Tobias Feldherr
22. August 2023

Single Sign-on

Unternehmen jeder Größenordnung sehen sich regelmäßig mit Problemen in der Sicherheit ihrer Infrastruktur durch Datendiebstahl konfrontiert. Unerfahrene Anwender gehen leichtfertig mit ihren Passwörtern um und werden Opfer von betrügerischen Phishing-Angriffen.

Hintergrund

Viele Konzerne erwarten daher von ihren Mitarbeitern, ihre Passwörter in kurzen Abständen zu wechseln: Dies führt jedoch oftmals zu genervten Anwendern und einem hohen administrativen Aufwand aufgrund vergessener Passwörter.

Insbesondere die Tatsache, dass auf den Computern der Unternehmen immer mehr Software und Services landen, die eine Authentifizierung des Benutzers erfordern, macht die regelmäßige Vergabe neuer Passwörter sehr kompliziert. Eine Lösung ist in dem Zusammenhang die Einführung des sogenannten Single Sign-On (SSO). Dies ermöglicht den Zugang zu einer Vielzahl von Anwendungen über ein einziges Passwort, mittels versteckter Authentifizierung via digitalen Token.

Mobile App Security

E-Book: Mobile App Security

Erfahren Sie, wie Sie mobile Apps im Unternehmen sicher verteilen und verwalten.

Was ist Single Sign-on?

Single Sign-on ist eine inzwischen sehr populäre Art der Authentifizierung eines Benutzers an einem Arbeitsplatz oder einem System. Der Anwender muss sich lediglich einmalig mit seinen Zugangsdaten im System anmelden und hat anschließend Zugriff auf einige oder sogar alle Ressourcen und Dienste des Unternehmensnetzwerks. Durch das SSO identifiziert sich der Nutzer automatisch bei jedem zulässigen Dienst auf seinem Arbeitsrechner, ohne immer wieder seine Zugangsdaten eingeben zu müssen. Diese Art der Authentifizierung hat sowohl aus Anwender-, als auch aus Administratorensicht einige Vorteile.

Als wichtigster Faktor gilt in diesem Zusammenhang sicherlich die Tatsache, dass sich die Anwender nur noch ein einziges Passwort merken müssen, welches natürlich dennoch gängige Sicherheitsstandards erfüllen sollte. Daraus ergeben sich weitere Vorteile für alle beteiligten Parteien: Hierunter zählen ein verringerter administrativer Aufwand für die Passwortvergabe und eine höhere Sicherheit gegenüber Phishing-Angriffen. Durch eine vorgelagerte Anmeldung des Nutzers können Attacken auf die sensiblen Zugangsdaten durch Dritte erheblich eingeschränkt werden.

Verknüpfung über Tokens oder Cookies

Das Single Sign-on wird in der Regel in Form eines Tokens oder Cookies mit dem Benutzerkonto verknüpft, das als digitaler Zugangsschlüssel fungiert. Dadurch identifiziert sich der Nutzer bei den entsprechenden Diensten und die Zugangsdaten werden vollautomatisch übermittelt. Beim Single Sign-on gibt es unterschiedliche Verfahren und Technologien, mit denen Unternehmen eine solche Zugangs- und Berechtigungskontrolle in ihre Systeme implementieren können.

Single Sign-on Komponenten

Das Besondere am SSO sind die vielen Möglichkeiten der Umsetzbarkeit. Von programmgesteuerten Zugriffen über Frameworks bis hin zu digitalen Signaturen gibt es eine breite Auswahl von potentiellen Lösungen. Daraus ergeben sich an das Unternehmensumfeld anpassbare Möglichkeiten, die sämtliche Anforderungen und Bedingungen an die Technik umsetzbar und sowohl den netzwerkweiten Zugriff als auch jeden individuellen Arbeitsplatzrechner sicherer machen. Zu den wichtigsten Komponenten gehören unter anderem:

Security Assertion Markup Language (SAML)

Ein klassisches XML-Framework zum verschlüsselten Austausch von Authentifizierungsdaten. Das Framework kommt in vielen Webanwendungen und Protokollen zum Einsatz und hat einen Fokus auf den Zugang durch Single Sign-on.

