Aktualisiert: 1. März 2024
Mitwirkende: Mark Scapicchio, Amber Forrest
Single Sign On, auch SSO genannt, ist ein Authentifizierungsschema, das es Benutzern ermöglicht, sich einmal mit einem einzigen Satz von Anmeldedaten anzumelden und während derselben Sitzung auf mehrere Anwendungen zuzugreifen.
Single Sign On vereinfacht die Benutzerauthentifizierung, verbessert die Benutzererfahrung und erhöht bei richtiger Implementierung auch die Sicherheit. Es wird häufig verwendet, um die Authentifizierung und den sicheren Zugriff auf Unternehmensintranets oder -extranets, Studentenportale, Public-Cloud-Services und andere Umgebungen zu verwalten, in denen Benutzer zwischen verschiedenen Anwendungen wechseln müssen, um ihre Arbeit zu erledigen. Darüber hinaus wird SSO zunehmend auch auf kundenorientierten Websites und in Apps – beispielsweise auf Bank- und E-Commerce-Websites – eingesetzt, um Anwendungen von Drittanbietern in einer nahtlosen, unterbrechungsfreien Benutzererfahrung zu kombinieren.
Der X-Force Threat Intelligence Index bietet neue Erkenntnisse über die wichtigsten Bedrohungen, damit Sie sich auf Cyberangriffe, Erpressungsversuche und mehr vorbereiten und schneller darauf reagieren können.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Single Sign On basiert auf einer digitalen Vertrauensbeziehung zwischen Service-Anbietern – also Anwendungen, Websites, Services – und einem Identitätsanbieter (Identity Provider, IdP) oder einer SSO-Lösung. Die SSO-Lösung ist häufig Teil einer größeren Lösung für Identity und Access Management (IAM).
Grundsätzlich funktioniert die SSO-Authentifizierung folgendermaßen:
Ein Benutzer meldet sich mit seinen SSO-Anmeldedaten bei einem der Service-Anbieter oder bei einem zentralen Portal (z. B. dem Intranet eines Unternehmens oder dem Studentenportal einer Hochschule) an.
Wenn der Benutzer erfolgreich authentifiziert wurde, generiert die SSO-Lösung ein Token zur Authentifizierung der Sitzung, das bestimmte Informationen zur Identität des Benutzers enthält: einen Benutzernamen, eine E-Mail-Adresse usw. Dieses Token wird dann im Webbrowser des Benutzers oder im SSO-System gespeichert.
Wenn der Benutzer versucht, Zugang zu einem anderen vertrauenswürdigen Service-Anbieter zu erhalten, überprüft die Anwendung mit dem SSO-System, ob der Benutzer bereits für die Sitzung authentifiziert ist. Wenn dies der Fall ist, validiert die SSO-Lösung den Benutzer, indem sie das Authentifizierungstoken mit einem digitalen Zertifikat signiert und dem Benutzer Zugriff auf die Anwendung gewährt. Ist dies nicht der Fall, wird der Benutzer aufgefordert, seine Anmeldedaten erneut einzugeben.
Abonnieren Sie Updates zum Thema Sicherheit
Der oben beschriebene SSO-Prozess – eine einzelne Anmeldung und ein Satz Benutzeranmeldeinformationen, die den Sitzungszugriff auf mehrere verwandte Anwendungen ermöglichen – wird manchmal als einfaches SSO oder reines SSO bezeichnet. Weitere Arten von SSO sind:
Für adaptives SSO ist ein anfänglicher Satz von Anmeldedaten erforderlich, aber es werden weitere Authentifizierungsfaktoren oder eine erneute Anmeldung verlangt, wenn zusätzliche Risiken auftreten, z. B. wenn sich ein Benutzer von einem neuen Gerät aus anmeldet oder versucht, auf besonders sensible Daten oder Funktionen zuzugreifen.
Föderiertes Identitätsmanagement (FIM) ist ein Oberbegriff von SSO. Während SSO auf einer digitalen Vertrauensbeziehung zwischen Anwendungen innerhalb der Domain eines einzelnen Unternehmens basiert, erweitert FIM diese Beziehung auf vertrauenswürdige Dritte, Anbieter und andere Service-Provider außerhalb des Unternehmens. Mit FIM könnte ein angemeldeter Mitarbeiter beispielsweise auf Webanwendungen von Drittanbietern (z. B. Slack oder WebEx) zugreifen, ohne sich zusätzlich anmelden zu müssen, oder indem er sich einfach nur mit seinem Benutzernamen anmeldet.
