Single Sign-On – Wie funktioniert es und was ist passwortloses SSO?

Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, mit einer einzigen Anmeldung auf mehrere Anwendungen oder Websites zuzugreifen. SSO vereinfacht das Benutzererlebnis, erhöht die Sicherheit und senkt die IT-Kosten. In diesem Artikel erklären wir, wie SSO funktioniert, welche Vorteile und Herausforderungen SSO mit sich bringt und gehen näher darauf ein, was ein passwortloses SSO ist.

Wie funktioniert SSO?

SSO funktioniert mithilfe eines zentralen Identitätsanbieters (IdP), der die Identität des Benutzers überprüft und ihm Zugriff auf verschiedene Dienstanbieter (SPs) gewährt, die auf den IdP angewiesen sind. Der IdP kann ein internes System wie Active Directory oder LDAP oder ein externes System wie Google oder Facebook sein. Bei den SPs kann es sich um Webanwendungen, Cloud-Dienste oder mobile Apps handeln.

Die grundlegenden Schritte von SSO sind:

1. Der Benutzer fordert Zugriff auf einen SP, beispielsweise eine Webanwendung.
2. Der SP leitet den Benutzer dann zur Authentifizierung an den IdP weiter.
3. Der Benutzer gibt seine Anmeldeinformationen (z. B. Benutzername und Passwort) beim IdP ein.
4. Der IdP validiert die Anmeldeinformationen des Benutzers und generiert ein Sicherheitstoken, das die Identität und Attribute des Benutzers enthält.
5. Der IdP sendet das Sicherheitstoken an den SP zurück.
6. Der SP überprüft das Sicherheitstoken und gewährt dem Benutzer Zugriff auf die Anwendung.

Wenn der Benutzer das nächste Mal Zugriff auf einen anderen SP anfordert, der denselben IdP verwendet, muss er seine Anmeldeinformationen nicht erneut eingeben. Der IdP sendet automatisch ein Sicherheitstoken an den SP und der Benutzer wird angemeldet. Dieser Vorgang wird Single Sign-On genannt.

Es gibt verschiedene Protokolle und Standards, die SSO ermöglichen, wie SAML, OAuth, OpenID Connect, WS-Federation usw. Diese Protokolle definieren, wie der IdP und der SP kommunizieren und Informationen austauschen. Sie stellen außerdem Mechanismen zur Verschlüsselung, Signierung und Überprüfung der Sicherheitstoken bereit.

Vorteile von SSO

SSO bietet viele Vorteile für Benutzer, Administratoren und Organisationen, wie zum Beispiel:

• Verbesserte Benutzererfahrung : SSO macht es für Benutzer überflüssig, sich mehrere Passwörter für verschiedene Anwendungen zu merken und einzugeben.Benutzer können mit einem einzigen Login auf alle ihre Anwendungen zugreifen, was Zeit spart und Frustration reduziert.
• Verbesserte Sicherheit : SSO reduziert das Risiko von Passwortverletzungen, Phishing-Angriffen und Anmeldedatendiebstahl.Benutzer müssen keine schwachen oder wiederverwendeten Passwörter für verschiedene Anwendungen verwenden. Administratoren können starke Passwortrichtlinien und Multifaktor-Authentifizierung für den IdP durchsetzen. SSO ermöglicht außerdem die zentrale Steuerung und Überwachung des Benutzerzugriffs und der Benutzeraktivitäten in allen Anwendungen.
• Reduzierte IT-Kosten : SSO reduziert die mit der Passwortverwaltung verbundenen IT-Kosten, wie z. B. Helpdesk-Anrufe, Passwortzurücksetzungen, Kontosperrungen usw. Administratoren können Benutzerkonten und Berechtigungen über ein einziges Dashboard verwalten.SSO vereinfacht außerdem die Einhaltung von Sicherheits- und Datenschutzbestimmungen.