Identity Provider (IdP)

Ein Identity Provider ist ein eigenständiges System zur Verwaltung und Kontrolle von Authentifizierungen. Der Identity Provider gibt die Zugangsdaten eines Benutzers an den Service Provider (Anbieter der entsprechenden IT-Leistung) weiter, der dem Anwender daraufhin Zugang zu Diensten und Ressourcen bietet. Er muss sich daher nicht bei jedem bereitgestellten Dienst anmelden, da dieser Vorgang durch den Identity Provider übernommen wird.

Ein solcher Provider bietet in der Regel auch Möglichkeiten zur Benutzer- und Zugriffsverwaltung (Identity Management). Sowohl der Identity Provider, als auch der Service Provider sind in der Regel Teil eines SAML-Frameworks.

Microsoft Active Directory Federation Services (ADFS)

Auch Microsoft hat eine eigene Lösung zur digitalen Zugangskontrolle entwickelt und sie für die eigenen Windows-Systeme bereitgestellt. ADFS ermöglicht den Zugang zu allen Microsoft-Produkten, wie Office 365, SharePoint oder OneDrive, mittels Single Sign-on. Das System dient dabei auch als Schnittstelle, um Frameworks wie die Security Assertion Markup Language (SAML) einzubinden und so auch Zugriff auf externe Programme und Dienste zu bieten. Aus administrativer Sicht ermöglicht ADFS zudem eine benutzerfreundliche Möglichkeit zur Verwaltung von Benutzerrechten und Zugangsberechtigungen für die Anwender.

Security Token Service (STS)

Diese Art der Authentifizierung erinnert an den Client-Server-Handshake aus der Netzwerktechnik. Ein Client stellt eine Anfrage an ein System mittels Request Security Token (RST). Das System prüft die Authentifizierung und erzeugt einen symmetrischen Schlüssel und einen digitalen Token. Der Client empfängt die Daten und erstellt aus dem im Token hinterlegten Schlüssel seine digitale Signatur.

Single Sign-on Technologien

Um die Funktionsweise der Single Sign-on-Authentifizierung zu verstehen, bietet es sich an, die Technologie am Beispiel der Security Assertion Markup Language (SAML) zu betrachten. Wie bereits zuvor im Abschnitt der einzelnen Komponenten des SSO beschrieben, ist SAML ein XML-basiertes Framework zur Authentifizierung eines Anwenders mittels SSO in einem System oder Netzwerk.

Dieser Standard ist im Bereich der Webtechnologien weit verbreitet und mittlerweile in der Version 2.0 vom OASIS-Konsortium (Organization for the Advancement of Structured Information Standards) verabschiedet. Zu den Entwicklern des Frameworks zählen unter anderem IBM, Microsoft und Oracle. Das Protokoll der Security Assertion Markup Language regelt den Datenaustausch zwischen den drei bei einer Authentifizierung beteiligten Parteien:

  • Subject
  • Identity Provider
  • Service Provider

Die beiden letztgenannten Parteien wurden im Vorfeld bereits im Detail beschrieben, lediglich der Begriff Subject ist bis jetzt noch nicht näher erläutert. Die Subjects sind im Rahmen eines Authentifizierungsprozesses die Anwender, die Zugang zu einer geschützten Ressource oder einem Dienst verlangen. SAML besteht im Grunde aus vier wichtigen Bestandteilen: Ihr Zusammenspiel ermöglicht das Single Sign-on-Verfahren. Die vier Bestandteile heißen Assertions, Protocols, Bindings und Profiles.

Ablauf eines Authentifizierungsvorgangs

Eine SAML-Assertion (Aussage) wird vom Service Provider genutzt, um einem Subject Zugriff auf eine Ressource oder einen Dienst zu ermöglichen oder zu verbieten. Die Assertions beinhalten wichtige Informationen über das Subject und geben Auskunft über die erfolgreiche Authentifizierung beim Identity Provider und über die jeweiligen Berechtigungen. Da diese Kommunikation durchaus umfangreich werden kann, organisiert das SAML-Protokoll den Datenaustausch. Gleichzeitig behält es den Überblick über Logins, Logouts und Änderungen an Berechtigungen. In der Regel werden mehrere Protokolle eingesetzt, die jeweils bestimmte Vorgänge dokumentieren.

