Die Einmalanmeldung (eng. Single Sign-On, SSO) ist heute wichtiger denn je. Auf vielen Websites haben Internetnutzer die Möglichkeit, sich über Google, Apple oder einen anderen Dienst anzumelden. Es ist gut möglich, dass du heute oder zumindest im Laufe dieser Woche die Einmalanwendung genutzt hast. Aber weißt du eigentlich, was das ist, wie sie funktioniert und warum du sie brauchst? Erfahre alle wichtigen Details und relevanten Fakten über die Einmalanmeldung.
Was ist SSO?
Die Einmalanmeldung ist ein session-basiertes Loginsystem bzw. eine Form der Benutzerauthentifizierung, die es dem Internetnutzer erlaubt, auf mehrere Websites oder Applikationen mit nur einem Anmeldedatensatz – nämlich Benutzername und Passwort – zuzugreifen. Einfach ausgedrückt, verbessert SSO das Erlebnis der Internetnutzer, weil diese sich mit nur einem Benutzernamen und Passwort bei vielen verschiedenen Online-Konten anmelden können. In erster Linie fungiert SSO als Identifikationssystem, das es Websites und Apps erlaubt, Daten von anderen vertrauenswürdigen Websites zu nutzen, um Internetnutzer bei der Registrierung oder Anmeldung zu verifizieren.
Der wesentliche Vorteil von SSO besteht darin, dass sich Internetnutzer statt vielen verschiedenen Passwörtern nur noch ein einziges merken müssen. Außerdem müssen die Nutzer nie wieder Zeit mit dem ständigen Zurücksetzen von Passwörtern verschwenden.
Auch für Unternehmen ist SSO ein wertvolles Tool, da es die Produktivität steigert, die Sicherheit erhöht und die Verwaltung vereinfacht. Mit einem einzigen Zugriffsdatensatz (Benutzername und Passwort) können IT-Experten den Benutzerzugriff für mehrere Systeme aktivieren oder deaktivieren und dadurch in einigen Fällen Cybersecurity-Risiken abfedern.
Wie funktioniert also dieses wundervolle Tool?
Wie funktioniert SSO?
Single Sign-on (SSO) ist Bestandteil einer zentralen digitalen Identität, die man auch als Federated Identity Management (FIM) bezeichnet. Dank FIM (oder Identity Federation) können Benutzer mit derselben Verifizierungsmethode auf verschiedene Anwendungen und andere Ressourcen im Web zugreifen. FIM ist dabei für einige zentrale Prozesse verantwortlich:
Authentifizierung
Autorisierung
Benutzerdefinierte Attribute im Exchange Server
Benutzerverwaltung
Es ist wichtig zu verstehen, dass sich SSO in erster Linie auf die Authentifizierung innerhalb des FIM-Systems bezieht. In dieser Phase wird die Identität des Internetnutzers festgestellt. Diese Informationen werden dann mit jeder Plattform geteilt, die diese Informationen benötigt.
Genug der Fachsprache, so läuft die Einmalanmeldung im Wesentlichen ab:
Du rufst eine Website auf.
Du klickst auf „Mit Apple anmelden“ oder wählst einen anderen Dienst aus.
Die Website öffnet das Login-Fenster von Apple.
Wenn du bereits angemeldet bist, werden deine Daten an die Website weitergegeben.
Du wirst bei deinem Apple-Konto angemeldet.
Apple prüft, ob du berechtigt bist, auf die Website zuzugreifen.
Wenn du berechtigt bist, erstellt die Website eine Sitzung für dich und meldet dich an.
Fachlich korrekt ausgedrückt, erstellt der Dienst bei der ersten Anmeldung des Nutzers über einen SSO-Dienst ein Authentifizierungs-Cookie. Über dieses Cookie wird gespeichert, dass der Nutzer verifiziert wurde. Ein Cookie-basierte Authentifizierung basiert auf einem Code, der im Browser des Nutzers oder auf den Servern des SSO-Dienstes gespeichert wird. Wenn sich der Nutzer das nächste Mal mit SSO bei derselben App oder Website anmeldet, überträgt der Dienst das Authentifizierungs-Cookie des Nutzers an diese Plattform. Der Benutzer kann dann auf die Plattform zugreifen. Es gilt zu beachten, dass ein SSO-Dienst nicht in der Lage ist, einen Benutzer exakt zu identifizieren, da er keine Benutzeridentitäten speichert.
Was ist ein SSO-Token?
