Die Einmalanmeldung: Eigenschaften und Funktionsweise

Was ist SSO?

Die Einmalanmeldung ist ein sessionbasiertes Loginsystem bzw. eine Form der Benutzerauthentifizierung, die es dem Internetnutzer erlaubt, auf mehrere Websites oder Applikationen mit nur einem Anmeldedatensatz – nämlich Benutzername und Passwort – zuzugreifen. Einfach ausgedrückt verbessert SSO das Erlebnis der Internetnutzer, weil diese sich mit nur einem Benutzernamen und Passwort bei vielen verschiedenen Online-Konten anmelden können. In erster Linie fungiert SSO als Identifikationssystem, das es Websites und Apps erlaubt, Daten von anderen vertrauenswürdigen Websites zu nutzen, um Internetnutzer bei der Registrierung oder Anmeldung zu verifizieren.

Der wesentliche Vorteil von SSO besteht darin, dass sich Internetnutzer statt vielen verschiedenen Passwörtern nur noch ein einziges merken müssen. Außerdem müssen die Nutzer nie wieder Zeit mit dem ständigen Zurücksetzen von Passwörtern verschwenden.

Auch für Unternehmen ist SSO ein wertvolles Tool, da es die Produktivität steigert, die Sicherheit erhöht und die Verwaltung vereinfacht. Mit einem einzigen Zugriffsdatensatz (Benutzername und Passwort) können IT-Experten den Benutzerzugriff für mehrere Systeme aktivieren oder deaktivieren und dadurch in einigen Fällen Cybersecurity-Risiken abfedern.

Wie funktioniert also dieses wundervolle Tool?

Wie funktioniert SSO?

Single Sign-on (SSO) ist Bestandteil einer zentralen digitalen Identität, die man auch als Föderiertes Identitätsmanagement (Federated Identity Management, FIM) bezeichnet. Dank FIM (oder Identity Federation) können Benutzer mit derselben Verifizierungsmethode auf verschiedene Anwendungen und andere Ressourcen im Web zugreifen. FIM ist dabei für einige zentrale Prozesse verantwortlich:

• Authentifizierung

• Autorisierung

• Benutzerdefinierte Attribute im Exchange Server

• Benutzerverwaltung

Es ist wichtig zu verstehen, dass sich SSO in erster Linie auf die Authentifizierung innerhalb des FIM-Systems bezieht. In dieser Phase wird die Identität des Internetnutzers festgestellt. Diese Informationen werden dann mit jeder Plattform geteilt, die diese Informationen benötigt.

Genug der Fachsprache, so läuft die Einmalanmeldung im Wesentlichen ab:

• Sie rufen eine Website auf.

• Sie klicken auf „Mit Apple anmelden“ oder wählen einen anderen Dienst aus.

• Die Website öffnet das Login-Fenster von Apple.

• Wenn Sie bereits angemeldet sind, werden Ihre Daten an die Website weitergegeben.

• Sie werden bei Ihrem Apple-Konto angemeldet.

• Apple prüft, ob Sie berechtigt sind, auf die Website zuzugreifen.

• Wenn Sie berechtigt sind, erstellt die Website eine Sitzung für Sie und meldet Sie an.

Fachlich korrekt ausgedrückt erstellt der Dienst bei der ersten Anmeldung des Nutzers über einen SSO-Dienst ein Authentifizierungs-Cookie. Über dieses Cookie wird gespeichert, dass der Nutzer verifiziert wurde. Eine Cookie-basierte Authentifizierung basiert auf einem Code, der im Browser des Nutzers oder auf den Servern des SSO-Dienstes gespeichert wird. Wenn sich der Nutzer das nächste Mal mit SSO bei derselben App oder Website anmeldet, überträgt der Dienst das Authentifizierungs-Cookie des Nutzers an diese Plattform. Der Benutzer kann dann auf die Plattform zugreifen. Es gilt zu beachten, dass ein SSO-Dienst nicht in der Lage ist, einen Benutzer exakt zu identifizieren, da er keine Benutzeridentitäten speichert.

Was ist ein SSO-Token?