Ein SAML-Binding (Bindung) übergibt die Nachrichten aus den Protokollen an Nachrichten- und Kommunikationsprotokolle, wie HTTP oder SOAP. Das Binding reguliert also die eigentliche Zugangskontrolle auf Basis der protokollierten Informationen in den SAML-Protokollen. Der letzte Bestandteil der SAML sind die Profiles. Diese ermöglichen eine gewisse Konformität, in dem sie bestimmte „Use Cases“ definieren. Typische Anwendungsfälle ermöglichen die schnelle und unkomplizierte Zusammenarbeit zwischen den zuvor genannten Bestandteilen. Voraussetzung ist dafür natürlich der erfolgreiche Login beim Identity Provider.

Authentifizierung mit Zertifikaten

Ebenfalls eine beliebte Methode, um ein SSO zu realisieren, sind digitale Zertifikate in Verbindung mit einem Verschlüsselungsverfahren. Zertifikate sind bereits zur Identitätsbestimmung einer Website weit verbreitet, eignen sich aber auch bestens zur Authentifizierung eines Benutzers. Mittels eines digitalen Zertifikats kann ein Nutzer sich an seinem Arbeitsplatz identifizieren und sich im System anmelden.

In der Praxis kommen dafür oftmals Chipkarten zum Einsatz, auf denen das Zertifikat auf einem Chip gespeichert wird. Voraussetzung ist dabei die Verwendung einer Public-Key-Infrastructure (PKI). Diese stellt einerseits digitale Zertifikate aus, kann diese aber andererseits auch verteilen und prüfen. Dabei bedienen sie sich an einem asymmetrischen Kryptosystem.

Bei der Verwendung eines asymmetrischen Kryptosystems wird auf einen gemeinsamen Schlüssel zwischen den beteiligten Parteien verzichtet. Jede Partei erzeugt ein Schlüsselpaar aus einem geheimen und einem öffentlichen Schlüssel. Mit dem öffentlichen Schlüssel des Empfängers kann der Sender Daten, die an den Empfänger gehen, verschlüsseln. Der Empfänger kann Daten dann wieder mit privatem Schlüssel entschlüsseln. Der private Schlüssel dient zudem zur Erzeugung der Signatur.

Signaturen schützen die öffentlichen Schlüssel des Empfängers, denn die Echtheit des Zertifikats kann durch die digitale Signatur mit dem öffentlichen Schlüssel des Zertifizierungsstellers geprüft werden. Der Aussteller wiederum kann ebenfalls durch ein digitales Zertifikat identifiziert werden, wodurch sich eine Kette von Zertifikaten (Certificate Chain) bildet, die jeweils durch den öffentlichen Schlüssel verifiziert werden können. Eine solche Kette wird als Zertifizierungspfad bezeichnet.

Ein bekannter Standard im Bereich der PKIs ist X.509. Dieser wird beispielsweise beim Abruf einer Website mittels HTTPS oder beim elektronischen Signieren und Verschlüsseln von E-Mails nach dem Sicherheitsstandard im E-Mail-Verkehr S/MIME eingesetzt. Ein X.509-Zertifikat besitzt immer einen identischen Aufbau und wird von allen gängigen Browsern akzeptiert. Zertifizierungsstellen heften ein ausgestelltes Zertifikat immer an eine Website, eine E-Mail oder einen DNS-Eintrag und können mittels Sperrlisten bereits ausgestellte Zertifikate bei Verstößen sperren.

Weitere Single Sign-on-Verfahren

SAP Logon Ticket

Im Bereich des SAP ERP-Systems kommt das eigens dafür entwickelte SAP Logon Ticket zum Einsatz. Dieses ermöglicht Nutzern den Zugriff auf eine Vielzahl von SAP Applikationen mittels SSO, ohne ständigen Login.

