SSO (Single-Sign On) ist ein zentralisierter Service zur User-Authentifizierung: Nach einmaliger Anmeldung mittels Benutzername und Passwort auf einer Plattform, stehen dem Benutzer eine Vielzahl von Services und/oder Applikationen zur Verfügung, oder dass er oder sie sich jedes Mal erneut anmelden müsste.

Die geläufigsten Beispiele sind Facebook oder Google, die den Benutzern Zugang zu Services des gleichen Anbieters, aber auch zu Dritten gewährt. Im Unternehmensumfeld wird SSO genutzt, um den Mitarbeitenden bspw. Zugang auf das cloudbasierte ERP-System zu gewähren.

Der grösste Vorteil von SSO ist selbstsprechend, dass nur ein Sicherheitstoken (bspw. Benutzername und Passwort) genutzt werden müssen. Dadurch verringert sich die Gefahr, dass man die Passwörter vergisst, dass man für jede Applikation dasselbe Passwort nutzt, oder dass man „schwache“ oder „einfache“ Passwörter verwendet, um sie sich besser merken zu können. Da sich Arbeitsplätze und Unternehmensdaten zunehmend in die Cloud verschieben, bietet SSO eine bequeme Möglichkeit, um den Arbeitsalltag effizient zu halten. Mit der richtigen Zugriffsverwaltung können Unternehmen dabei granular definieren, auf welche Informationen genau ein Benutzer oder eine Benutzergruppe zugreifen darf, sodass sowohl Benutzerfreundlichkeit wie auch Sicherheit beiderseits maximiert werden können.

Für das Unternehmen, das SSO ermöglicht, können nebst der erhöhten Sicherheit und Zufriedenheit der Mitarbeitenden auch die Aufwendungen für Systemadministratoren minimiert werden: statt händisch einen Benutzer mehrfach zu autorisieren, können mithilfe von RBAC (Role Based Access Control) automatisch Berechtigungen vergeben werden. Die IT-Abteilung wird also mehr Kapazitäten haben um sich um wesentlichere Aufgaben zu kümmern, als Zugriffsberechtigungen zu vergeben und Tickets bzgl. Password-Resets zu bearbeiten. Eine erfolgreiche SSO-Implementierung gibt der IT-Abteilung die Entscheidungshoheit darüber, wer wann und wo, von wo aus, auf was zugreifen darf.

Wird also alles besser, wenn Sie SSO in ihrer Unternehmung implementieren? Nicht unbedingt.

Mit SSO wird ein Single-Point-of-Failure geschaffen: Einmal geknackt, erhalten Angreifer Zugriff auf zahlreiche Services und Accounts. Natürlich kann eine reaktive IT-Abteilung den Zugriff relativ schnell verwehren. Ausschliessen, dass in der Zwischenzeit bereits Schaden entstanden ist, kann man aber leider nicht; zumal der missbräuchliche Zugriff erst einmal bekannt sein muss.

Insofern ist der zentrale Einstiegspunkt bestmöglichst zu schützen. Statt eines frei wählbaren Passworts kann beispielsweise eine Mindestkomplexität oder -länge vorgeschrieben werden. Noch besser wäre die Implementierung einer Mehr-Faktor-Authentifizierung. Viele Unternehmen verwenden beispielsweise den Google Authenticator. Die Anschaffung von kostspieligen Authentifizierungsmöglichkeiten, wie die Nutzung von Venen- oder Retinascannern sollte dabei einer sorgfältigen Kosten/Nutzen-Evaluierung unterzogen werden. Und ja, diese weiterführenden Massnahmen machen den Single-Sign-On wieder komplizierter; was also der eigentlichen Idee zuwiderläuft. Wie so oft ist es schlussendliche eine Frage der Balance.

Wie führe ich Single Sign-On ein?

Falls Sie in Ihrem Unternehmen SSO einsetzen möchten, können Sie sich an folgendem Prozess orientieren:

  1. Definieren Sie die Menge aller Anwendungen und Services, die Sie mittels SSO zugänglich machen möchten. Falls die definierten Anwendungen SSO nicht unterstützen, ist abzuwägen, ob sie den Hersteller auf dieses Bedürfnis hinweisen, oder aber sogar eine alternative Lösung in Betracht ziehen möchten.
  2. Definieren Sie die zentrale Identitätsquelle, in der Sie Ihre Benutzer und Berechtigungen verwalten. In den meisten Fällen wird dies das Microsoft Active Directory sein.
  3. Definieren Sie die erforderlichen Anwendungen und Richtlinien in der SSO Lösung (welche Benutzerkreise wollen Sie damit begünstigen, welche Policies sollen die Lösung definieren)
  4. Definieren Sie, welche Benutzer Zugriff auf welche Anwendungen benötigen.
  5. Fassen Sie die Benutzer in Gruppen zusammen, um die Berechtigungsverwaltung zu erleichtern. Idealerweise orientieren Sie sich an RBAC (Role Based Access Control)

Fazit

Nein – Sie sollten nicht unter allen Umständen SSO implementieren. Abhängig davon, wie viele Mitarbeitende und Applikationen Ihr Unternehmen beschäftigt, bzw. nutzt, kann es sich aber lohnen. Die grösste Schwierigkeit bildet die Kompatibilität: Falls Sie Anwendungen in Betrieb haben, die SSO nicht unterstützen, kann sich das Unterfangen (Überzeugen von Stakeholders, Neuevaluierung von Lösungen, etc.) langwierig gestalten.

Categories: News

en_GBEnglish (UK)
de_DEDeutsch fr_FRFrançais it_ITItaliano en_GBEnglish (UK)