Was ist SSO? | So funktioniert Single-Sign-On

Single-Sign-On (SSO) ist eine wichtige Sicherheitstechnologie in der Cloud. Dabei braucht sich der Benutzer nur noch einmal anzumelden, nicht mehr für alle Anwendungen getrennt. Das bringt mehr Sicherheit und ist bequemer.

Share facebook icon linkedin icon twitter icon email icon

Was ist SSO?

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren, was Single Sign-On (SSO) ist und wie es funktioniert
  • Die Vorzüge und Sicherheitsvorteile beim Einsatz von SSO kennenlernen
  • Entdecken, wie SSO-Authentifizierungstoken funktionieren

Was ist Single-Sign-On (SSO)?

Bei der Technologie Single-Sign-On (SSO) werden mehrere verschiedene Anmeldebildschirme für Anwendungen zu einem kombiniert. Der Benutzer muss seine Anmeldedaten (Benutzername, Passwort usw.) nur einmal auf einer einzigen Seite eingeben und kann anschließend auf alle seine SaaS-Anwendungen zugreifen. SSO wird häufig im geschäftlichen Umfeld verwendet, wenn die Anwendungen den Benutzern von einem internen IT-Team zugewiesen und verwaltet werden.

Stellen Sie sich vor, Sie kämen in eine Bar und müssten jedes Mal, wenn Sie ein alkoholisches Getränk bestellen, Ihren Personalausweis vorlegen, um ihr Alter nachzuweisen. So manchem Kunden würden die ständigen Kontrollen schnell auf die Nerven gehen, und der eine oder andere würde vielleicht sogar versuchen, seine eigenen Getränke einzuschmuggeln, um diese Maßnahmen zu umgehen.

Die meisten solchen Betriebe lassen sich jedoch nur einmal den Ausweis des Kunden zeigen und servieren ihm dann im Laufe eines Abends mehrere Getränke. So ähnlich funktioniert es auch beim SSO: der Benutzer muss seine Identität nicht wieder und wieder nachweisen, sondern nur einmal, und kann dann auf mehrere verschiedene Dienste zugreifen.

SSO ist ein wichtiges Element vieler Lösungen im Bereich Identitäts- und Zugriffsmanagement (IAM) bzw. Zugriffskontrolle. Über die bestätigte Benutzeridentität wird festgestellt, welche Berechtigungen ein Benutzer haben sollte. Cloudflare Access ist ein Beispiel für eine Zugriffskontrolllösung, bei der die Verwaltung von Benutzeridentitäten über SSO-Lösungen integriert ist.

Welche Vorteile hat SSO?

SSO ist nicht nur viel einfacher und bequemer für den Benutzer, sondern gilt im Allgemeinen auch als sicherer. Auf den ersten Blick ist das vielleicht nicht ganz einleuchtend: Wie kann die einmalige Anmeldung mit einem Passwort sicherer sein als die mehrfache Anmeldung mit mehreren Passwörtern? SSO-Befürworter begründen das so:

  1. Stärkere Passwörter: Da Benutzer beim SSO nur ein Passwort verwenden müssen, fällt es ihnen leichter, ein stärkeres Passwort zu erstellen, zu verwenden und es sich zu merken.* Das ist in der Praxis wirklich der Fall: Die meisten Benutzer verwenden mit SSO stärkere Passwörter.