Kerberos

Aus dem Bereich der Netzwerktechnik stammt zudem der Authentifizierungsdienst Kerberos, der speziell in offenen oder potentiell unsicheren Netzwerken eingesetzt wird. Dieser Dienst verbindet die drei Parteien Client, Server und Kerberos-Server und ermöglicht die sichere Identifikation eines Benutzers und eines Servers. Kerberos identifiziert und verifiziert sowohl den Client als auch den Server durch sogenannte Tickets.

Diese Tickets beinhalten sensible Informationen wie Kennungen oder Passwörter, die vom Kerberos Server verarbeitet werden. Kerberos nimmt also die Stelle als Vermittler ein und verhindert durch das strukturierte Ticketsystem Man-in-the-Middle-Angriffe, bei denen der Angreifer vortäuscht, ein Benutzer zu sein.

OpenID

Ebenfalls weit verbreitet ist das dezentrale Authentifizierungssystem OpenID. Dieses wird vorwiegend für webbasierte Anwendungen und Dienste eingesetzt und kann weitestgehend unabhängig in vielen Anwendungen eingesetzt werden. Der dezentrale Ansatz von OpenID vergibt zur Authentifizierung Identitäten an Nutzer. Dabei kann jeder, der einen OpenID-Server betreibt, zur Ausgabestelle werden und diese Identitäten anbieten.

Während in vielen anderen Bereichen E-Mail-Adressen zur eindeutigen Benutzerkennung verwendet werden, benutzt OpenID Identitäten in Form einer URL. Diese kann auf vielen Websites oder Diensten bereits bei der Anmeldung hinterlegt werden. Der Nutzer muss sich lediglich einmalig beim OpenID-Dienst anmelden und kann sich anschließend auf allen unterstützenden Seiten und Diensten per Single Sign-on identifizieren.

Vorteile von Single Sign-on

SSO bietet verschiedene Vorteile:

  • Steigerung der Produktivität: Durch SSO sparen Mitarbeiter Zeit bei der Anmeldung und dem Umgang mit Passwörtern. Anstatt sich bei jeder Anwendung einzeln anzumelden und Passwörter zu verwalten, erfolgt der Zugriff mit nur einer Anmeldung. Dies steigert die Effizienz und Produktivität.
  • Verbesserte Sicherheit: Trotz Bedenken hinsichtlich der Systemsicherheit reduziert SSO die Wahrscheinlichkeit von Passwort-Hacks. Benutzer können robuste Passphrasen nutzen und das Risiko von Passwortwiederverwendung oder -diebstahl wird minimiert.
  • Höhere Arbeitszufriedenheit: SSO ermöglicht es Mitarbeitern, nahtlos auf Anwendungen zuzugreifen, ohne sich mit zahlreichen Anmeldedaten auseinandersetzen zu müssen. Dies steigert die Zufriedenheit und Arbeitsproduktivität.
  • Multifaktor-Authentifizierung (MFA): Die Kombination von SSO mit MFA erhöht die Sicherheit. MFA erfordert mehrere Identifikationsnachweise, wie z.B. ein Passwort und einen Code, der ans Telefon gesendet wird.
  • Reduzierte IT-Kosten: SSO senkt Helpdesk-Anrufe aufgrund von Passwortproblemen und spart Zeit und Geld. Die Anzahl der benötigten Passwörter wird minimiert, was die Kosten für Passwortrücksetzungen reduziert.

FAQ

Was ist Single Sign-On?

Mit einem sogenannten Single Sign-On (SSO) können sich User bei mehreren Anwendungen mit nur einem einzigen Passwort anmelden, da die Authentifizierung mit Hilfe eines digitalen Tokens funktioniert. Nach einer einmaligen Identifikation hat ein Nutzer schließlich Zugriff auf alle Dienste eines Unternehmens, für die er zuvor berechtigt wurde. Auf diese Weise müssen sich User nur noch ein einziges Passwort statt viele für unterschiedliche Anwendungen merken, sodass der Aufwand für vergessene Passwörter und entsprechende Passwordresets minimiert wird.