Die Anmeldung über Social Media ermöglicht es Endbenutzern, sich bei Anwendungen mit denselben Anmeldeinformationen zu authentifizieren, die sie für die Authentifizierung bei beliebten Social-Media-Websites verwenden. Für Anbieter von Drittanwendungen kann die Anmeldung über Social Media unerwünschte Verhaltensweisen (z. B. falsche Anmeldungen, Abbruch von Kaufvorgängen) verhindern und wertvolle Informationen zur Verbesserung ihrer Apps bereitstellen.
SSO kann mit mehreren Authentifizierungsprotokollen und -diensten implementiert werden.
Security Assertion Markup Language, oder SAML, ist das älteste offene Standardprotokoll für den Austausch von verschlüsselten Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und mehreren Service-Anbietern. Da SAML eine bessere Kontrolle über die Sicherheit bietet als andere Protokolle, wird es in der Regel zur Implementierung von SSO innerhalb und zwischen Anwendungsdomains von Unternehmen oder Behörden verwendet.
Open Authorization oder OAuth ist ein offenes Standardprotokoll, das Autorisierungsdaten zwischen Anwendungen austauscht, ohne das Passwort des Benutzers preiszugeben. Mit OAuth können Sie mit einer einzigen Anmeldung die Interaktionen zwischen Anwendungen optimieren, für die normalerweise separate Anmeldungen erforderlich wären. OAuth ermöglicht es beispielsweise LinkedIn, Ihre E-Mail-Kontakte nach potenziellen neuen Netzwerkmitgliedern zu durchsuchen.
OICD, ein weiteres offenes Standardprotokoll, verwendet REST-APIs und JSON-Authentifizierungstoken, damit eine Website oder Anwendung Benutzern Zugang gewähren kann, indem sie sie über einen anderen Service-Anbieter authentifiziert.
OICD, das auf OAuth aufbaut, wird in erster Linie für die Implementierung von Social-Media-Logins bei Anwendungen von Drittanbietern, Warenkörben und mehr verwendet. OAuth/OIDC ist eine schlankere Implementierung und wird oft als Alternative zu SAML eingesetzt, um SSO für Software-as-a-Service (SaaS) und Cloud-Anwendungen, mobile Apps und Internet of Things (IoT)-Geräte zu implementieren.
LDAP (Lightweight Directory Access Protocol) definiert ein Verzeichnis zum Speichern und Aktualisieren von Benutzeranmeldeinformationen und einen Prozess zur Authentifizierung von Benutzern anhand des Verzeichnisses. LDAP wurde 1993 eingeführt und ist für viele Unternehmen, die SSO implementieren, immer noch die bevorzugte Lösung für Authentifizierungsverzeichnisse, da sie mit LDAP den Zugriff auf das Verzeichnis auf detaillierter Ebene steuern können.
Active Directory Federation Services (ADFS) wird auf Microsoft Windows Servern ausgeführt und ermöglicht ein föderiertes Identitätsmanagement, einschließlich Single Sign On, mit internen und externen Anwendungen und Diensten. ADFS verwendet Active Directory Domain Services (ADDS) als Identitätsanbieter.
Benutzer ersparen sich mit SSO Zeit und Ärger. Anstatt sich beispielsweise mehrmals am Tag bei mehreren Anwendungen anzumelden, müssen sich die Endbenutzer eines Unternehmens mit SSO nur einmal beim Intranet des Unternehmens anmelden, um den ganzen Tag über Zugriff auf alle benötigten Anwendungen zu erhalten.
Da sich die Benutzer deutlich weniger Passwörter merken und Administratoren weniger Benutzerkonten verwalten müssen, kann SSO eine Reihe weiterer Vorteile bieten.
Benutzer, die viele Passwörter verwalten müssen, verfallen oft in die schlechte und riskante Angewohnheit, für jede Anwendung die gleichen kurzen, schwachen Passwörter zu verwenden – oder geringfügige Variationen davon. Ein Hacker, der eines dieser Passwörter knackt, kann sich so leicht Zugriff auf mehrere Anwendungen verschaffen. Mit SSO können Benutzer mehrere kurze, schwache Passwörter zu einem einzigen, langen, starken Passwort zusammenfassen, das sie sich leichter merken können und das für Hacker viel schwieriger zu knacken ist.