    *Was macht ein Passwort zu einem „starken“ Passwort? Es darf nicht leicht zu erraten und muss so zufällig sein, dass es durch einen Brute-Force-Angriff (Ausprobieren vieler Möglichkeiten) nicht leicht geknackt werden kann. Ein recht starkes Passwort wäre zum Beispiel „w7:g"5h$G@“. „passwort123“ hingegen nicht.
  2. Passwörter nicht mehrfach verwenden: Wenn Benutzer sich Passwörter für mehrere Apps und Dienste merken müssen, dann passiert oft etwas, das man als „Passwortmüdigkeit“ bezeichnen kann: Benutzer verwenden das gleiche Kennwort mehrfach in verschiedenen Diensten. Das stellt ein großes Sicherheitsrisiko dar, denn dadurch sind alle Dienste nur so sicher sind wie der Dienst mit dem schwächsten Kennwortschutz. Wenn die Kennwortdatenbank dieses Dienstes kompromittiert wird, kann der Angreifer mit einem Kennwort auch andere Dienste des gleichen Benutzers hacken. Dieses Szenario lässt sich durch SSO eliminieren, denn dabei werden alle Anmeldungen auf eine Anmeldung reduziert.
  3. Passwortrichtlinien lassen sich besser durchsetzen: Beim SSO wird das Passwort nur an einer einzigen Stelle eingegeben. Für IT-Teams ist es deshalb einfacher Sicherheitsregeln für Passwörter durchzusetzen. So verlangen einige Unternehmen von ihren Benutzern beispielsweise, die Passwörter regelmäßig zu ändern. Mit SSO lässt sich eine solche Rücksetzung von Passwörtern einfacher implementieren: Die Passwörter müssen nicht mehr für viele verschiedene Apps und Dienste zurückgesetzt werden, sondern nur noch an einer Stelle. (Mittlerweile gilt es als zweifelhaft, ob es großen Wert hat, Passwörter regelmäßig zu ändern, aber einige IT-Teams betrachten dies immer noch als einen wichtigen Teil ihrer Sicherheitsstrategie.)
  4. Multi-Faktor-Authentifizierung: Unter Multi-Faktor-Authentifizierung (MFA) versteht man die Verwendung mehrerer Identitätsfaktoren zur Authentifizierung eines Benutzers (siehe „Was ist MFA?“). Zusätzlich zur Eingabe eines Benutzernamens und eines Kennworts muss ein Benutzer möglicherweise ein USB-Gerät anschließen oder einen Code eingeben, der auf seinem Smartphone angezeigt wird. Der Besitz dieses physischen Gegenstands ist ein zweiter „Faktor“, mit dem beurteilt wird, ob er derjenige ist, der er zu sein vorgibt. MFA ist viel sicherer, als sich nur auf ein Passwort zu stützen. Bei SSO braucht man MFA nur an einem einzigen Punkt zu aktivieren, man muss dies also nicht mit drei, vier oder Dutzenden Apps immer wieder tun, was sicher zu umständlich wäre.
  5. Zentrale Stelle zur erzwungenen Neueingabe des Passworts: Administratoren können den Benutzer dazu zwingen, ihre Anmeldedaten nach einer bestimmten Zeit erneut einzugeben, um sicherzugehen, dass auf dem angemeldeten Gerät noch derselbe Benutzer aktiv ist. Mit SSO gibt es eine zentrale Stelle dafür, die für alle internen Apps gilt. Man muss dies also nicht mehr für mehrere verschiedene Apps erzwingen, was einige Apps möglicherweise gar nicht unterstützen.
  6. Interne Verwaltung von Anmeldedaten statt externer Speicherung: Normalerweise lässt es sich nicht kontrollieren, wie Anwendungen und Dienste die Passwörter von Benutzern speichern und ob dabei bewährte Sicherheitsverfahren eingehalten werden. Mit SSO werden diese Daten jedoch intern in einer Umgebung gespeichert, die das IT-Team besser kontrollieren kann.
  7. Weniger Zeitaufwand für die Wiederherstellung von Passwörtern: Neben diesen Sicherheitsvorteilen geht den internen Teams durch SSO auch weniger Zeit verloren, weil die IT nicht mehr so viel Zeit aufwenden muss, um Benutzer bei der Wiederherstellung von Passwörtern für Dutzende von Apps zu unterstützen. Auch Benutzer müssen weniger Zeit damit verbringen, sich bei verschiedenen Apps anzumelden, um ihre Arbeit zu erledigen. So kann die Produktivität des ganzen Unternehmens steigen.

Wie funktioniert eine Anmeldung über SSO?