Wie lässt sich ein Single Sign-On auf SAP Logon einrichten?

Die Verwendung von Single Sign-On auf SAP Logon geschieht in mehreren Schritten: Zuerst muss das Profil der Zentralinstanz angepasst werden (eine genaue Beschreibung von der SAP dazu finden Sie hier). Anschließend muss im SAP Logon ein Eintrag (“Erweitere Eigenschaften”) ausgewählt und die Secure-Network-Communication eingeschaltet werden. Zum Schluss muss in das Feld SNC-Name “p:< DN-Name des AS ABAP>” eingetippt und die Eingabe mit “OK” bestätigt werden.

Was wäre ein Beispiel für Single Sign-On?

Für Single Sign-Ons stehen zahlreiche Lösungen und Anbieter zur Verfügung, wobei die Security Assertion Markup Language (SAML) (als XML Framework), Identity Provider, Microsoft Active Directory Federation Services (ADFS) und Security Token Service (STS) wohl die verbreitetsten sind. Jede dieser Komponenten hat einen anderen Fokus, sodass Unternehmen aus einer Reihe möglicher Lösungsansätze auswählen und diese an die eigenen Anforderungen anpassen können.

Wie sieht es mit dem Datenschutz bei Single Sign-On aus?

Mit dem richtigen Vorgehen können Single Sign-Ons einen erhöhten Datenschutz bieten – dazu sollten User allerdings als das Passwort, das sie sich nun als einziges merken müssen, ein komplexes und sicheres wählen. Außerdem erhöhen Zwei-Faktor-Authentifizierungen die Datensicherheit enorm, da hier für die Anmeldung eine zweite Komponente überprüft wird (beispielsweise eine SMS an ein Handy oder ein Code an ein anderes externes Gerät, wie z. B. bei TAN-Geräten). Zudem ist die Wahrscheinlichkeit bei nur einem Passwort geringer, dass sich Mitarbeitende dieses irgendwo notieren und die Notiz von Dritten gefunden und genutzt wird.

Tobias Feldherr

Tobias Feldherr

Als Management & Technologieberater im Bereich Mobility verbinde ich tiefgehende fachliche Expertise mit langjährigem Projektleitungs-Know-How. Diese Kombination liefert mir die Grundlage, meine Kunden-Projekte zum Erfolg zu führen. Gerne unterstütze ich Sie bei den Themen mobile Infrastrukturen und App-Entwicklung mit SAPUI5 oder Low-Code.

Sie haben Fragen? Kontaktieren Sie mich!


Weiterführende Inhalte


Verwandte Beiträge

Konnektoren spielen eine wesentliche Rolle bei der Entwicklung einer Applikation mit Simplifier. Sie dienen dem Persistieren von Daten und können sich mit verschiedenen, externen IT-Landschaften verbinden, um an die benötigten […]

weiterlesen

Dass SAP mit Fiori noch so einiges in Planung hat, um die SAP-Oberflächen aller Endanwender auf ein neues Level zu heben und die User Experience noch weiter zu optimieren, war […]

weiterlesen

Wenn es um das Anzeigen von Systemdaten für den Benutzer geht, kommt man nicht drum herum, mit Datums- und Zeitangaben in Berührung zu kommen.

weiterlesen

Unsere Produkte zu Single Sign-on

In diesem eintägigen Workshop erfahren Sie, wie Sie Ihre Mobilgeräte in einer Lösung zentral verwalten und Ihre Daten bestmöglich absichern können.

Mehr Informationen

Um den Einsatz mobiler Applikationen einzuführen oder zu verbessern, nutzen wir von Ihnen erstellte Szenarien um diese aufzubauen!

Mehr Informationen

Wir gestalten eine sichere mobile Infrastruktur für Ihr Unternehmen. Methodisch optimiert in vier Schritten. Zukunftssicher durch Knowledge Transfer.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Sophie Weber
Sophie Weber Kundenservice