Datum
14.10.2020
Dieser Beitrag wurde verfasst von:
Wer sich als Einsteiger mit Identity Access Governance auseinandersetzt, sieht sich zwangsläufig mit Begriffen konfrontiert, die zunächst für Ratlosigkeit sorgen: So vielleicht auch „Single-Sign-On“ (SSO). In unserer Reihe möchten wir ein wenig Licht ins Dunkel bringen und verschiedene IAG-Bereiche allgemeinverständlich darstellen.
Dabei geht es nicht nur um das "was" und "wie", sondern vor allem auch um das "warum". Wir starten mit einer Definition und einigen interessanten Fakten zu Single-Sign-On.
Das ist Single-Sign-On – Definition
Single-Sign-On ist im Grunde ein Kategorie-Begriff für eine ganze Reihe von Technologien und Konzepten. Trotzdem interpretieren ihn viele als konkrete Funktionalität, zum Beispiel „SSO mit Windows“. Gemeint ist stets, dass über einen ersten Login (z.B. am Betriebssystem) alle oder zumindest möglichst viele Kennworteingaben (Authentifizierungen) automatisch erfolgen und somit entfallen. Das Schöne am SSO: Sowohl der Komfort für den Benutzer als auch die IT-Sicherheit werden erhöht. Dabei steht SSO im Gegensatz zu vielen anderen Maßnahmen im Security-Umfeld, die zwar für mehr Sicherheit sorgen, gleichzeitig aber mehr Aufwand für den Anwender bedeuten.
Die Geburt von SSO – Geschichte
Werfen wir einen Blick in die Vergangenheit: Ursprünglich war es gar nicht auf allen Systemen vorgesehen, sich auf einen Computer anzumelden. Primär im Bereich der vernetzten Systeme gab es eine Anforderung zur Authentifizierung des „fremden“ Anwenders. Selbst bei Netzwerkanwendungen wie E-Mail-Versand (SMTP) war eine zwingende Authentifizierung zu Beginn nicht Teil des Konzeptes.
Im Zuge der immer stärker zunehmenden Vernetzung der Arbeitsplatzsysteme entstanden nun mehrere Anforderungen: Die Anwender mussten insbesondere beim Austausch von Informationen ihre Identität nachweisen und jedes System sah dafür eine Authentifizierung vor. Die Anzahl der Systeme stieg über die Zeit an; von Betriebssystem über E-Mail bis hin zu Buchhaltung und mehr – mit schützenswerten vertraulichen Daten und abgegrenzten Berechtigungen wie „Lesen“ vs. „Vollzugriff“.
Leider etablierte sich keine übergreifende Lösung. Anstatt dessen entstand für den Anwender die Hürde verschiedener Zugriffe (Accounts) und Kennwörter. Der gelbe Zettel am Monitor oder unter der Tastatur wurde der Standard in vielen Unternehmen. Dies ebnete den Weg für SSO, das sich gewissermaßen aus drei verschiedenen Richtungen entwickelte:
1. Kennwortmanager
Kennwortmanager kamen auf den Markt, die Accounts und Kennwörter sicher verwahren und die Daten, wenn möglich, automatisch in die entsprechenden Felder eintragen. Dies war eine gewisse Herausforderung, da Web-Anwendungen und Browser früher keinen Standard darstellten und die Software daher so intelligent wie möglich die Eingabe in verschiedenartige, proprietäre Anwendungstechnologien erlauben musste.
2. Betriebssysteme
Betriebssysteme boten die Möglichkeit, die entsprechenden Zugangsdaten weiterzuverwenden, um so zusätzliche Anmeldungen zu vermeiden. Dies war hilfreich, sofern sich Anwendungen auf eine Plattform wie z.B. Windows fokussierten – problematisch wurde es allerdings, sobald solch ein Fokus nicht erwünscht war, zum Beispiel bei plattformübergreifenden Systemen.
3. Verzeichnissysteme
Auch Verzeichnissysteme und darauf basierende Anmeldungsmethoden wurden für das Access Management verwendet. In einem Benutzerverzeichnis sind die Daten zu einem Benutzer eines oder mehrerer Systeme hinterlegt. Zu Beginn brachte jede Anwendung ein Verzeichnis mit, dann entstanden bestimmte Anwendungen die „für jeden“ verfügbar wurden – z.B. E-Mail. Damit gab es endlich ein Verzeichnis aller Anwender und viele Unternehmen begannen, dieses auch für andere beziehungsweise für alle Anwendungen zu nutzen. Ein typisches allgemeine Verzeichnis war ein LDAP-Verzeichnis, welches sich darauf fokussierte, die Unternehmensstruktur abzubilden.
Solche Ansätze waren kompliziert und nur dann erfolgreich, wenn in fast allen Anwendungen dasselbe Kennwort zum Einsatz kam. Heutzutage ist die Anzahl der Anwendungen und Plattformen stetig weitergewachsen – nichtsdestotrotz ist auch die Wahrscheinlichkeit, SSO erfolgreich zu implementieren, höher als jemals zuvor.
Speichern von Kennwörtern – Problematisch für Privat und Business
Anwender sehen sich nicht nur im Berufsleben mit einer Fülle verschiedener Accounts und Kennwörter konfrontiert, auch im Privaten sind diese gang und gäbe. Da Kennwortmanager in Browsern mittlerweile zum Standard gehören, sind viele Nutzer es gewohnt, Passwörter zu speichern und komfortabel wiederzuverwenden. Dieses Vorgehen ist nicht gerade sicher – es zum Zwecke eines höheren Schutzlevels zu untersagen, ist aber nicht zielführend. Anstatt dessen sollte im Enterprise-Bereich zunächst eine Lösung geschaffen werden, welche den Mitarbeitern eine akzeptable Alternative bietet. Entsprechend geht der Bedarf zurück und mit modernen Multifaktorauthentifizierungsverfahren lässt sich schließlich die Gefahr der unsicheren Speichervorgänge reduzieren.
Ein Ausblick: Eine gut implementierte SSO-Infrastruktur ermöglicht es heute, die Anzahl der Authentifizierungsvorgänge soweit zu minimieren, dass sie kaum als solche erkennbar sind. So lässt es sich auch ganz auf Kennwörter verzichten.
Das war er – unser erster Überblick zu SSO! In unseren folgenden Beiträgen der Reihe stellen wir konkrete technische Konzepte und SSO-Verfahren vor, wie zum Beispiel Windows Desktop SSO, SAML oder OIDC. Sie dürfen gespannt sein!
Sie benötigen Unterstützung im Bereich IAG? Wir helfen gern! Interessante Informationen zum Thema finden Sie hier.