Wer sich als Einsteiger mit Identity Access Governance auseinandersetzt, sieht sich zwangsläufig mit Begriffen konfrontiert, die zunächst für Ratlosigkeit sorgen: So vielleicht auch „Single Sign-On“ (SSO). In unserer Reihe möchten wir ein wenig Licht ins Dunkel bringen und verschiedene IAG-Bereiche allgemeinverständlich darstellen.
Dabei geht es nicht nur um das "was" und "wie", sondern vor allem auch um das "warum". Wir starten mit einer Definition und einigen interessanten Fakten zu Single Sign-On.
Das ist die Definition von Single Sign-On (SSO)
Single Sign-On ist im Grunde ein Kategorie-Begriff für eine ganze Reihe von Technologien und Konzepten. Trotzdem interpretieren ihn viele als konkrete Funktionalität, zum Beispiel „SSO mit Windows“. Gemeint ist stets, dass über einen ersten Login (z.B. am Betriebssystem) alle oder zumindest möglichst viele Kennworteingaben (Authentifizierungen) automatisch erfolgen und somit entfallen. Das Schöne am SSO: Sowohl der Komfort für den Benutzer als auch die IT-Sicherheit werden erhöht. Dabei steht SSO im Gegensatz zu vielen anderen Maßnahmen im Security-Umfeld, die zwar für mehr Sicherheit sorgen, gleichzeitig aber mehr Aufwand für den Anwender bedeuten.
Die Geburt von SSO – Geschichte
Werfen wir einen Blick in die Vergangenheit: Ursprünglich war es gar nicht auf allen Systemen vorgesehen, sich auf einen Computer anzumelden. Primär im Bereich der vernetzten Systeme gab es eine Anforderung zur Authentifizierung des „fremden“ Anwenders. Selbst bei Netzwerkanwendungen wie E-Mail-Versand (SMTP) war eine zwingende Authentifizierung zu Beginn nicht Teil des Konzeptes.
Im Zuge der immer stärker zunehmenden Vernetzung der Arbeitsplatzsysteme entstanden nun mehrere Anforderungen: Die Anwender mussten insbesondere beim Austausch von Informationen ihre Identität nachweisen und jedes System sah dafür eine Authentifizierung vor. Die Anzahl der Systeme stieg über die Zeit an; von Betriebssystem über E-Mail bis hin zu Buchhaltung und mehr – mit schützenswerten vertraulichen Daten und abgegrenzten Berechtigungen wie „Lesen“ vs. „Vollzugriff“.
Leider etablierte sich keine übergreifende Lösung. Anstatt dessen entstand für den Anwender die Hürde verschiedener Zugriffe (Accounts) und Kennwörter. Der gelbe Zettel am Monitor oder unter der Tastatur wurde der Standard in vielen Unternehmen. Dies ebnete den Weg für SSO, das sich gewissermaßen aus drei verschiedenen Richtungen entwickelte:
1. Wie Passwortmanager den Weg für modernes Single Sign-On ebneten
Passwortmanager kamen ab 1997 auf den Markt, die Accounts und Kennwörter sicher verwahren und die Daten, wenn möglich, automatisch in die entsprechenden Felder eintragen. Dies war eine gewisse Herausforderung, da Web-Anwendungen und Browser früher keinen Standard darstellten und die Software daher so intelligent wie möglich die Eingabe in verschiedenartige, proprietäre Anwendungstechnologien erlauben musste. Der erste bekannte Passwortmanager war wahrscheinlich der PW Safe von Bruce Schneider. Ein konkretes Beispiel für solche Ansätze, welche heute noch im Kontext von Single Sign-On auf gemeinsam genutzten Arbeitsplätzen verwendet werden, zeigt der Beitrag zum Single Sign-On Login auf beliebigen Rechnern im Gesundheitsumfeld.
