Was ist Single Sign-On (SSO)?
What is Single Sign-on?
Single sign-on (SSO) ermöglicht Nutzern die Anmeldung und damit den Zugriff auf mehrere Anwendungen und Dienste mit einer einzigen Kombination von Anmeldedaten. SSO erhöht die Sicherheit und bietet eine bessere Benutzererfahrung für Kunden, Mitarbeiter und Partner, indem es die Anzahl der erforderlichen Konten bzw. Passwörter verringert und ihnen den Zugang zu allen benötigten Apps und Diensten erleichtert.
Wie funktioniert Single Sign-On?
SSO ist nur möglich, wenn ein Unternehmen, das als Identitätsprovider (IdP) fungiert, einen zentralisierten Authentifizierungsserver einbindet, der von allen Apps genutzt werden kann, um die Identität eines Nutzers zu bestätigen. Dieser Server kann die Benutzeridentitäten validieren und Zugriffstoken ausgeben. Dabei handelt es sich um verschlüsselte Datenpakete, welche die Identität und Berechtigungen des Nutzers bestätigen.
Wenn sich ein Nutzer zum ersten Mal anmeldet, werden der Benutzername und das Passwort an den Identitätsprovider zur Verifizierung weitergeleitet. Der Authentifizierungsserver gleicht die Anmeldedaten mit dem Verzeichnis ab, in dem die Nutzerdaten hinterlegt sind, und startet eine SSO-Session im Browser des Benutzers.
Wenn der Nutzer den Zugriff auf eine Anwendung innerhalb einer vertrauten Gruppe anfordert, fragt der Serviceprovider nicht nach einem Passwort, sondern fordert den Identitätsprovider auf, die Identität des Benutzers zu authentifizieren.
Der Identitätsprovider gibt ein Zugriffstoken aus, und der Serviceprovider gewährt den Zugriff, ohne dass der Benutzer den Anmeldebildschirm zu Gesicht bekommt.
Arten von Single-Sign-On
In der Vergangenheit waren alle Anwendungen auf den Standort begrenzt und die Anforderungen an eine Single Sign-On-Lösung waren weniger kompliziert. Mitarbeiter haben sich bei einer SSO-Sitzung angemeldet, wurden mithilfe des einzigen Verzeichnisses authentifiziert und erhielten Zugriff auf verschiedene Anwendungen, die sich alle in der gleichen Domäne befanden, ohne dass er seinen Benutzernamen oder das Passwort jedes Mal neu eingeben musste. Dies ist Single Sign-On in seiner einfachsten Form.
In Geschäftsumgebungen, die wir heute vorfinden, sind die Dinge etwas komplizierter. Die Verteilung von standort-, Cloud- sowie SaaS- basierten Anwendungen erfordert stabilere Single Sign-On-Lösungen. Das SSO selbst wird dadurch aber umso wertvoller. Heutzutage nutzen viele Unternehmen das föderierte SSO, um eine Authentifizierung bei mehreren Unternehmen und Sicherheitsdomänen mit einer einzigen Kombination von Anmeldedaten zu ermöglichen. Das bedeutet, dass sie selbst einer vertrauenswürdigen Gruppe von Anwendungen oder „Serviceprovidern“ ein sicheres Single Sign-On bereitstellen können, wenn die Apps von Drittanbietern oder außerhalb ihrer Firewalls angeboten werden.
Was genau ist Cloud Single Sign-on (Cloud SSO)?
Hierbei handelt es sich um eine weitere Variante von Single Sign-On. Cloud-Anwendungen sind in Unternehmen mittlerweile ein unverzichtbarer Faktor für Produktivität, Infrastruktur und das operative Geschäft. Da immer mehr Mitarbeiter von zu Hause aus arbeiten und die Erwartungen der Kunden steigen, wollen Unternehmen mit Cloud SSO eine möglichst effiziente Vernetzung erreichen. Cloud Single Sign-On bietet eine zentralisierte Zugriffsverwaltung und ermöglicht es den Nutzern, ihre Cloud-basierten Anwendungen und Dienste mit einer einzigen Identität für vertrauenswürdige Anbieter zu authentifizieren. Da keine erneuten Authentifizierungen erforderlich sind, optimiert das Cloud SSO den Prozess und bietet gleichzeitig einen sicheren Benutzerzugang zu mehreren Anwendungen und Diensten.