Herausforderungen von SSO

SSO stellt Benutzer, Administratoren und Organisationen auch vor einige Herausforderungen, wie zum Beispiel:

• Abhängigkeit vom IdP : SSO hängt von der Verfügbarkeit und Leistung des IdP ab.Wenn der IdP ausgefallen oder kompromittiert ist, können Benutzer möglicherweise nicht auf ihre Anwendungen zugreifen. Administratoren müssen sicherstellen, dass der IdP sicher, zuverlässig und skalierbar ist.
• Integrationskomplexität : SSO erfordert die Integration zwischen dem IdP und den SPs unter Verwendung kompatibler Protokolle und Standards.Dies kann technische und betriebliche Herausforderungen wie Konfiguration, Wartung und Fehlerbehebung mit sich bringen.
• Benutzerschulung : SSO erfordert möglicherweise, dass Benutzer neue Methoden zum Anmelden und Verwalten ihrer Konten erlernen.Beim Wechsel zwischen verschiedenen Anwendungen oder Geräten kann es außerdem zu Verwirrungen oder Fehlern kommen. Administratoren müssen den Benutzern klare Anleitungen und Unterstützung bieten, damit sie SSO effektiv einführen und nutzen können.

Was ist passwortloses SSO?

Bei passwortlosem SSO handelt es sich um eine Art von SSO, bei dem Passwörter vollständig eliminiert werden und andere Authentifizierungsmethoden wie Biometrie, Token oder Codes verwendet werden. Diese Art von SSO erhöht die Vorteile und verringert die Herausforderungen von SSO, indem es eine bequemere, sicherere und kostengünstigere Möglichkeit für den Zugriff auf mehrere Anwendungen bietet.

Bei einem passwortlosen SSO wird ein passwortloser Identitätsanbieter (IdP) verwendet, der die Identität des Benutzers überprüft und ihm Zugriff auf verschiedene Dienstanbieter (SPs) gewährt, die auf den IdP angewiesen sind.

Der passwortlose IdP kann verschiedene Authentifizierungsmethoden verwenden, wie zum Beispiel:

• Biometrie : Der Benutzer authentifiziert sich anhand seiner physischen Merkmale wie Fingerabdruck, Gesichts- oder Stimmerkennung.
• Token : Der Benutzer authentifiziert sich mithilfe eines physischen Geräts, beispielsweise einer Smartcard, eines USB-Sticks oder einer Smartphone-App.
• Codes : Der Benutzer authentifiziert sich mithilfe eines Einmalcodes, der an seine E-Mail-Adresse oder Telefonnummer gesendet wird.

Wenn der Benutzer das nächste Mal Zugriff auf einen anderen SP anfordert, der denselben passwortlosen IdP verwendet, muss er keine erneuten Informationen angeben. Der passwortlose IdP sendet automatisch ein Sicherheitstoken an den SP und der Benutzer wird angemeldet. Dieser Vorgang wird als passwortloses SSO bezeichnet.

Es gibt verschiedene Plattformen und Lösungen, die passwortloses SSO ermöglichen, wie z. B. Beyond Identity, Okta FastPass, Microsoft Entra ID usw. Diese Plattformen und Lösungen verwenden unterschiedliche Protokolle und Standards, um passwortloses SSO zu implementieren, wie z. B. FIDO2, WebAuthn, CTAP usw. Diese Protokolle und Standards legen fest, wie der passwortlose IdP und die SPs kommunizieren und Informationen austauschen. Sie stellen außerdem Mechanismen zur Verschlüsselung, Signierung und Überprüfung der Sicherheitstoken bereit.

Abschluss

Abschließend möchte ich betonen, dass SSO Benutzern den Zugriff auf mehrere Anwendungen oder Websites mit nur einer einzigen Anmeldung ermöglicht. Allerdings bringt SSO auch einige Herausforderungen mit sich, wie etwa die Abhängigkeit vom IdP, die Komplexität der Integration und die Schulung der Benutzer.

Andererseits eliminiert ein passwortloses SSO Passwörter vollständig und verwendet andere Authentifizierungsmethoden wie Biometrie, Token oder Codes. Daher erhöht ein passwortloses SSO die Vorteile, reduziert aber gleichzeitig die Herausforderungen von SSO und bietet eine bequemere Möglichkeit, sicher auf mehrere Anwendungen zuzugreifen, ohne Ihr Bankkonto zu belasten.