• IAM in Teams
  • IAM Hybrid
  • Referenzen
  • Unternehmen
FirstAttribute AGFirstAttribute AG
FirstAttribute AGFirstAttribute AG
  • IAM in Teams
    • Teams-Ressourcen im Griff
    • Zentralisiertes M365 Identitätsmanagement
  • IAM Hybrid
    • Single Point of Access
    • Split the Admin Load
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Wir über uns
    • Karriere
    • News
    • Kontakt
  • Deutsch

Single Sign-on

Mrz 16, 2021 (Letztes Update) | Konzepte |

 

Vor allem bei Cloud-Lösungen stellt sich die Frage: „Wie melden sich meine Anwender an der neuen Applikation an?“ – Idealerweise lautet die Antwort: „Am besten gar nicht, denn dies geschieht von selbst via Single Sign-On„.

Einfache Anmeldung mit Single Sign-on

Sie können diese Herausforderung mit Hilfe der Kontenföderation elegant lösen. Das Ziel sollte sein: ein echtes „Single-Sign-On“ (SSO) für Ihre Anwender zu ermöglichen. 

Sie haben verschiedene Möglichkeiten, SSO zu implementieren. Wir stellen Ihnen einige Varianten und deren Vorzüge vor. 

Varianten der Einmalanmeldung

Übersetzt man Single Sign-on als „Einmalanmeldung„, bedeutet dies, dass der Anwender nur beim Start des Computers seinen Nutzernamen und Passwort eingibt. Danach hat er Zugriff auf alle Anwendungen.

Sie haben aber verschiedene Möglichkeiten, eine Einmalanmeldung für den Anwender zu implementieren:

1. Jede Anwendung hat das gleiche Login
Schnell eingerichtet, aber Ihre Benutzer benötigen verschiedene Kennwörter.

2. Synchronisieren Sie Konten und verwenden Sie überall die gleichen Daten
Praktisch erfolgt dabei aber in jeder Anwendung eine Anmeldung (Same Sign-on).

3. Föderieren Sie alle Konten / Login-Anfragen mit einem Identitätsspeicher
Dies bietet die meisten Vorteile und die Datenhoheit bleibt bei Ihnen (echtes Single Sign-on).

1. Individuelle Konten

Die einfachste Variante: Jeder Anwender bekommt ein individuelles Kennwort pro Applikation.

Dies ist auf den ersten Blick mit dem geringsten Aufwand verbunden. Genauer betrachtet, führt es aber schnell zu Frustration bei Ihren Benutzern und danach beim Helpdesk: „Wie war denn nochmal mein Kennwort in Anwendung XY…“. „Warum habe ich in Anwendung „Z“ noch kein Konto, obwohl ich schon 2 Wochen im Unternehmen bin?“

2. Kontensynchronisation „Same Sign-on“

Eine andere Variante ist ein sogenanntes „Same Sign-on“. Dabei richten Sie eine Synchronisation Ihrer Identitäten im lokalen Identitätsspeicher (in den meisten Fällen Active Directory) mit den Anwendungskonten ein. Technisch gibt es hierzu unterschiedliche Möglichkeiten. Oft bringt die Webanwendung auch schon eine Lösung mit.

Das Kennwort der Anwender kann dann auch in vielen Fällen mitsynchronisiert werden. Man spricht dann auch von „Same-Sign-on“, da Benutzername und Kennwort identisch sind.
Neue Benutzer werden automatisch, zum Beispiel einmal pro Nacht, angelegt. Kontenänderungen werden im gleichen Zug übernommen.

Aber auch diese Variante hat ihre Schwächen:

  • Sie geben sensible Informationen (z.B. Kennworte verschlüsselt oder unverschlüsselt) ihrer Anwender an Fremdfirmen.
  • Sie müssen Ihre Kennwortrichtlinie mit der des Service-Providers abgleichen.
  • Auch wenn Sie häufig synchronisieren, eine Änderung kann trotzdem noch eine Stunde oder einen Tag brauchen. Lange genug, um einen Anwender durch unterschiedliche Kennworte zu verwirren.
  • Im Falle einer Kontensperrung wegen Datenmissbrauchs kann eine Stunde lang genug sein, um vertrauliche Daten aus einer Fremdanwendung zu missbrauchen.

3. Kontenföderation „Single Sign-on“

Wenn alle Login-Anfragen gegen ein und denselben Identitätsspeicher gehen, handelt es sich um ein echtes „Single-Sign-On“. Dieser wird mit der Kontenföderation erreicht.

Vorteile des „echten“ Single Sign-ons::

  • Alle sensiblen Kontendaten befinden sich ausschließlich unter ihrer Hoheit.
  • Sie entscheiden, wie die Identitäten nach außen repräsentiert werden.
  • Ihre Anmeldeinfrastruktur wird nach außen hin abstrahiert.
  • Es werden nur Internet-geeignete (http/https) Protokolle verwendet.
  • Eine Kontensperre im AD sperrt augenblicklich alle Logins in allen angebundenen Webanwendungen.
  • Eine Kennwortänderung ist sofort wirksam und unterliegt auch nur den AD Richtlinien

Benutzeranmeldung über eine vertraute Stelle

Bei dieser SSO-Variante kommt der Ansatz der Kontenföderation zum Einsatz.
Die Web-Anwendung kümmert sich nicht mehr selbst um die Benutzeranmeldung, sondern überlässt dies einer zentralen Stelle, der sie vertraut.