Standards für Single Sign-On
Der Austausch erfolgt mithilfe der Verwendung von Identitätsstandards such as SAML, OAuth und OpenID Connect. Diese Standards ermöglichen die sichere Weitergabe von Identitätsdaten zwischen mehreren Dienst- und Identitätsanbietern. Ohne diese Standards müsste man jede Verbindung individuell entwickeln, und das wäre bald zu mühselig und schlicht untragbar.
Es gibt nur wenige unterschiedliche Standards, da sich über die Jahre hinweg neue Standards durchgesetzt haben, die sich besser für web- und SaaS-basierte Anwendungen eignen, als die vorherigen Standards, die für ältere Anwendungen ausgelegt waren. Jeder einzelne Standard hat seine Stärken, weshalb jedes unternehmensgerechte SSO-System die gesamte Bandbreite unterstützen sollte.
Vorteile von Single Sign-on
Von sozialen Medien über Online-Shopping und Tools für die Zusammenarbeit bis hin zu spezialisierten Geschäftsanwendungen – es wird immer schwieriger, sich die vielen Benutzernamen und Passwörter für die einzelnen Anwendungen zu merken. Wahrscheinlich könnte man vielen von uns vorwerfen, sich schwache Passwörter auszudenken oder sich diese aufzuschreiben. Mehr als 80 Prozent aller Anwender im Alter von 18 Jahren verwenden das gleiche Passwort für mehrere Konten.
Ebenso sind wiederholte Anmeldungsanforderungen ein Ärgernis für Kunden und Mitarbeiter. Bei Online-Unternehmen kann es vorkommen, dass sie unterschiedliche Passwörter für verschiedene Bereiche ihrer Website anfordern. Ein Arbeitgeber veranlasst seine Mitarbeiter möglicherweise, sich bei jeder Geschäftsanwendung separat anzumelden. Ein unglaublicher Zeitaufwand!
Auf dem Weg zum einfachsten und sichersten Erlebnis auf allen Kanälen bringt Sie das Single Sign-On ein großes Stück voran, indem es die Mühe verringert und gleichzeitig das Risiko eines Sicherheitsverstoßes reduziert.
Optimale Erfahrungen
Mit Single Sign-On wird das Ärgernis, sich für jede App einzeln anzumelden und sich mehrere Kombinationen von Anmeldedaten merken zu müssen, durch den Komfort des Zugriffs mit einem Klick ersetzt. Mitarbeiter arbeiten so produktiver, Kunden und Partner genießen eine reibungslose Online-Erfahrung, die ihren Geschäftsalltag erleichtert. SSO auf Mobilgeräten bietet außerdem einen entscheidenden Vorteil in einer Zeit, in der Kunden ihre Smartphones für alles und jeden nutzen. Zudem lassen 72% der Unternehmen das Arbeiten mit den mitarbeitereigenen Geräten („Bring-your-own-Device“) zu oder ziehen dies in Erwägung.”
Gesteigerte Sicherheit
Durch die Anmeldung mit Single Sign-On kann ein Unternehmen die stark unter Beschuss geratene Angriffsfläche der Anmeldedaten auf eine einzige Kombination reduzieren. Diese eine Kombination kann wiederum gewissenhafter geschützt werden. Single Sign-On schirmt die Benutzerdaten durch die Verwendung von Token für die Authentifizierung sicherer ab, als die Verwendung von Passwörtern oder das Speichern von Anmeldedaten auf Benutzergeräten es können.
Niedrigere Kosten
Laut einer Studie von Forrester Research kann das Zurücksetzen von Passwörtern ein Unternehmen im Durchschnitt 179 US-Dollar pro Mitarbeiter und Jahr kosten. Wenn Sie dies mit der Anzahl der Benutzer multiplizieren, erhalten Sie einen raschen und hohen Kostenaufwand für die IT. Weniger Passwörter sind gleichbedeutend mit weniger Zurücksetzungen und einem geringeren Zeit- und Kostenaufwand für die Benutzerverwaltung.