Ein SSO-Token ist eine digitale Einheit, die Daten über einen bestimmen Benutzer enthält, zum Beispiel seine E-Mail-Adresse. Während des SSO-Vorgangs werden Daten mithilfe des Tokens von einem System zum anderen übertragen. Damit der Empfänger verifizieren kann, dass das Token aus einer vertrauenswürdigen Quelle stammt, muss es digital signiert sein.

Der SSO-Dienst erzeugt ein Token, sobald sich ein Nutzer darüber anmeldet. Das Token funktioniert wie eine Art temporäre Ausweiskarte und identifiziert einen bereits verifizierten Benutzer. Das bedeutet, wenn der Benutzer auf eine bestimmte App zugreifen will, muss der SSO-Dienst das Authentifizierungstoken des Benutzers an die App übermitteln – nur so erhält der Benutzer Zugriff.

Ist SSO sicher?

Ja. Ein SSO-Protokoll ist sicher, wenn es ordnungsgemäß implementiert, verwaltet und zusammen mit anderen Cybersicherheits-Lösungen verwendet wird.

Der größte Pluspunkt der Einmalanmeldung in Bezug auf die Internetsicherheit besteht darin, dass weniger Anmeldedaten verloren oder gestohlen werden können. Dies lässt sich darauf zurückführen, dass die Nutzer mit nur einem einzigen Anmeldedatensatz auf mehrere Dienste zugreifen. Solange der Server gesichert ist und die Organisation ein Zugriffskontrollsystem eingerichtet hat, können kriminelle Hacker kaum bis gar keinen Schaden anrichten.

Dieser Vorteil birgt jedoch auch ein gewisses Risiko. Denn wenn Nutzer mit SSO über nur einen einzigen Endpunkt auf mehrere Konten zugreifen können, können sich auch versierte Hacker Zugriff auf ein authentifiziertes SSO-Konto verschaffen. In der Folge können diese Hacker Zugriff auf alle verknüpfte Apps, Websites, Plattformen und andere Bereiche im Internet erlangen.

Dieses Problem kann durch die Einführung einer zusätzlichen Sicherheitsebene, der mehrstufigen Authentifizierung (Multi-Faktor-Authentifizierung, MFA), einfach aus der Welt geschafft werden. Serviceanbieter, die SSO und MFA kombinieren, können die Identität der Nutzer überprüfen, während diese gleichzeitig unkompliziert auf Anwendungen oder Online-Plattformen zugreifen können.

Erstklassige Lösungen für die Einmalanmeldung

Einige SSO-Dienste sind beliebter und vertrauenswürdiger als andere, und viele können für die Anmeldung bei verschiedenen Plattformen verwendet werden, darunter auch NordPass. Lassen Sie uns die am häufigsten verwendeten SSO-Optionen erkunden, um zu sehen, ob sie für NordPass eingerichtet werden können, und um zu erklären, wie man sie konfiguriert.

Microsoft Entra ID

Microsoft Entra ID, die cloud-basierte Identitäts- und Zugriffsverwaltungslösung von Microsoft, verfügt über integrierte Unterstützung für SSO. Außerdem bietet es Berichte, Sicherheitsanalysen und eine Multi-Faktor-Authentifizierung (MFA), um die Sicherheit Ihres Unternehmens zu gewährleisten. Ob Sie also ein kleines Unternehmen oder ein Großunternehmen sind: MS Entra ID ist eine flexible Lösung für ein Unternehmen, das die Microsoft Azure Cloud nutzt.

NordPass unterstützt Microsoft Entra ID SSO, sodass sich die Mitglieder Ihrer Organisation schnell und sicher mit ihren MS Azure-Anmeldedaten anmelden können. Um diese SSO-Option zu aktivieren, konfigurieren Sie sie einfach in der Verwaltungskonsole. Wenn Sie Hilfe brauchen, werfen Sie einen Blick in unseren Hilfecenter-Artikel für eine Schritt-für-Schritt-Anleitung.