2. Betriebssysteme als nächster Schritt zu Single Sign-On
Betriebssysteme boten die Möglichkeit, die entsprechenden Zugangsdaten weiterzuverwenden, um so zusätzliche Anmeldungen zu vermeiden. Dies war hilfreich, sofern sich Anwendungen auf eine Plattform wie z.B. Windows fokussierten – problematisch wurde es allerdings, sobald solch ein Fokus nicht erwünscht war, zum Beispiel bei plattformübergreifenden Systemen. Verfahren wie Kerberos, der RFC 4120 zu Version 5 wurde im Juli 2005 veröffentlich, unterstützten diesen Ansatz, indem sie die Authentifizierung innerhalb einer Domäne zentral bereitstellten und so wiederholte Anmeldungen für Benutzer reduzierten.
3. Föderierte Identitäten ermöglichen Single Sign-On unternehmensübergreifend
Mit der zunehmenden Vernetzung von Unternehmen und Cloud-Diensten reichten plattformgebundene Anmeldemechanismen nicht mehr aus. Föderierte Identitäten ermöglichen es, Benutzeridentitäten über Organisations- und Systemgrenzen hinweg zu vertrauen und wiederzuverwenden. Anwender authentifizieren sich dabei bei einem zentralen Identity Provider und erhalten anschließend Zugriff auf verschiedene Anwendungen, ohne sich erneut anmelden zu müssen. Standards wie SAML von OASIS aus dem Jahre 2005 und OpenID Connect enstanden in 2014 basierend auf OAUTH 2.0 und dem RFC 6749 aus dem Jahre 2012 bilden heute die Grundlage für modernes Single Sign-On in hybriden und cloudbasierten IT-Landschaften.
4. Unternehmensgrenzen verschwinden mit modernen IAM Lösungen komplett
Moderne Single Sign-On Lösungen basieren auf standardisierten Protokollen und dem Identity-First-Prinzip, die eine sichere Authentifizierung zwischen Benutzern, Anwendungen und Identitätsanbietern ermöglichen. Während SAML insbesondere im Unternehmensumfeld und bei klassischen Web-Anwendungen weit verbreitet ist, wird OpenID Connect häufig für Cloud-Dienste und moderne Anwendungen eingesetzt. Identity- und Access-Management-Plattformen (IAM) bündeln diese Funktionen und ermöglichen die zentrale Verwaltung von Identitäten, Zugriffsrechten und Authentifizierungsverfahren. Dadurch können Unternehmen ihren Benutzern einen komfortablen Zugang zu Anwendungen bieten und gleichzeitig Sicherheits- und Compliance-Anforderungen erfüllen.
Speichern von Kennwörtern – Problematisch für Privat und Business
Anwender sehen sich nicht nur im Berufsleben mit einer Fülle verschiedener Accounts und Kennwörter konfrontiert, auch im Privaten sind diese gang und gäbe. Da Kennwortmanager in Browsern mittlerweile zum Standard gehören, sind viele Nutzer es gewohnt, Passwörter zu speichern und komfortabel wiederzuverwenden. Dieses Vorgehen ist nicht gerade sicher – es zum Zwecke eines höheren Schutzlevels zu untersagen, ist aber nicht zielführend. Anstatt dessen sollte im Enterprise-Bereich zunächst eine Lösung geschaffen werden, welche den Mitarbeitern eine akzeptable Alternative bietet. Entsprechend geht der Bedarf zurück und mit modernen Multifaktorauthentifizierungsverfahren lässt sich schließlich die Gefahr der unsicheren Speichervorgänge reduzieren.
Ein Ausblick: Eine gut implementierte SSO-Infrastruktur ermöglicht es heute, die Anzahl der Authentifizierungsvorgänge soweit zu minimieren, dass sie kaum als solche erkennbar sind. So lässt es sich auch ganz auf Kennwörter verzichten.
Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA): Wie passt das zusammen?