Beispielfälle für Single-Sign-On
Folgende Anwendungsbeispiele verdeutlichen, wie hilfreich Single Sign-On sein kann:
- Ein Mitarbeiter meldet sich morgens mit seiner E-Mail-Adresse und seinem Passwort bei seinem Firmen-E-Mail-Konto an. Für den Rest des Tages kann er ohne eine erneute Eingabe eines Passworts auf alle seine Anwendungen zugreifen: Instant Messaging, Intranet, Vertriebsdaten, IT-Helpdesk und seinen Arbeitszeitnachweis.
- Ein Bankkunde meldet sich bei seiner Bank an, um seinen Kontostand einzusehen. Im Anschluss daran kann er nahtlos zum Hypothekenantrag wechseln, seine Bonität prüfen und den Kundenservice über eine anstehende Reise informieren. Am Backend ist jeder dieser Dienste eine eigene Anwendung, aber der Kunde muss nie ein weiteres Passwort angeben.
- Ein Einzelhändler arbeitet mit einem umfangreichen Netzwerk von Lieferketten- und Vertriebspartnern. Diese Partner erhalten nach einer einmaligen Anmeldung beim Anwendungsdock von dieser zentralen Stelle aus direkten Zugang zu allen Anwendungen und Diensten, die der Einzelhändler für ihre Nutzung freigeschaltet hat – ohne weitere Anmeldevorgänge.
Ist Single Sign-on das beste Sicherheitskonzept?
Obwohl Single Sign-On viele Vorteile hat, mag sich mancher fragen, ob es auch wirklich das beste Konzept zum Schutz der eigenen Mitarbeiter und Kunden ist. Wenn Sie Benutzern erlauben, mit einer einzigen Kombination von Anmeldeinformationen auf alle Daten zuzugreifen, sollten Sie sicher sein, dass diese Benutzer (und Ihre Systeme) ihre Anmeldeinformationen angemessen schützen. Sobald sie ein Hacker in die Hände bekommt, erhält er Zugriff auf alle Apps und Dienste des jeweiligen Benutzers. Leider kann das Passwort eines Benutzers auch bei der denkbar besten Sicherheitstechnologie durch Phishing-Betrug, Wiederverwendung auf einer gehackten Website oder durch andere unsichere Verhaltensweisen kompromittiert werden.
Es ist trotzdem immer noch wesentlich einfacher, einen Satz starker Anmeldedaten abzusichern, als viele unterschiedliche zu verwalten. Kluge Unternehmen implementieren daher eine Multifaktor-Authentifizierung, um die Sicherheit am Punkt der Anmeldung zu verstärken. In dem Fall wird den Benutzern außer dem Passwort noch ein zusätzlicher Nachweis abverlangt, mit dem sie nachweisen können, dass sie die sind, die sie vorgeben zu sein. Erweiterte Lösungen sind sogar in der Lage, mithilfe von künstlicher Intelligenz das Risikoniveau eines bestimmten Benutzers oder seiner Aktionen zu bewerten und zu entscheiden, ob die Sicherheitsstufe heraufgesetzt werden sollte oder nicht.
Mit SSO erhalten die Benutzer die erwartete Erfahrung und Sicherheit
Die IT-Umgebungen werden immer komplexer und gleichzeitig steigen die Anforderungen der Benutzer. Daher sind Unternehmen, die in eine Single Sign-On-Lösung investieren, ihren Mitbewerbern immer eine Nasenlänge voraus. Mit Single Sign-On können sie die Sicherheit verbessern, indem sie die Anzahl der erforderlichen Passwörter reduzieren, die mit der Passwortverwaltung verbundenen IT-Kosten senken und eine reibungslose Online-Erfahrung gestalten. Ihre Mitarbeiter können produktiver arbeiten, und Sie bieten ihren Kunden einen reibungslosen Zugriff auf alle Anwendungen – selbst wenn diese es überhaupt nicht bemerken!
Weitere Informationen über Single Sign-On und wie es funktioniert, finden Sie in unserem Leitfaden über Single Sign-On.
Häufig gestellte Fragen zu Single Sign-On
Was ist eine Anmeldung mit SSO?Mit Single Sign-On (oder SSO) erhalten Nutzer den Zugang zu mehreren Anwendungen mithilfe einer einzigen Kombination von Anmeldedaten. Dies bedeutet, dass Sie sich nur einmal beim System eines Unternehmens anmelden (bei Ihrem Arbeitgeber oder auf einer Unternehmens-Website, die Sie online nutzen) und dann nicht mehr jedes Mal Ihren Benutzernamen und Ihr Passwort eingeben müssen, um auf die einzelnen Anwendungen zuzugreifen. Auf diese Weise müssen Sie weniger separate Konten und Passwörter verwalten. | ||
Was ist SSO-Authentifizierung?Mit der SSO-Authentifizierung können sich Nutzer über einen Identitätsanbieter anmelden, der ihnen dann Zugang zu allen Anwendungen desselben vertrauenswürdigen Identitätssystems gewährt. Die SSO-Authentifizierung ist nicht zu vergleichen mit einem Passwortmanager, der einfach mehrere Passwörter in einem Vault speichert, um sie bei der Anmeldung leicht abrufen zu können. | ||
Wie viel kostet SSO?Die Kosten für Single Sign-On richten sich nach der Komplexität der Lösung und den darin enthaltenen Funktionen, wie z. B. die kontextbezogene Authentifizierung. Der Preis wird in der Regel pro Nutzer und Monat berechnet. | ||
Ist Single Sign-On sicher?Ja. SSO ist ein sicherer Weg, über den Nutzer auf mehrere miteinander verbundene Anwendungen zugreifen können, ohne ihre Anmeldedaten jedes Mal neu eingeben zu müssen. Dadurch erhalten Cyberkriminelle weniger Gelegenheit, kompromittierte Passwörter auszunutzen, da sich jeder Nutzer nur ein einziges Mal anmeldet. SSO-Systeme tauschen außerdem sichere Zugangs-Token aus, anstatt Passwörter hin- und herzuschicken, wodurch die sensiblen Daten besser geschützt sind. | ||
Was bedeutet Single Sign-On?Single Sign-On (SSO) bedeutet, dass ein Benutzer mit einer einzigen Anmeldung Zugriff auf mehrere Anwendungen innerhalb desselben Systems erhält. So können beispielsweise Mitarbeiter nach einer einmaligen Anmeldung (in der Regel über ein Anmeldungsportal) auf alle unternehmenseigenen Anwendungen und Websites zugreifen. Die Kunden können ebenfalls Zugang zu mehreren separaten Diensten eines Unternehmens erhalten, ohne dass sie separate Konten anlegen müssen. | ||
Welches ist die beste Single Sign-On-Lösung?Das SSO von Ping Identity kann Nutzer auf jedem Gerät, für jede Anwendung und mit jedem Verzeichnis authentifizieren. Es lässt sich problemlos in Apps im ganzen Unternehmen, aber auch in Dienste von Drittanbietern und der bestehenden Infrastruktur einbinden und bietet umfassende Unterstützung für moderne Identitätsstandards. Ping Identity hat Unternehmen auf der ganzen Welt dabei unterstützt, auf diese Weise ihre Sicherheitslage, die Kundenbindung und die Produktivität ihrer Belegschaft zu verbessern. | ||
Was ist der Unterschied zwischen SSO und MFA?Der Hauptunterschied zwischen Single Sign-On (SSO) und der Multifaktor-Authentifizierung (MFA) besteht darin, dass Sie bei SSO nur einen Satz von Anmeldedaten eingeben müssen, um sich bei allen Anwendungen anzumelden. Eine MFA fordert die Nutzer bei der Anmeldung zur Eingabe von zwei oder mehreren Authentifizierungsfaktoren auf. SSO und MFA werden häufig in Kombination verwendet, um die Anmeldung einerseits einfacher, aber auch sicherer zu gestalten, da zunächst die Notwendigkeit mehrerer Anmeldungen entfällt, der einzige Authentifizierungspunkt jedoch durch die MFA-Sicherheit ergänzt wird. | ||
Warum benötigen wir SSO?Single Sign-On (SSO) ist wichtig und wird oft von großen Unternehmen gefordert, denn es setzt die Wahrscheinlichkeit für Datenschutzverletzungen herab, indem es die Zahl der im Unternehmen verwendeten Passwörter reduziert – ein von Hackern stark anvisierter Angriffsvektor. Es verbessert außerdem die Online-Erfahrung für Mitarbeiter und Kunden: Mitarbeiter erhalten einen schnelleren und vereinfachten Zugang zu allen Ressourcen, die sie für ihre Arbeit benötigen, während den Kunden eine nahtlose Erfahrung mit minimalen Reibungspunkten bei der Anmeldung geboten wird. |