Header-grossesschiff

Telefon  +49 6126 710 796 0

Single Sign-on

Vor allem bei Cloud-Lösungen stellt sich die Frage: "Wie melden sich meine Anwender an der neuen Applikation an?" - Idealerweise lautet die Antwort: "Am besten gar nicht, denn dies geschieht von selbst".
Sie können diese Herausforderung mit Hilfe der Kontenföderierung elegant lösen. Wir zeigen Ihnen, was Sie dabei beachten sollten.

Das Ziel: Echtes "Single-Sign-On" (SSO) für ihre Anwender.

SingleSignOn-aber-wie
Single Sign-On

Einmalanmeldung
Individuelle Konten

Same Sign-On (Synchronisation)
Single Sign-On (Föderierung)
Umsetzung

Sie haben verschiedene Möglichkeiten SSO zu implementieren. Wir stellen Ihnen einige Varianten und deren Vorzüge vor. Wenn Sie Active Directory nutzen, kann ADFS eine interessante Lösung sein (AD IDM).

 


Varianten der Einmalanmeldung

Übersetzt man Single Sign-On als "Einmalanmeldung" bedeutet dies, dass der Anwender nur beim Start seinen Nutzernamen und Passwort eingibt. Danach hat er Zugriff auf alle Anwendungen.

Sie haben aber verschiedene Möglichkeiten eine Einmalanmeldung für den Anwender zu implementieren:

  1. Jeder Anwendung das gleiche Login
    Schnell eingerichtet, aber Ihre Benutzer benötigen verschiedene Kennwörter
     
  2. Synchronisieren Sie Konten und verwenden Sie überall die gleichen Daten
    Praktisch erfolgt dabei aber in jeder Anwendung eine Anmeldung (Same Sign-On)
     
  3. Föderieren Sie alle Konten / Login-Anfragen mit einem Identitätsspeicher
    Dies bietet die meisten Vorteile und die Datenhoheit bleibt bei Ihnen (echtes Single Sign-On)
      

Individuelle Konten

Die einfachste Variante:
Jeder Anwender bekommt ein individuelles Kennwort pro Applikation.

SSO - individuelle Konten

Dies ist auf dem ersten Blick mit dem geringsten Aufwand verbunden, führt aber schnell zur Frustration bei ihren Benutzern und danach beim Helpdesk. "Wie war denn nochmal mein Kennwort in Anwendung XY…". "Warum habe ich in Anwendung "Z" noch kein Konto obwohl ich schon 2 Wochen im Unternehmen bin?"


Kontensynchronisation "Same Sign-On"

Eine andere Variante ist ein sogenanntes "Same Sign-On". Dabei richten Sie eine Synchronisation Ihrer Identitäten im lokalen Identitätsspeicher (In den meisten Fällen Active Directory) mit den Anwendungskonten ein. Technisch gibt es hierzu unterschiedliche Möglichkeiten. Oft bringt die Webanwendung auch schon eine Lösung mit.

SSO - Same Sign-On

Das Kennwort der Anwender kann dann auch in vielen Fällen mitsynchronisiert werden. Man spricht dann auch von "Same-Sign-On" da Benutzername und Kennwort identisch sind.
Neue Benutzer werden automatisch, zum Beispiel einmal pro Nacht, angelegt. Kontenänderungen im gleichen Zug übernommen.

Aber auch diese Variante hat ihre Nachteile:

  • Sie geben sensible Informationen (z.B. Kennworte verschlüsselt oder unverschlüsselt) ihrer Anwender an Fremdfirmen.
  • Sie müssen Ihre Kennwortrichtlinie mit der des Service-Providers abgleichen.
  • Auch wenn Sie häufig synchronisieren, eine Änderung kann dann trotzdem noch eine Stunde oder einen Tag brauchen. Lange genug, um einen Anwender durch unterschiedliche Kennworte zu verwirren.
  • Im Falle einer Kontensperrung wegen Datenmissbrauchs kann eine Stunde lang genug sein, um vertrauliche Daten aus einer Fremdanwendung zu missbrauchen.

Kontenföderierung "Single Sign-On"

Vorteile des "echten" Single Sign-Ons

Wenn alle Login-Anfragen gegen ein und denselben Identitäts-Speicher gehen, handelt es sich um einen echten "Single-Sign-On". Dieser wird mit der kontenföderierung erreicht.

Die Vorteile im Überblick:

  • Alle sensiblen Kontendaten befinden sich ausschließlich unter ihrer Hoheit.
  • Sie entscheiden, wie die Identitäten nach außen repräsentiert werden.
  • Ihre Anmeldeinfrastruktur wird nach außen hin abstrahiert
  • Es werden nur Internet-geeignete (http/https) Protokolle verwendet.
  • Ein Kontensperre im AD sperrt augenblicklich alle Logins in allen angebundenen Webanwendungen.
  • Eine Kennwortänderung ist sofort wirksam und unterliegt auch nur den AD Richtlinien
     

Benutzeranmeldung über eine vertraute Stelle

Bei dieser SSO Variante kommt der Ansatz der Kontenföderierung zum Einsatz.
Die Web-Anwendung kümmert sich nicht mehr selbst um die Benutzeranmeldung, sondern überlässt dies einer zentralen Stelle, der sie vertraut.