Ein SSO-Token ist eine digitale Einheit, die Daten über einen bestimmen Benutzer enthält, zum Beispiel seine E-Mail-Adresse. Während des SSO-Vorgangs werden Daten mithilfe des Tokens von einem System zum anderen übertragen. Damit der Empfänger verifizieren kann, dass das Token aus einer vertrauenswürdigen Quelle stammt, muss es digital signiert sein.
Der SSO-Dienst erzeugt ein Token, sobald sich ein Nutzer darüber anmeldet. Das Token funktioniert wie eine Art temporäre Ausweiskarte und identifiziert einen bereits verifizierten Benutzer. Das bedeutet, wenn der Benutzer auf eine bestimmte App zugreifen will, muss der SSO-Dienst das Authentifizierungstoken des Benutzers an die App übermitteln – nur so erhält der Benutzer Zugang.
Kosten von SSO
Da die meisten verfügbaren SSO-Lösungen Cloud-basiert sind, werden sie in der Regel im Rahmen eines monatlichen Abonnementmodells angeboten. Die Kosten für eine Cloud-gestützte SSO-Lösung für kleine und mittelständische Unternehmen kann zwischen $1 und $10 pro Benutzer und Monat liegen.
Eine SSO-Lösung für Großunternehmen kostet entweder monatlich mehr oder verlangt eine einmalige Einrichtungsgebühr. Enterprise-Lösungen decken in der Regel eine größere Bandbreite an Szenarien ab, sodass Anbieter die Lösung genau auf die Bedürfnisse und Anforderungen des Kunden zuschneiden müssen. Das ist für den Kostenunterschied verantwortlich.
Ist SSO sicher?
Ja, ein SSO-Protokoll ist sicher, wenn es ordnungsgemäß implementiert, verwaltet und zusammen mit anderen Cybersicherheits-Lösungen verwendet wird.
Der größte Pluspunkt der Einmalanmeldung in Bezug auf die Internetsicherheit besteht darin, dass weniger Anmeldedaten verloren oder gestohlen werden können. Dies lässt sich darauf zurückführen, dass die Nutzer mit nur einem einzigen Anmeldedatensatz auf mehrere Dienste zugreifen. Solange der Server gesichert ist und die Organisation ein Zugriffskontrollsystem eingerichtet hat, können kriminelle Hacker kaum bis gar keinen Schaden anrichten.
Dieser Vorteil birgt jedoch auch ein gewisses Risiko. Denn wenn Nutzer mit SSO über nur einen einzigen Endpunkt auf mehrere Konten zugreifen können, können sich auch versierte Hacker Zugriff auf ein authentifiziertes SSO-Konto verschaffen. In der Folge können diese Hacker Zugang zu allen verknüpften Apps, Websites, Plattformen und anderen Bereichen im Internet erlangen.
Dieses Problem kann durch die Einführung einer zusätzlichen Sicherheitsebene, der mehrstufigen Authentifizierung (Multi-Faktor-Authentifizierung, MFA), einfach aus der Welt geschafft werden. Serviceanbieter, die SSO und MFA kombinieren, können die Identität der Nutzer überprüfen, während diese gleichzeitig unkompliziert auf Anwendungen oder Online-Plattformen zugreifen können.
Die Vorteile von SSO
Weniger Passwörter merken
Für die Einmalanmeldung müssen sich Internetnutzer nur ein einziges Passwort merken – das macht das Leben sehr viel einfacher. Passwortmüdigkeit ist ein Phänomen, das tatsächlich existiert und Gefahren birgt. SSO spornt die Internetnutzer dazu an, statt unterschiedlicher Passwörter für verschiedene Konten ein einziges starkes Passwort zu ersinnen. Darüber hinaus hilft die Einmalanmeldung, dem Teufelskreis zu entkommen, der durch das ständige Zurücksetzen von Passwörtern entsteht.
Erhöhte Leistungsfähigkeit der Mitarbeiter und gesteigerte Produktivität in der IT
In vielen Unternehmen kann SSO eine echte Zeitersparnis darstellen. Laut einem aktuellen Bericht verschwenden Benutzer Jahr für Jahr 16,3 Milliarden Stunden dafür, sich an Passwörter zu erinnern, sie einzugeben oder zurückzusetzen. Und in einer Geschäftsumgebung kostet jede Minute Geld. Dank SSO müssen Benutzer nicht mit verschiedenen Login-URLs jonglieren oder umständlich Passwörter zurücksetzen. So bleibt ihnen mehr Zeit für ihre eigentliche Arbeit.