Single Sign-On ersetzt keine Multi-Faktor-Authentifizierung, sondern entfaltet seinen vollen Sicherheitsnutzen erst in Kombination mit MFA. Während SSO den Zugriff vereinfacht, sorgt MFA dafür, dass die Identität eines Nutzers durch mehrere Faktoren zuverlässig überprüft wird. Moderne IAM-Architekturen kombinieren beide Ansätze, indem sie eine starke Erstauthentifizierung mit nahtlosem Zugriff auf nachgelagerte Systeme verbinden. Es lässt sich gar sagen, dass Single Sign-On heute nur noch in Kombination mit SSO oder passwordless Authentication eingesetzt werden soll. Unternehmen müssen SSO daher immer als Bestandteil einer mehrschichtigen Sicherheitsstrategie verstehen, nicht als isolierte Komfortfunktion.
Welche Rolle spielt Single Sign-On (SSO) für Compliance
Single Sign-On ist in den meisten Regelwerken keine explizite Anforderung, unterstützt jedoch zahlreiche Vorgaben zur sicheren Verwaltung von Identitäten und Zugriffsrechten. So fordert die ISO 27001 unter anderem die kontrollierte Vergabe, Änderung und Entziehung von Zugriffsrechten (Annex A 5.15, 5.16 und 5.18) sowie den Einsatz angemessener Authentifizierungsverfahren (Annex A 5.17). Im BSI IT-Grundschutz finden sich vergleichbare Anforderungen beispielsweise in den Bausteinen ORP.4 Identitäts- und Berechtigungsmanagement, APP.6 Allgemeine Software sowie OPS.1.1.4 Schutz vor Schadprogrammen und sonstigen Sicherheitsvorfällen, in denen eine nachvollziehbare Verwaltung von Identitäten und Zugängen gefordert wird.
Single Sign-On (SSO) im Kontext von Zero Trust
Im Zero-Trust-Modell ist Single Sign-On kein einmaliger Login, sondern Teil eines kontinuierlichen Authentifizierungs- und Autorisierungsprozesses. Jeder Zugriff wird kontextbasiert bewertet, wobei Faktoren wie Gerät, Standort oder Nutzerverhalten in die Entscheidung einfließen. SSO fungiert dabei als Einstiegspunkt, der durch zusätzliche Sicherheitsmechanismen wie Conditional Access und MFA ergänzt wird. Moderne Sicherheitsarchitekturen nutzen diese Kombination, um sowohl Benutzerfreundlichkeit als auch ein hohes Schutzniveau zu gewährleisten. In diesem Kontext entwickelt sich Single Sign-On von einer Komfortfunktion zu einem strategischen Bestandteil ganzheitlicher Sicherheits- und Identitätskonzepte.
Welche Vorteile bietet Single Sign-On (SSO) für Unternehmen
Single Sign-On (SSO) reduziert die Anzahl benötigter Passwörter und senkt damit signifikant die Angriffsfläche für identitätsbasierte Angriffe, die heute in 65% der Fälle das Einfallstore für Angriffe sind. Gleichzeitig verbessert sich die Benutzerfreundlichkeit, da sich Anwender nur einmal authentifizieren müssen, um auf mehrere Systeme zuzugreifen. Unternehmen profitieren zusätzlich von geringeren Supportkosten, weil Passwort-Resets und Zugriffsprobleme deutlich seltener auftreten. Darüber hinaus ermöglicht SSO eine zentralisierte Zugriffskontrolle, was die Durchsetzung von Sicherheitsrichtlinien und Compliance-Anforderungen erheblich vereinfacht. In Summe steigert Single Sign-On sowohl die Produktivität der Nutzer als auch die Sicherheit und Steuerbarkeit der gesamten IT-Landschaft.
Das war er – unser erster Überblick zu SSO! In unseren folgenden Beiträgen der Reihe stellen wir konkrete technische Konzepte und SSO-Verfahren vor, wie zum Beispiel Windows Desktop SSO, SAML oder OIDC. Sie dürfen gespannt sein!
Sie benötigen Unterstützung im Bereich IAG? Wir helfen gern! Interessante Informationen zum Thema finden Sie hier.