Um die Anmeldungs-Token zwischen Aussteller und vertrauender Anwendung zu übertragen, wurde SAML (Security Assertion Markup Language) etabliert. Dieser Quasi-Standard wird heute von den meisten aktuellen Anbietern unterstützt.

Active Directory Federation Services (ADFS)

Wenn Sie bereits ein Active Directory (AD) betreiben, bietet Ihnen Microsoft hierzu ein kostenfreies Produkt an: Active Directory Federation Services (ADFS). Voraussetzung ist eine bestehende Windows Server Lizenz.

Installiert auf einem oder mehreren Servern Ihrer internen IT Infrastruktur, stellt ADFS die zentrale Anlaufstelle für die Autorisierung Ihrer Webanwendungen dar. Es ist hierbei gleichgültig, ob die Applikation intern oder extern gehostet wird.

Was passiert nun, wenn Sie auf eine solche Anwendung zugreifen?

Zugriff mit ADFS

Wenn Sie noch nicht an der Anwendung angemeldet sind, werden Sie automatisch an den ADFS-Dienst weitergeleitet. Sind Sie bereits an Ihrem Arbeitsplatz angemeldet, generiert ADFS direkt einen „Passierschein“, ein sogenanntes Token. Dies geht umgehend zurück an die aufrufende Web-Applikation. Möchten Sie z.B. als externer Anwender zugreifen, präsentiert ADFS Ihnen eine Login-Maske und verifiziert Ihre Login-Daten gegen Ihr Active Directory.

Das vom ADFS-Server ausgestellte Token kann nun alle notwendigen Informationen enthalten, die für die Arbeit mit der Web-Applikation benötigt werden. In jedem Fall wird eine eindeutige ID benötigt. Häufig ist dies ihre E-Mail-Adresse oder der Windows-Anmeldename. Weiterhin können aber auch Rolleninformationen enthalten sein, die Ihre Berechtigungen innerhalb der Anwendung steuern.

ADFS mit der Option Vertrauensstellung

Die enthaltenen Daten werden als „Ansprüche“ (Claims) bezeichnet. Man spricht daher auch vom „Claims-based-Access“.

Jede Anwendung wird getrennt innerhalb des ADFS konfiguriert. Man spricht dann von Vertrauensstellungen oder „Trusted Parties“.

Durch spezielle Zertifikate und Verschlüsselungsverfahren wird sichergestellt: 

  • dass die Cloud-Applikationen auch wirklich nur Ihrem internen Token-Provider vertraut
  • kein anderer Service fälschlicherweise „Tickets“ ausstellt und
  • somit Fremden Zugriff auf die Anwendung ermöglicht.

Wie eine solche ADFS-Architektur für Ihr Unternehmen aussieht, hängt von vielen Faktoren ab, die sorgfältig betrachtet werden müssen. Unsere Spezialisten unterstützen Sie gern bei der Analyse und Umsetzung der Anforderungen.

Artikel erstellt am: 12.02.2018
Teilen

Folgendes könnte Sie ebenfalls interessieren

Workflow-Management mit IDM-Automation

Jul 16, 2019

Die neue Automatisierungskomponente IDM-Automation 2019 vervollständigt die anwenderfreundliche Benutzer- und Berechtigungsverwaltung im[...]

Identity Management für den Mittelstand (KMU)

Mai 24, 2016

Das Active Directory wird bei den meisten Unternehmen zur Benutzerverwaltung[...]

20 Jahre FirstAttribute – Ein Rückblick

Apr 19, 2021

Die FirstAttribute wurde 2001 durch den Firmengründer Andreas Martin ins[...]

Wissen

Neueste Artikel

  • Release von DynamicGroup 5 – Große AD Gruppen schnell bearbeiten
  • Microsoft Entra ist das neue Dach von Azure Active Directory
  • Komponenten der IT Compliance verstehen
  • my-IAM PeopleConnect Release – Bessere Kontaktsuche in Teams
  • Bi-direktionale Organisation von Microsoft Teams durch IT und Mitarbeiter

Kategorien

  • DynamicGroup
  • IDM-Portal
  • Konzepte
  • my-IAM
  • News
  • Projekte

LINKS

Home Office Service

FirstAttribute – Software

FirstAttribute – Tech Blog

Jobs bei FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • Impressum
  • Datenschutzerklärung

News

  • Release von DynamicGroup 5 – Große AD Gruppen schnell bearbeiten
  • Microsoft Entra ist das neue Dach von Azure Active Directory
  • Komponenten der IT Compliance verstehen
  • my-IAM PeopleConnect Release – Bessere Kontaktsuche in Teams
  • Bi-direktionale Organisation von Microsoft Teams durch IT und Mitarbeiter

© 2023 · FirstAttribute AG.

  • Impressum
  • Datenschutzerklärung
Prev Next