-Geräte (Internet of Things).

LDAP

LDAP (Lightweight Directory Access Protocol) definiert ein Verzeichnis zum Speichern und Aktualisieren von Benutzerberechtigungen und einen Prozess zum Authentifizieren von Benutzern gegenüber dem Verzeichnis. LDAP wurde 1993 eingeführt und ist für viele Organisationen, die SSO implementieren, immer noch die Authentifizierungsverzeichnislösung erster Wahl, da LDAP ihnen die differenzierte Steuerung des Verzeichniszugriffs ermöglicht.

ADFS

ADFS (Active Directory Federation Services) wird auf Microsoft Windows Server ausgeführt, um föderiertes Identitätsmanagement – einschließlich Single Sign-on – mit On-Premises- und Off-Premises-Anwendungen und -Services zu ermöglichen. ADFS verwendet Active Directory Domain Services (ADDS) als Identitätsprovider. 


SSO und ein Zero-Trust-Ansatz

„Zero Trust“ verfolgt einen Sicherheitsansatz des „niemals vertrauen, immer überprüfen“: Jeder Benutzer, jede Anwendung oder jedes Gerät – ob außerhalb des Netzwerks oder bereits authentifiziert und innerhalb des Netzwerks – muss seine Identität bestätigen, bevor es auf die nächste gewünschte Netzwerkressource zugreifen darf.

Da Netzwerke zunehmend dezentraler werden und On-Premises-Infrastruktur sowie mehrere private und öffentliche Clouds umspannen, ist ein Zero-Trust-Ansatz unerlässlich, um zu verhindern, dass Sicherheitsrisiken, die in das Netzwerk eindringen, mehr Zugriff erlangen und maximalen Schaden anrichten.

SSO – und insbesondere SSO als Teil einer IAM-Lösung – wird weithin als grundlegende Technologie zur Implementierung eines Zero-Trust-Ansatzes angesehen. Die grundlegende Herausforderung für Zero Trust besteht darin, eine Sicherheitsarchitektur zu erstellen, die gegen Angreifer, die in das Netzwerk eindringen, hart durchgreifen kann – ohne die Möglichkeit autorisierter Benutzer einzuschränken, sich frei im Netzwerk zu bewegen und ihrer Arbeit oder ihren Geschäften nachzugehen. In Kombination mit Mehrfaktorauthentifizierung, Zugriffs- und Berechtigungskontrollen, Mikrosegmentierung des Netzwerks und anderen Techniken und Best Practices kann SSO Unternehmen dabei unterstützen, diese Balance zu erreichen. 

Erfahren Sie mehr über Zero Trust

Relevante Lösungen

Ressourcen

Single Sign-on und IBM Security
IBM Security Verify ist eine einzige IDaaS-Lösung (Identity-as-a-Service), die die Modernisierung der Belegschaft als auch die digitale Transformation der Verbraucher ermöglicht. Verify verfügt über umfassende Cloud-IAM-Funktionalität, darunter Single Sign-on, erweiterte risikobasierte Authentifizierung, adaptives Zugriffsmanagement, automatisiertes Zustimmungsmanagement und vieles mehr. Sehen Sie, wie Verify abschneidet Mehr erfahren und kostenfrei mit Verify starten