Verbessertes Anwendererlebnis
Die Verbesserung des Nutzererlebnisses ist einer der größten Vorteile, den SSO bietet. Nutzer können reibungslos im Netz surfen, da keine wiederholten Anmeldungen erforderlich sind. Sie werden sich deshalb viel eher für die Nutzung einer Plattform entscheiden. Jeder webbasierte Dienst sollte für ein optimiertes Nutzererlebnis die Einmalanmeldung anbieten.
Zentralisierte Kontrolle des Benutzerzugriffs
Mithilfe von SSO können Unternehmen zentral kontrollieren, wer Zugriff auf ihre Systeme hat. Unternehmen können SSO verwenden, um neuen Mitarbeiter Zugriffsberechtigungen für bestimmte Systeme zu gewähren. Mitarbeiter können für den Zugriff auf alle Unternehmenssysteme aber auch mit einem einzigen Anmeldedatensatz (Benutzername und Passwörter) ausgestattet werden.
Erstklassige Lösungen für die Einmalanmeldung
Microsoft Azure AD
Microsoft Azure AD umfasst die Software Active Directory Federation Services (ADFS), die die Einmalanmeldung ermöglicht. Azure AD stellt auch Berichte, Sicherheitsanalysen und Multi-Faktor-Authentifizierungslösungen bereit. ADFS eignet sich hervorragende für Unternehmen aller Größen, die den cloudbasierten Dienst Microsoft Azure nutzen.
Okta Identity Cloud
Okta hat sich im Bereich der SSO-Lösungen einen Namen gemacht. Die Cloud ist aufgrund ihrer Flexibilität und Benutzerfreundlichkeit führend im Bereich Open-Source-Identitätsmanagement und SSO. Okta stellt die Zwei-Faktor-Identifizierung, eine Funktion zum Zurücksetzen von Passwörtern und ein flexibles, offenes Identitätsmanagement in Echtzeit bereit, das auf die geschäftlichen Anforderungen des jeweiligen Unternehmens zugeschnitten ist. Okta erfüllt die höchsten Anforderungen verschiedenster Branchen, vom Bildungswesen über gemeinnützige Organisationen bis hin zu Finanzdienstleistern und Behörden.
OneLogin-Plattform für einheitliche Zugriffsverwaltung
OneLogin ist ein Anbieter für Open-Source- und SSO-Lösungen. Viele Unternehmen setzen OneLogin ein, um den Mitarbeitern Zugriff auf ihre cloudbasierten Anwendungen zu ermöglichen. OneLogin eignet sich für eine Vielzahl von IT-Verwaltungssystemen, da es konzipiert wurde, um IT-bezogene Maßnahmen in Echtzeit durchzuführen. Wenn Änderungen auftreten (z. B. Ausscheiden eines Mitarbeiters) kann die Lösung entsprechend der spezifischen Anforderungen aktualisiert werden.
Application Services von Idaptive
Idaptive ist in erster Linie für kleine bis mittlere Unternehmen geeignet. Dank der neuen Cloud-Architektur kann Idaptive viele Nutzer gleichzeitig unterstützen. Das Unternehmen stellt darüber hinaus die adaptive Multi-Faktor-Authentifizierung, Enterprise Mobility Management (EMM, ein Prozess zum Schutz von Unternehmensdaten auf mobilen Mitarbeitergeräten) und User Behaviour Analytics (UBA, eine Softwarekategorie, die Cyber-Security-Teams dabei unterstützt, Insider-Bedrohungen zu identifizieren und abzuwehren) in einer einzigen Lösung bereit.
Intelligente Plattform von Ping für das Identitätsmanagement
Ping bietet Dienste für große Unternehmen an. Die Lösung ist für einige Hundert bis einige Millionen Nutzer konzipiert. Ping stellt seine Lösung vor Ort und als Cloud bereit. Zudem umfasst der Dienst die Multi-Faktor-Authentifizierung.
Bietet NordPass SSO?
Ja, NordPass bietet eine Authentifizierung per Single Sign-on! Sie können die Lösung im NordPass Admin-Panel für Benutzer einrichten, die sich mit ihren Microsoft Azure-, Google Workspace- oder Okta-Zugangsdaten in der NordPass-App anmelden möchten.
Das bedeutet, wenn Sie Microsoft Azure Active Directory (AD), Google Single Sign-On oder Okta Single Sign-On aktivieren und neue Mitglieder einladen, die eine der beiden (oder beide) SSO-Lösungen nutzen, können sie sich direkt mit ihren Azure AD, Google oder Okta SSO-Zugangsdaten einloggen – so einfach ist das.