SSO Kontenföderierung

Um die Anmeldungs-Token zwischen Aussteller und vertrauender Anwendung zu übertragen, wurde SAML (Security Assertion Markup Language) etabliert. Dieser Quasi-Standard wird heute von den meisten aktuellen Anbietern unterstützt.

Wenn Sie bereits ein Active Directory (AD) betreiben, bietet Ihnen Microsoft hierzu ein kostenfreies Produkt an: Active Directory Federation Services (ADFS)
Voraussetzung ist eine bestehende Windows Server Lizenz.

Installiert auf einem oder mehreren Servern Ihrer internen IT Infrastruktur, stellt ADFS die zentrale Anlaufstelle für die Autorisierung Ihrer Webanwendungen dar. Es ist hierbei gleichgültig, ob die Applikation intern oder extern gehostet wird.

Was passiert nun, wenn Sie auf eine solche Anwendung zugreifen?
 

Zugriff mit Active Directory Federation Services

Wenn Sie noch nicht an der Anwendung angemeldet sind, werden Sie automatisch an den ADFS-Dienst weitergeleitet. Sind Sie bereits an ihrem Arbeitsplatz angemeldet, generiert ADFS direkt einen "Passierschein", ein sogenanntes Token, dass umgehend zurück an die aufrufende Web-Applikation geschickt wird. Möchten Sie z.B. als externer Anwender zugreifen, präsentiert ADFS ihnen eine Login-Maske und verifiziert Ihre Login-Daten gegen ihr Active Directory.


SSO-Anwendungszugriff-adfs

Das vom ADFS-Server ausgestellte Token kann nun alle notwendigen Informationen enthalten, die Sie für die Arbeit mit der Web-Applikation benötigen. In jedem Fall wird eine eindeutige ID benötigt. Häufig ist dies ihre E-Mail Adresse oder der Windows-Anmeldename. Weiterhin können aber auch Rolleninformationen enthalten sein, die Ihre Berechtigungen innerhalb der Anwendung steuern.

Die enthaltenen Daten werden als "Ansprüche" (Claims) bezeichnet. Man spricht daher auch vom "Claims-based-Access".

Jede Anwendung wird getrennt innerhalb des ADFS konfiguriert. Man spricht dann von Vertrauensstellungen oder "Trusted Parties".

Durch spezielle Zertifikate und Verschlüsselungsverfahren wird sichergestellt, dass die Cloud-Applikationen auch wirklich nur Ihrem internen Token-Provider vertraut und kein anderer Service fälschlich "Tickets" ausstellt und somit fremden Zugriff auf die Anwendung ermöglicht.

Wie eine solche ADFS-Architektur für ihr Unternehmen ausgelegt werden muss, hängt von vielen Faktoren ab, die sorgfältig betrachtet werden müssen. Unsere AD Consultants unterstützen Sie gern bei der Analyse und Umsetzung der Anforderungen.


Beratung und Umsetzung

Wenn Sie Single Sign-On Technologien einführen möchten, schauen unsere Consultants gern mit Ihnen gemeinsam, welche Möglichkeiten für Sie am besten geeignet sind.
Wir freuen uns von Ihnen zu hören:

Kontakt

News

  • Active Directory Consulting Dortmund

    AD Consulting, Migration und Identity Management von Dortmund bis Bielefeld

    mehr...
  • Active Directory Inter-Forest-Migration mit ADMT

    Zusammenführung von User Accounts in Düsseldorf

    mehr...
  • AD Konsolidierung im Rhein-Main-Gebiet

    AD Migrationen mit Dell Migration Manager for Active Directory

    mehr...
  • DynamicGroup 2015 Release

    FirstWare-DynamicGroup 2015 veröffentlicht

    mehr...
  • AD Spezialisten in Frankfurt unterwegs

    Laufende AD Consultants in Frankfurt

    mehr...
  • Active Directory Consulting in München

    Identity Management mit AD Schwerpunkt

    mehr...
  • AD Konsolidierung und DFS Einführung in Hamburg

    Active Directory Consulting Projekt im Bankenumfeld.

    mehr...
  • Identity Management für den Mittelstand (KMU)

    Active Directory als zentrales Identity Management für Mittelstand (KMU) einsetzen.

    mehr...
  • Exchange Adressbuchverwaltung per Weboberfläche

    Delegation der Exchange Adressbuchverwaltung per Weboberfläche

    mehr...
  • Cloud Integration am Beispiel von Office 365

    Integration von Cloud Angeboten in das Unternehmensnetzwerk am Beispiel von Office 365.

    mehr...

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum