Single Sign-on

Unternehmen jeder Größenordnung sehen sich regelmäßig mit Problemen in der Sicherheit ihrer Infrastruktur durch Datendiebstahl konfrontiert. Unerfahrene Anwender gehen leichtfertig mit ihren Passwörtern um und werden Opfer von betrügerischen Phishing-Angriffen.

Viele Konzerne erwarten daher von ihren Mitarbeitern, ihre Passwörter in kurzen Abständen zu wechseln: Dies führt jedoch oftmals zu genervten Anwendern und einem hohen administrativen Aufwand aufgrund vergessener Passwörter.

Insbesondere die Tatsache, dass auf den Computern der Unternehmen immer mehr Software und Services landen, die eine Authentifizierung des Benutzers erfordern, macht die regelmäßige Vergabe neuer Passwörter sehr kompliziert. Eine Lösung ist in dem Zusammenhang die Einführung des sogenannten Single Sign-On (SSO). Dies ermöglicht den Zugang zu einer Vielzahl von Anwendungen über ein einziges Passwort, mittels versteckter Authentifizierung via digitalen Token.

E-Book: Enterprise Mobility Management

Welche grundlegenden Funktionen bietet eine EMM-Lösung? Anbieterüberblick und Analyse der wichtigsten Player am Markt.

Was ist Single Sign-on?

Single Sign-on ist eine inzwischen sehr populäre Art der Authentifizierung eines Benutzers an einem Arbeitsplatz oder einem System. Der Anwender muss sich lediglich einmalig mit seinen Zugangsdaten im System anmelden und hat anschließend Zugriff auf einige oder sogar alle Ressourcen und Dienste des Unternehmensnetzwerks. Durch das SSO identifiziert sich der Nutzer automatisch bei jedem zulässigen Dienst auf seinem Arbeitsrechner, ohne immer wieder seine Zugangsdaten eingeben zu müssen. Diese Art der Authentifizierung hat sowohl aus Anwender-, als auch aus Administratorensicht einige Vorteile.

Als wichtigster Faktor gilt in diesem Zusammenhang sicherlich die Tatsache, dass sich die Anwender nur noch ein einziges Passwort merken müssen, welches natürlich dennoch gängige Sicherheitsstandards erfüllen sollte. Daraus ergeben sich weitere Vorteile für alle beteiligten Parteien: Hierunter zählen ein verringerter administrativer Aufwand für die Passwortvergabe und eine höhere Sicherheit gegenüber Phishing-Angriffen. Durch eine vorgelagerte Anmeldung des Nutzers können Attacken auf die sensiblen Zugangsdaten durch Dritte erheblich eingeschränkt werden.

Das Single Sign-on wird in der Regel in Form eines Tokens oder Cookies mit dem Benutzerkonto verknüpft, das als digitaler Zugangsschlüssel fungiert. Dadurch identifiziert sich der Nutzer bei den entsprechenden Diensten und die Zugangsdaten werden vollautomatisch übermittelt. Beim Single Sign-on gibt es unterschiedliche Verfahren und Technologien, mit denen Unternehmen eine solche Zugangs- und Berechtigungskontrolle in ihre Systeme implementieren können.

Die Komponenten von Single Sign-on

Das Besondere am SSO sind die vielen Möglichkeiten der Umsetzbarkeit. Von programmgesteuerten Zugriffen über Frameworks bis hin zu digitalen Signaturen gibt es eine breite Auswahl von potentiellen Lösungen. Daraus ergeben sich an das Unternehmensumfeld anpassbare Möglichkeiten, die sämtliche Anforderungen und Bedingungen an die Technik umsetzbar und sowohl den netzwerkweiten Zugriff als auch jeden individuellen Arbeitsplatzrechner sicherer machen. Zu den wichtigsten Komponenten gehören unter anderem:

Security Assertion Markup Language (SAML)

Ein klassisches XML-Framework zum verschlüsselten Austausch von Authentifizierungsdaten. Das Framework kommt in vielen Webanwendungen und Protokollen zum Einsatz und hat einen Fokus auf den Zugang durch Single Sign-on.

Identity Provider (IdP)

Ein Identity Provider ist ein eigenständiges System zur Verwaltung und Kontrolle von Authentifizierungen. Der Identity Provider gibt die Zugangsdaten eines Benutzers an den Service Provider (Anbieter der entsprechenden IT-Leistung) weiter, der dem Anwender daraufhin Zugang zu Diensten und Ressourcen bietet. Er muss sich daher nicht bei jedem bereitgestellten Dienst anmelden, da dieser Vorgang durch den Identity Provider übernommen wird.

Ein solcher Provider bietet in der Regel auch Möglichkeiten zur Benutzer- und Zugriffsverwaltung (Identity Management). Sowohl der Identity Provider, als auch der Service Provider sind in der Regel Teil eines SAML-Frameworks.