Google Workspace-

Google Workspace gehört zu den beliebtesten SSO-Diensten, da es sich reibungslos in eine Vielzahl von Anwendungen integrieren lässt und IT-Teams bei der einfachen Verwaltung von Benutzerzugängen und Berechtigungen unterstützt. Da es sich um ein Google-Produkt handelt, ist es für Benutzer natürlich besonders einfach, auf beliebte Google-Tools wie Gmail, Google Drive und Google Meet zuzugreifen. Aber auch die Anmeldung bei Anwendungen von Drittanbietern läuft damit wirklich problemlos.

Ein gutes Beispiel ist NordPass, das die SSO-Methode von Google Workspace vollständig unterstützt. Wenn in Ihrem Unternehmen also sowohl Google Workspace als auch NordPass verwendet werden, können Sie es so konfigurieren, dass sich die Mitarbeiter mit ihren Google-Anmeldedaten bei NordPass anmelden können. Eine ausführliche Anleitung dazu finden Sie in unserem Hilfecenter-Artikel.

Okta Identity Cloud

Okta gehört zu den etablierten SSO-Lösungen und ist aufgrund seiner Flexibilität und Benutzerfreundlichkeit einer der führenden Anbieter von Open-Source-SSO. Es bietet eine anpassbare, offene Identitätsverwaltung in Echtzeit, die auf geschäftlichen Anforderungen basiert, sowie eine Zwei-Faktor-Authentifizierung und Funktionen zum Zurücksetzen von Passwörtern. Okta erfüllt die Anforderungen verschiedener Branchen, vom Bildungswesen und gemeinnützigen Organisationen bis hin zu Finanzdienstleistungen und Behörden.

NordPass bietet Unterstützung für Okta SSO. Das bedeutet, dass sich Ihr Team mit seinen Okta-Anmeldedaten problemlos bei NordPass anmelden kann, ohne ein Passwort für den Benutzer zu benötigen. Schauen Sie sich unseren Hilfecenter-Artikel an, um zu sehen, wie Sie diese SSO-Option schnell für alle Mitglieder Ihrer Organisation einrichten können.

Andere Lösungen

Neben den weit verbreiteten SSO-Lösungen wie Google Workspace, Okta und MS Azure gibt es noch ein paar andere Optionen. Zwar bieten sie starke Funktionen für die Sicherheit, aber einige von ihnen verfügen nicht über die umfassenden Integrationsmöglichkeiten, die diese großen Lösungen bieten. Hier ein paar Beispiele:

Die OneLogin-Plattform zur einheitlichen Zugriffsverwaltung: OneLogin ist ein Anbieter für Open-Source- und SSO-Lösungen. Viele Unternehmen setzen OneLogin ein, um den Mitarbeitern Zugriff auf ihre cloudbasierten Anwendungen zu ermöglichen. OneLogin eignet sich für eine Vielzahl von Anforderungen von IT-Administratoren, da es darauf ausgelegt ist, IT-Richtlinien in Echtzeit durchzusetzen. Wenn Änderungen auftreten (z. B. Ausscheiden eines Mitarbeiters), kann die Lösung entsprechend der spezifischen Anforderungen aktualisiert werden.

Idaptive Application Services: Idaptive ist in erster Linie für kleine bis mittlere Unternehmen geeignet. Dank der neuen Cloud-Architektur kann Idaptive vielen Benutzern gleichzeitig Unterstützung bieten. Das Unternehmen kann außerdem mit adaptiver MFA, Enterprise Mobility Management (EMM) und Analysen des Benutzerverhaltens (UBA) in einer einzigen Lösung punkten.

Die Ping Intelligent Identity-Plattform: Ping bietet Dienste für große Unternehmen an. Die Lösung ist für einige Hundert bis einige Millionen Nutzer konzipiert. Ping stellt seine Lösung vor Ort und als Cloud bereit. Zudem umfasst der Dienst die Multi-Faktor-Authentifizierung.