Laut dem IBM X-Force Threat Intelligence Index 2024 gab es im Jahr 2023 im Vergleich zum Vorjahr einen Anstieg von 71 % bei Cyberangriffen, bei denen gestohlene oder kompromittierte Anmeldedaten verwendet wurden. SSO kann den Bedarf an Passwortmanagern, in Spreadsheets gespeicherten Passwörtern, auf Notizzetteln notierten Passwörtern und anderen Gedächtnisstützen verringern oder beseitigen – allesamt Ziele für Hacker oder Passwörter, die es den falschen Leuten leichter machen, sie zu stehlen oder zufällig darüber zu stolpern.
Laut dem Branchenanalysten Gartner beziehen sich 20 bis 50 Prozent der Anrufe beim IT-Help-Desk auf vergessene Passwörter oder das Zurücksetzen von Passwörtern. Mit den meisten SSO-Lösungen können Benutzer ihre Passwörter mit Unterstützung des Help Desks leicht selbst zurücksetzen.
SSO bietet Administratoren eine einfachere, zentralisierte Kontrolle über die Bereitstellung von Konten und Zugriffsberechtigungen. Wenn ein Benutzer das Unternehmen verlässt, können Administratoren in weniger Schritten Berechtigungen zurückziehen und das jeweilige Benutzerkonto stilllegen.
SSO kann die Einhaltung gesetzlicher Vorschriften zum Schutz personenbezogener Daten und zur Datenzugriffskontrolle sowie die Einhaltung spezifischer Anforderungen in einigen Vorschriften (z. B. HIPAA) in Bezug auf Sitzungszeitüberschreitungen erleichtern.
Das Hauptrisiko von SSO besteht darin, dass die Anmeldedaten eines Benutzers einem Angreifer Zugriff auf alle oder die meisten Anwendungen und Ressourcen im Netzwerk gewähren können, wenn sie kompromittiert werden. Aber wenn Sie von den Benutzern verlangen, lange und komplexe Passwörter zu erstellen – und diese Passwörter sorgfältig zu verschlüsseln und zu schützen, ganz gleich, wo sie gespeichert werden –, können Sie dieses Worst-Case-Szenario weitestgehend vermeiden.
Darüber hinaus empfehlen die meisten Sicherheitsexperten die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) als Teil einer SSO-Implementierung. Bei 2FA oder MFA müssen Benutzer zusätzlich zu einem Passwort mindestens einen Authentifizierungsfaktor angeben, z. B. einen an ein Mobiltelefon gesendeten Code, einen Fingerabdruck oder einen Personalausweis. Da diese zusätzlichen Anmeldedaten nicht so leicht von Hackern gestohlen oder gefälscht werden können, kann MFA die Risiken im Zusammenhang mit kompromittierten Anmeldedaten bei SSO drastisch reduzieren.
Ergänzen Sie Entscheidungen darüber, welche Benutzer Zugriff auf die Daten und Anwendungen Ihres Unternehmens haben sollen, mit umfassendem Kontext, Informationen und Sicherheit – ganz gleich ob On-Premises oder in der Cloud.
Zentralisieren Sie die Zugriffskontrolle für Cloud- und lokale Anwendungen.
Verlassen Sie sich nicht länger ausschließlich auf Basisauthentifizierung, sondern wählen Sie aus Optionen für Authentifizierung ohne Kennwort und Multi-Faktor-Authentifizierung.
Der Bericht über die Kosten einer Datenschutzverletzung hilft dabei, sich auf Datenschutzverletzungen vorzubereiten, indem er aufzeigt, welche Ursachen und Faktoren die Kosten erhöhen oder verringern.
IAM ist das Fachgebiet der Cybersicherheit, das sich damit beschäftigt, wie Benutzer auf digitale Ressourcen zugreifen und was sie mit diesen Ressourcen tun können.
Bei der Multi-Faktor-Authentifizierung müssen Benutzer zusätzlich zu ihrem Benutzernamen mindestens zwei weitere Nachweise erbringen, um ihre Identität zu bestätigen.