Microsoft Active Directory Federation Services (ADFS)

Auch Microsoft hat eine eigene Lösung zur digitalen Zugangskontrolle entwickelt und sie für die eigenen Windows-Systeme bereitgestellt. ADFS ermöglicht den Zugang zu allen Microsoft-Produkten, wie Office 365, SharePoint oder OneDrive, mittels Single Sign-on. Das System dient dabei auch als Schnittstelle, um Frameworks wie die Security Assertion Markup Language (SAML) einzubinden und so auch Zugriff auf externe Programme und Dienste zu bieten. Aus administrativer Sicht ermöglicht ADFS zudem eine benutzerfreundliche Möglichkeit zur Verwaltung von Benutzerrechten und Zugangsberechtigungen für die Anwender.

Security Token Service (STS)

Diese Art der Authentifizierung erinnert an den Client-Server-Handshake aus der Netzwerktechnik. Ein Client stellt eine Anfrage an ein System mittels Request Security Token (RST). Das System prüft die Authentifizierung und erzeugt einen symmetrischen Schlüssel und einen digitalen Token. Der Client empfängt die Daten und erstellt aus dem im Token hinterlegten Schlüssel seine digitale Signatur.

Technologische Betrachtung des Single Sign-on

Um die Funktionsweise der Single Sign-on-Authentifizierung zu verstehen, bietet es sich an, die Technologie am Beispiel der Security Assertion Markup Language (SAML) zu betrachten. Wie bereits zuvor im Abschnitt der einzelnen Komponenten des SSO beschrieben, ist SAML ein XML-basiertes Framework zur Authentifizierung eines Anwenders mittels SSO in einem System oder Netzwerk.

Dieser Standard ist im Bereich der Webtechnologien weit verbreitet und mittlerweile in der Version 2.0 vom OASIS-Konsortium (Organization for the Advancement of Structured Information Standards) verabschiedet. Zu den Entwicklern des Frameworks zählen unter anderem IBM, Microsoft und Oracle. Das Protokoll der Security Assertion Markup Language regelt den Datenaustausch zwischen den drei bei einer Authentifizierung beteiligten Parteien:

  • Subject
  • Identity Provider
  • Service Provider

Die beiden letztgenannten Parteien wurden im Vorfeld bereits im Detail beschrieben, lediglich der Begriff Subject ist bis jetzt noch nicht näher erläutert. Die Subjects sind im Rahmen eines Authentifizierungsprozesses die Anwender, die Zugang zu einer geschützten Ressource oder einem Dienst verlangen. SAML besteht im Grunde aus vier wichtigen Bestandteilen: Ihr Zusammenspiel ermöglicht das Single Sign-on-Verfahren. Die vier Bestandteile heißen Assertions, Protocols, Bindings und Profiles.

Ablauf eines Authentifizierungsvorgangs

Eine SAML-Assertion (Aussage) wird vom Service Provider genutzt, um einem Subject Zugriff auf eine Ressource oder einen Dienst zu ermöglichen oder zu verbieten. Die Assertions beinhalten wichtige Informationen über das Subject und geben Auskunft über die erfolgreiche Authentifizierung beim Identity Provider und über die jeweiligen Berechtigungen. Da diese Kommunikation durchaus umfangreich werden kann, organisiert das SAML-Protokoll den Datenaustausch. Gleichzeitig behält es den Überblick über Logins, Logouts und Änderungen an Berechtigungen. In der Regel werden mehrere Protokolle eingesetzt, die jeweils bestimmte Vorgänge dokumentieren.

Ein SAML-Binding (Bindung) übergibt die Nachrichten aus den Protokollen an Nachrichten- und Kommunikationsprotokolle, wie HTTP oder SOAP. Das Binding reguliert also die eigentliche Zugangskontrolle auf Basis der protokollierten Informationen in den SAML-Protokollen. Der letzte Bestandteil der SAML sind die Profiles. Diese ermöglichen eine gewisse Konformität, in dem sie bestimmte „Use Cases“ definieren. Typische Anwendungsfälle ermöglichen die schnelle und unkomplizierte Zusammenarbeit zwischen den zuvor genannten Bestandteilen. Voraussetzung ist dafür natürlich der erfolgreiche Login beim Identity Provider.

Authentifizierung mit Zertifikaten

Ebenfalls eine beliebte Methode, um ein SSO zu realisieren, sind digitale Zertifikate in Verbindung mit einem Verschlüsselungsverfahren. Zertifikate sind bereits zur Identitätsbestimmung einer Website weit verbreitet, eignen sich aber auch bestens zur Authentifizierung eines Benutzers. Mittels eines digitalen Zertifikats kann ein Nutzer sich an seinem Arbeitsplatz identifizieren und sich im System anmelden.

In der Praxis kommen dafür oftmals Chipkarten zum Einsatz, auf denen das Zertifikat auf einem Chip gespeichert wird. Voraussetzung ist dabei die Verwendung einer Public-Key-Infrastructure (PKI). Diese stellt einerseits digitale Zertifikate aus, kann diese aber andererseits auch verteilen und prüfen. Dabei bedienen sie sich an einem asymmetrischen Kryptosystem.

