Wer sich als Einsteiger mit Identity Access Governance auseinandersetzt, sieht sich zwangsläufig mit Begriffen konfrontiert, die zunächst für Ratlosigkeit sorgen: So vielleicht auch „Single-Sign-On“ (SSO). In unserer Reihe möchten wir ein wenig Licht ins Dunkel bringen und verschiedene IAG-Bereiche allgemeinverständlich darstellen.
Dabei geht es nicht nur um das "was" und "wie", sondern vor allem auch um das "warum". Wir starten mit einer Definition und einigen interessanten Fakten zu Single-Sign-On.
Das ist Single-Sign-On – Definition
Single-Sign-On ist im Grunde ein Kategorie-Begriff für eine ganze Reihe von Technologien und Konzepten. Trotzdem interpretieren ihn viele als konkrete Funktionalität, zum Beispiel „SSO mit Windows“. Gemeint ist stets, dass über einen ersten Login (z.B. am Betriebssystem) alle oder zumindest möglichst viele Kennworteingaben (Authentifizierungen) automatisch erfolgen und somit entfallen. Das Schöne am SSO: Sowohl der Komfort für den Benutzer als auch die IT-Sicherheit werden erhöht. Dabei steht SSO im Gegensatz zu vielen anderen Maßnahmen im Security-Umfeld, die zwar für mehr Sicherheit sorgen, gleichzeitig aber mehr Aufwand für den Anwender bedeuten.
Die Geburt von SSO – Geschichte
Werfen wir einen Blick in die Vergangenheit: Ursprünglich war es gar nicht auf allen Systemen vorgesehen, sich auf einen Computer anzumelden. Primär im Bereich der vernetzten Systeme gab es eine Anforderung zur Authentifizierung des „fremden“ Anwenders. Selbst bei Netzwerkanwendungen wie E-Mail-Versand (SMTP) war eine zwingende Authentifizierung zu Beginn nicht Teil des Konzeptes.
Im Zuge der immer stärker zunehmenden Vernetzung der Arbeitsplatzsysteme entstanden nun mehrere Anforderungen: Die Anwender mussten insbesondere beim Austausch von Informationen ihre Identität nachweisen und jedes System sah dafür eine Authentifizierung vor. Die Anzahl der Systeme stieg über die Zeit an; von Betriebssystem über E-Mail bis hin zu Buchhaltung und mehr – mit schützenswerten vertraulichen Daten und abgegrenzten Berechtigungen wie „Lesen“ vs. „Vollzugriff“.
Leider etablierte sich keine übergreifende Lösung. Anstatt dessen entstand für den Anwender die Hürde verschiedener Zugriffe (Accounts) und Kennwörter. Der gelbe Zettel am Monitor oder unter der Tastatur wurde der Standard in vielen Unternehmen. Dies ebnete den Weg für SSO, das sich gewissermaßen aus drei verschiedenen Richtungen entwickelte:
1. Kennwortmanager
Kennwortmanager kamen auf den Markt, die Accounts und Kennwörter sicher verwahren und die Daten, wenn möglich, automatisch in die entsprechenden Felder eintragen. Dies war eine gewisse Herausforderung, da Web-Anwendungen und Browser früher keinen Standard darstellten und die Software daher so intelligent wie möglich die Eingabe in verschiedenartige, proprietäre Anwendungstechnologien erlauben musste. Ein konkretes Beispiel für solche Ansätze im Kontext von Single Sign On auf gemeinsam genutzten Arbeitsplätzen zeigt der Beitrag zum Single Sign-On Login auf beliebigen Rechnern im Gesundheitsumfeld.
2. Betriebssysteme
Betriebssysteme boten die Möglichkeit, die entsprechenden Zugangsdaten weiterzuverwenden, um so zusätzliche Anmeldungen zu vermeiden. Dies war hilfreich, sofern sich Anwendungen auf eine Plattform wie z.B. Windows fokussierten – problematisch wurde es allerdings, sobald solch ein Fokus nicht erwünscht war, zum Beispiel bei plattformübergreifenden Systemen.
3. Verzeichnissysteme
Auch Verzeichnissysteme und darauf basierende Anmeldungsmethoden wurden für das Access Management verwendet. In einem Benutzerverzeichnis sind die Daten zu einem Benutzer eines oder mehrerer Systeme hinterlegt. Zu Beginn brachte jede Anwendung ein Verzeichnis mit, dann entstanden bestimmte Anwendungen die „für jeden“ verfügbar wurden – z.B. E-Mail. Damit gab es endlich ein Verzeichnis aller Anwender und viele Unternehmen begannen, dieses auch für andere beziehungsweise für alle Anwendungen zu nutzen. Ein typisches allgemeine Verzeichnis war ein LDAP-Verzeichnis, welches sich darauf fokussierte, die Unternehmensstruktur abzubilden.