Die Vorteile von SSO

Weniger Passwörter merken

Für die Einmalanmeldung müssen sich Internetnutzer nur ein einziges Passwort merken – das macht das Leben sehr viel einfacher. Passwortmüdigkeit ist ein Phänomen, das tatsächlich existiert und Gefahren birgt. SSO spornt die Internetnutzer dazu an, statt unterschiedlicher Passwörter für verschiedene Konten ein einziges starkes Passwort zu ersinnen. Darüber hinaus hilft die Einmalanmeldung, dem Teufelskreis zu entkommen, der durch das ständige Zurücksetzen von Passwörtern entsteht.

Erhöhte Leistungsfähigkeit der Mitarbeiter und gesteigerte Produktivität in der IT

In vielen Unternehmen kann SSO eine echte Zeitersparnis darstellen. Laut einem aktuellen Bericht verschwenden die Menschen 16,3 Milliarden Stunden pro Jahr mit dem Versuch, sich Passwörter zu merken, einzugeben oder zurückzusetzen. Und in einer Geschäftsumgebung kostet jede Minute Geld. Dank SSO müssen Benutzer nicht mit verschiedenen Login-URLs jonglieren oder umständlich Passwörter zurücksetzen. So bleibt ihnen mehr Zeit für ihre eigentliche Arbeit.

Verbessertes Anwendererlebnis

Die Verbesserung des Nutzererlebnisses ist einer der größten Vorteile, den SSO bietet. Nutzer können reibungslos im Netz surfen, da keine wiederholten Anmeldungen erforderlich sind. Sie werden sich deshalb viel eher für die Nutzung einer Plattform entscheiden. Jeder webbasierte Dienst sollte für ein optimiertes Nutzererlebnis die Einmalanmeldung anbieten.

Zentralisierte Kontrolle des Benutzerzugriffs

Mithilfe von SSO können Unternehmen zentral kontrollieren, wer Zugriff auf ihre Systeme hat. Unternehmen können SSO verwenden, um neuen Mitarbeitern Zugriffsberechtigungen für bestimmte Systeme zu gewähren. Mitarbeiter können für den Zugriff auf alle Unternehmenssysteme aber auch mit einem einzigen Anmeldedatensatz (Benutzername und Passwörter) ausgestattet werden.

Kosten von SSO

Da die meisten verfügbaren SSO-Lösungen cloudbasiert sind, werden sie in der Regel im Rahmen eines monatlichen Abonnementmodells angeboten. Die Kosten für eine cloudgestützte SSO-Lösung für kleine und mittelständische Unternehmen kann zwischen 1 € und 10 € pro Benutzer und Monat liegen.

Eine SSO-Lösung für Großunternehmen kostet entweder monatlich mehr oder verlangt eine einmalige Einrichtungsgebühr. Enterprise-Lösungen decken in der Regel eine größere Bandbreite an Szenarien ab, sodass Anbieter die Lösung genau auf die Bedürfnisse und Anforderungen des Kunden zuschneiden müssen. Das ist für den Kostenunterschied verantwortlich.

Ist es sinnvoll, SSO für einen Passwort-Manager zu verwenden?

If your company uses a secure and reliable SSO solution like Google Workspace-, Okta oder Ihr Gerät für Microsoft Azure, logging in to a password manager such as NordPass mit denselben Anmeldedaten anzumelden, die Sie für Ihr Geschäftskonto verwenden.

Erstens müssen Sie sich nicht jedes Mal das Passwort Ihres Kontos merken und eintippen, wenn Sie auf Ihren Passwort-Manager zugreifen wollen. Und da Sie sich dieses Passwort nicht merken müssen, haben Sie weniger Passwörter, die Sie sich merken müssen. Das macht es weniger wahrscheinlich, dass Sie ein schwaches oder wiederverwendetes Passwort für Ihren Passwort-Manager oder andere Konten verwenden. Das ist also ein echter Pluspunkt.

Für IT-Administratoren erleichtert SSO die Verwaltung von Benutzerzugriffen und -berechtigungen und trägt so dazu bei, dass die Sicherheitsrichtlinien und -vorschriften des Unternehmens eingehalten werden. Wenn Sie also darüber nachdenken, SSO mit einem Passwort-Manager wie NordPass zu verwenden, halten wir dies für eine gute Wahl – vorausgesetzt, alles ist richtig eingerichtet.