Immer dann, wenn sich ein Benutzer bei einem SSO-Dienst anmeldet, erstellt der Dienst ein Authentifizierungstoken, in dem festgehalten wird, dass der Benutzer überprüft wurde. Ein Authentifizierungstoken ist eine digitale Information, die entweder im Browser des Benutzers oder auf den Servern des SSO-Dienstes gespeichert wird. Es funktioniert wie ein befristeter Ausweis für den Benutzer. Jede App, auf die der Benutzer zugreift, überprüft dies beim SSO-Dienst. Der SSO-Dienst übergibt das Authentifizierungstoken des Benutzers an die App, und der Benutzer wird zugelassen. Wenn sich der Benutzer jedoch noch nicht angemeldet hat, wird er über den SSO-Dienst dazu aufgefordert.

Ein SSO-Dienst „merkt“ sich nicht unbedingt, wer ein Benutzer ist, da er keine Benutzeridentitäten speichert. Die meisten SSO-Dienste gleichen die Anmeldedaten eines Benutzers gegen einen separaten Identitätsverwaltungsdienst ab.

Stellen Sie sich SSO als Vermittlungsstelle vor, die bestätigen kann, ob die Anmeldedaten eines Benutzers mit seiner Identität in der Datenbank übereinstimmen, ohne die Datenbank selbst zu verwalten. Das funktioniert ähnlich wie bei einem Bibliothekar, der für jemanden ein Buch anhand des Titels nachschlägt. Der Bibliothekar kennt nicht den gesamten Katalog aller Bibliothekskarten auswendig, kann jedoch problemlos darauf zugreifen.

Wie funktionieren SSO-Authentifizierungstoken?

Die Möglichkeit, ein Authentifizierungstoken an externe Apps und Dienste zu übergeben, ist im SSO-Prozess von entscheidender Bedeutung. So kann die Identitätsprüfung von anderen Clouddiensten getrennt durchgeführt werden. Erst das macht SSO möglich.

Stellen Sie sich eine exklusive Veranstaltung vor, an der nur wenige Personen teilnehmen dürfen. Um kontrollieren zu können, ob die Türsteher am Eingang einen Gast überprüft und eingelassen haben, kann man jedem Gast einen Stempel auf die Hand drücken. Das Personal kann dann bei jedem Gast nach dem Stempel sehen und so überprüfen, ob er dort sein darf. Aber dies kann kein beliebiger Stempel sein. Das Veranstaltungspersonal kennt die genaue Gestaltung und Farbe des Stempels, den die Türsteher am Eingang verwenden.

Wie bei den Stempeln, die alle gleich aussehen müssen, gelten für Authentifizierungstoken jeweils eigene Kommunikationsstandards, mit denen gewährleistet wird, dass sie korrekt und echt sind. Der wichtigste Standard für Authentifizierungstoken heißt SAML (Security Assertion Markup Language). So wie Webseiten in HTML (Hypertext Markup Language) geschrieben werden, werden Authentifizierungstoken in SAML geschrieben.

Wie wird SSO in eine Zugriffsverwaltungsstrategie integriert?

SSO ist nur ein Aspekt bei der Verwaltung des Benutzerzugriffs. Es muss mit Zugriffskontrolle, Berechtigungskontrolle, Aktivitätsprotokollen und anderen Maßnahmen zur Verfolgung und Kontrolle des Benutzerverhaltens in den internen Systemen eines Unternehmens abgestimmt werden. SSO spielt bei der Zugriffsverwaltung jedoch eine entscheidende Rolle. Wenn ein System nicht weiß, wer ein Benutzer ist, kann es nicht entscheiden, ob die Aktionen dieses Benutzers zulässig sind oder eingeschränkt werden müssen.

Gibt es Integrationen von Cloudflare und SSO-Lösungen?

Cloudflare Access steuert und sichert den Benutzerzugriff auf Anwendungen und Websites. Es kann die meisten VPNs ersetzen. Es gibt Integrationen von Cloudflare Access und SSO-Providern, um Benutzer zu identifizieren und die ihnen erteilten Zugriffsberechtigungen durchzusetzen. Cloudflare Access gehört zur Produktsuite Cloudflare for Teams.