Solche Ansätze waren kompliziert und nur dann erfolgreich, wenn in fast allen Anwendungen dasselbe Kennwort zum Einsatz kam. Heutzutage ist die Anzahl der Anwendungen und Plattformen stetig weitergewachsen – nichtsdestotrotz ist auch die Wahrscheinlichkeit, SSO erfolgreich zu implementieren, höher als jemals zuvor.
Speichern von Kennwörtern – Problematisch für Privat und Business
Anwender sehen sich nicht nur im Berufsleben mit einer Fülle verschiedener Accounts und Kennwörter konfrontiert, auch im Privaten sind diese gang und gäbe. Da Kennwortmanager in Browsern mittlerweile zum Standard gehören, sind viele Nutzer es gewohnt, Passwörter zu speichern und komfortabel wiederzuverwenden. Dieses Vorgehen ist nicht gerade sicher – es zum Zwecke eines höheren Schutzlevels zu untersagen, ist aber nicht zielführend. Anstatt dessen sollte im Enterprise-Bereich zunächst eine Lösung geschaffen werden, welche den Mitarbeitern eine akzeptable Alternative bietet. Entsprechend geht der Bedarf zurück und mit modernen Multifaktorauthentifizierungsverfahren lässt sich schließlich die Gefahr der unsicheren Speichervorgänge reduzieren.
Ein Ausblick: Eine gut implementierte SSO-Infrastruktur ermöglicht es heute, die Anzahl der Authentifizierungsvorgänge soweit zu minimieren, dass sie kaum als solche erkennbar sind. So lässt es sich auch ganz auf Kennwörter verzichten.
Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA): Wie passt das zusammen?
Single Sign On ersetzt keine Multi-Faktor-Authentifizierung, sondern entfaltet seinen vollen Sicherheitsnutzen erst in Kombination mit MFA. Während SSO den Zugriff vereinfacht, sorgt MFA dafür, dass die Identität eines Nutzers durch mehrere Faktoren zuverlässig überprüft wird. Moderne IAM-Architekturen kombinieren beide Ansätze, indem sie eine starke Erstauthentifizierung mit nahtlosem Zugriff auf nachgelagerte Systeme verbinden. Es lässt sich gar sagen, dass Single Sign-On heute nur noch in Kombination mit SSO oder passwordless Authentitcation eingesetzt werden soll. Unternehmen müssen SSO daher immer als Bestandteil einer mehrschichtigen Sicherheitsstrategie verstehen, nicht als isolierte Komfortfunktion.
Single Sign On (SSO) im Kontext von Zero Trust
Im Zero-Trust-Modell ist Single Sign On kein einmaliger Login, sondern Teil eines kontinuierlichen Authentifizierungs- und Autorisierungsprozesses. Jeder Zugriff wird kontextbasiert bewertet, wobei Faktoren wie Gerät, Standort oder Nutzerverhalten in die Entscheidung einfließen. SSO fungiert dabei als Einstiegspunkt, der durch zusätzliche Sicherheitsmechanismen wie Conditional Access und MFA ergänzt wird. Moderne Sicherheitsarchitekturen nutzen diese Kombination, um sowohl Benutzerfreundlichkeit als auch ein hohes Schutzniveau zu gewährleisten. In diesem Kontext entwickelt sich Single Sign On von einer Komfortfunktion zu einem strategischen Bestandteil ganzheitlicher Sicherheits- und Identitätskonzepte.
Welche Vorteile bietet Single Sign-On (SSO) für Unternehmen?
Single Sign On (SSO) reduziert die Anzahl benötigter Passwörter und senkt damit signifikant die Angriffsfläche für identitätsbasierte Angriffe, die heute in 65% der Fälle das Einfallstore für Angriffe sind. Gleichzeitig verbessert sich die Benutzerfreundlichkeit, da sich Anwender nur einmal authentifizieren müssen, um auf mehrere Systeme zuzugreifen. Unternehmen profitieren zusätzlich von geringeren Supportkosten, weil Passwort-Resets und Zugriffsprobleme deutlich seltener auftreten. Darüber hinaus ermöglicht SSO eine zentralisierte Zugriffskontrolle, was die Durchsetzung von Sicherheitsrichtlinien und Compliance-Anforderungen erheblich vereinfacht. In Summe steigert Single Sign On sowohl die Produktivität der Nutzer als auch die Sicherheit und Steuerbarkeit der gesamten IT-Landschaft.
Das war er – unser erster Überblick zu SSO! In unseren folgenden Beiträgen der Reihe stellen wir konkrete technische Konzepte und SSO-Verfahren vor, wie zum Beispiel Windows Desktop SSO, SAML oder OIDC. Sie dürfen gespannt sein!
Sie benötigen Unterstützung im Bereich IAG? Wir helfen gern! Interessante Informationen zum Thema finden Sie hier.