Bei der Verwendung eines asymmetrischen Kryptosystems wird auf einen gemeinsamen Schlüssel zwischen den beteiligten Parteien verzichtet. Jede Partei erzeugt ein Schlüsselpaar aus einem geheimen und einem öffentlichen Schlüssel. Mit dem öffentlichen Schlüssel des Empfängers kann der Sender Daten, die an den Empfänger gehen, verschlüsseln. Der Empfänger kann Daten dann wieder mit privatem Schlüssel entschlüsseln. Der private Schlüssel dient zudem zur Erzeugung der Signatur.

Signaturen schützen die öffentlichen Schlüssel des Empfängers, denn die Echtheit des Zertifikats kann durch die digitale Signatur mit dem öffentlichen Schlüssel des Zertifizierungsstellers geprüft werden. Der Aussteller wiederum kann ebenfalls durch ein digitales Zertifikat identifiziert werden, wodurch sich eine Kette von Zertifikaten (Certificate Chain) bildet, die jeweils durch den öffentlichen Schlüssel verifiziert werden können. Eine solche Kette wird als Zertifizierungspfad bezeichnet.

Ein bekannter Standard im Bereich der PKIs ist X.509. Dieser wird beispielsweise beim Abruf einer Website mittels HTTPS oder beim elektronischen Signieren und Verschlüsseln von E-Mails nach dem Sicherheitsstandard im E-Mail-Verkehr S/MIME eingesetzt. Ein X.509-Zertifikat besitzt immer einen identischen Aufbau und wird von allen gängigen Browsern akzeptiert. Zertifizierungsstellen heften ein ausgestelltes Zertifikat immer an eine Website, eine E-Mail oder einen DNS-Eintrag und können mittels Sperrlisten bereits ausgestellte Zertifikate bei Verstößen sperren.

Weitere bekannte Single Sign-on-Verfahren aus der Praxis

SAP Logon Ticket

Im Bereich des SAP ERP-Systems kommt das eigens dafür entwickelte SAP Logon Ticket zum Einsatz. Dieses ermöglicht Nutzern den Zugriff auf eine Vielzahl von SAP Applikationen mittels SSO, ohne ständigen Login.

Kerberos

Aus dem Bereich der Netzwerktechnik stammt zudem der Authentifizierungsdienst Kerberos, der speziell in offenen oder potentiell unsicheren Netzwerken eingesetzt wird. Dieser Dienst verbindet die drei Parteien Client, Server und Kerberos-Server und ermöglicht die sichere Identifikation eines Benutzers und eines Servers. Kerberos identifiziert und verifiziert sowohl den Client als auch den Server durch sogenannte Tickets.

Diese Tickets beinhalten sensible Informationen wie Kennungen oder Passwörter, die vom Kerberos Server verarbeitet werden. Kerberos nimmt also die Stelle als Vermittler ein und verhindert durch das strukturierte Ticketsystem Man-in-the-Middle-Angriffe, bei denen der Angreifer vortäuscht, ein Benutzer zu sein.

OpenID

Ebenfalls weit verbreitet ist das dezentrale Authentifizierungssystem OpenID. Dieses wird vorwiegend für webbasierte Anwendungen und Dienste eingesetzt und kann weitestgehend unabhängig in vielen Anwendungen eingesetzt werden. Der dezentrale Ansatz von OpenID vergibt zur Authentifizierung Identitäten an Nutzer. Dabei kann jeder, der einen OpenID-Server betreibt, zur Ausgabestelle werden und diese Identitäten anbieten.

Während in vielen anderen Bereichen E-Mail-Adressen zur eindeutigen Benutzerkennung verwendet werden, benutzt OpenID Identitäten in Form einer URL. Diese kann auf vielen Websites oder Diensten bereits bei der Anmeldung hinterlegt werden. Der Nutzer muss sich lediglich einmalig beim OpenID-Dienst anmelden und kann sich anschließend auf allen unterstützenden Seiten und Diensten per Single Sign-on identifizieren.


Das könnte Sie auch interessieren:



Unsere Produkte zu Single Sign-on

Eine Strategie ist ein lebendiges Gebilde, das von der regelmäßigen Anpassung & Reaktion auf die Gegebenheiten lebt. Wissen Sie, ob Ihre Mobility Strategie noch dem State of the Art entspricht? Mit unserem Strategie-Check-Up bieten wir Ihnen die Möglichkeit, Ihre Strategie auf die Probe zu stellen.

Mehr Informationen

In einer schnelllebigen Welt wie der heutigen, ist eine mobile Strategie unumgänglich: Alles ist mobil und so sind es auch Ihre Mitarbeiter. Deshalb wird es Zeit für Ihre Enterprise Mobility Einführung!

Mehr Informationen

Der Wunsch, mobile Endgeräten im Berufsalltag einzusetzen, wird immer größer. Auf der einen Seite locken erhöhte Produktivität & Flexibilität in der Erledigung von Aufgaben, auf der anderen Seite bringt die Nutzung von Firmendaten außerhalb des gesicherten Firmennetzes auch Gefahren mit sich.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support