Single-Sign-On (SSO) ist eine wichtige Sicherheitstechnologie in der Cloud. Dabei braucht sich der Benutzer nur noch einmal anzumelden, nicht mehr für alle Anwendungen getrennt. Das bringt mehr Sicherheit und ist bequemer.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Zugriffskontrolle
Was ist IAM?
Softwaredefinierter Perimeter
Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
Was ist ein CASB?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Bei der Technologie Single-Sign-On (SSO) werden mehrere verschiedene Anmeldebildschirme für Anwendungen zu einem kombiniert. Der Benutzer muss seine Anmeldedaten (Benutzername, Passwort usw.) nur einmal auf einer einzigen Seite eingeben und kann anschließend auf alle seine SaaS-Anwendungen zugreifen.
Unternehmen setzen SSO häufig ein, wenn ein internes IT-Team die Anwendungen der Nutzer zuweist und verwaltet. Remote-Mitarbeiter, die SaaS-Anwendungen nutzen, profitieren ebenfalls von SSO.
Stellen Sie sich vor, Sie kämen in eine Bar und müssten jedes Mal, wenn Sie ein alkoholisches Getränk bestellen, Ihren Personalausweis vorlegen, um ihr Alter nachzuweisen. So manchem Kunden würden die ständigen Kontrollen schnell auf die Nerven gehen, und der eine oder andere würde vielleicht sogar versuchen, seine eigenen Getränke einzuschmuggeln, um diese Maßnahmen zu umgehen.
Die meisten solchen Betriebe lassen sich jedoch nur einmal den Ausweis des Kunden zeigen und servieren ihm dann im Laufe eines Abends mehrere Getränke. So ähnlich funktioniert es auch beim SSO: der Benutzer muss seine Identität nicht wieder und wieder nachweisen, sondern nur einmal, und kann dann auf mehrere verschiedene Dienste zugreifen.
SSO ist ein wichtiges Element vieler Lösungen im Bereich Identitäts- und Zugriffsmanagement (IAM) bzw. Zugriffskontrolle. Über die bestätigte Benutzeridentität wird festgestellt, welche Berechtigungen ein Benutzer haben sollte. Cloudflare Zero Trust ist ein Beispiel für eine Zugriffskontrolllösung, bei der die Verwaltung von Benutzeridentitäten über SSO-Lösungen integriert ist.
SSO ist nicht nur viel einfacher und bequemer für den Benutzer, sondern gilt im Allgemeinen auch als sicherer. Auf den ersten Blick ist das vielleicht nicht ganz einleuchtend: Wie kann die einmalige Anmeldung mit einem Passwort sicherer sein als die mehrfache Anmeldung mit mehreren Passwörtern? SSO-Befürworter begründen das so:
Immer dann, wenn sich ein Benutzer bei einem SSO-Dienst anmeldet, erstellt der Dienst ein Authentifizierungstoken, in dem festgehalten wird, dass der Benutzer überprüft wurde. Ein Authentifizierungstoken ist eine digitale Information, die entweder im Browser des Benutzers oder auf den Servern des SSO-Dienstes gespeichert wird. Es funktioniert wie ein befristeter Ausweis für den Benutzer. Jede App, auf die der Benutzer zugreift, überprüft dies beim SSO-Dienst. Der SSO-Dienst übergibt das Authentifizierungstoken des Benutzers an die App und der Benutzer wird zugelassen. Wenn sich der Benutzer jedoch noch nicht angemeldet hat, wird er über den SSO-Dienst dazu aufgefordert.
Ein SSO-Dienst „merkt“ sich nicht unbedingt, wer ein Benutzer ist, da er keine Benutzeridentitäten speichert. Die meisten SSO-Dienste gleichen die Anmeldedaten eines Benutzers gegen einen separaten Identitätsverwaltungsdienst ab.
Stellen Sie sich SSO als Vermittlungsstelle vor, die bestätigen kann, ob die Anmeldedaten eines Benutzers mit seiner Identität in der Datenbank übereinstimmen, ohne die Datenbank selbst zu verwalten. Das funktioniert ähnlich wie bei einem Bibliothekar, der für jemanden ein Buch anhand des Titels nachschlägt. Der Bibliothekar kennt nicht den gesamten Katalog aller Bibliothekskarten auswendig, kann jedoch problemlos darauf zugreifen.
Die Möglichkeit, ein Authentifizierungstoken an externe Apps und Dienste zu übergeben, ist im SSO-Prozess von entscheidender Bedeutung. So kann die Identitätsprüfung von anderen Clouddiensten getrennt durchgeführt werden. Erst das macht SSO möglich.
Stellen Sie sich eine exklusive Veranstaltung vor, an der nur wenige Personen teilnehmen dürfen. Um kontrollieren zu können, ob die Türsteher am Eingang einen Gast überprüft und eingelassen haben, kann man jedem Gast einen Stempel auf die Hand drücken. Das Personal kann dann bei jedem Gast nach dem Stempel sehen und so überprüfen, ob er dort sein darf. Aber dies kann kein beliebiger Stempel sein. Das Veranstaltungspersonal kennt die genaue Gestaltung und Farbe des Stempels, den die Türsteher am Eingang verwenden.
Wie bei den Stempeln, die alle gleich aussehen müssen, gelten für Authentifizierungstoken jeweils eigene Kommunikationsstandards, mit denen gewährleistet wird, dass sie korrekt und echt sind. Der wichtigste Standard für Authentifizierungstoken heißt SAML (Security Assertion Markup Language). So wie Webseiten in HTML (Hypertext Markup Language) geschrieben werden, werden Authentifizierungstoken in SAML geschrieben.
SSO ist nur ein Aspekt bei der Verwaltung des Benutzerzugriffs. Es muss mit Zugriffskontrolle, Berechtigungskontrolle, Aktivitätsprotokollen und anderen Maßnahmen zur Verfolgung und Kontrolle des Benutzerverhaltens in den internen Systemen eines Unternehmens abgestimmt werden. SSO spielt bei der Zugriffsverwaltung jedoch eine entscheidende Rolle. Wenn ein System nicht weiß, wer ein Benutzer ist, kann es nicht entscheiden, ob die Aktionen dieses Benutzers zulässig sind oder eingeschränkt werden müssen.
Cloudflare Zero Trust kontrolliert und sichert den Nutzerzugriff auf Apps und Websites; es kann die meisten VPNs ersetzen. Cloudflare integriert sich mit SSO-Providern, um Nutzer zu identifizieren und die ihnen zugewiesenen Zugriffsrechte durchzusetzen.