Was ist SSO (Single-Sign-On)?


AWS-Konto erstellen
Was ist SSO? Warum ist SSO wichtig? Wie funktioniert SSO? Welche Arten von SSO gibt es? Ist SSO sicher? Wie schneidet SSO im Vergleich zu anderen Zugriffsverwaltungs-Lösungen ab? Wie kann AWS mit SSO helfen?

Was ist SSO?

Single Sign-On (SSO) ist eine Authentifizierungslösung, die es Benutzern ermöglicht, sich bei mehreren Anwendungen und Websites mit einmaliger Benutzerauthentifizierung anzumelden. Angesichts dessen, dass Benutzer heutzutage Anwendungen direkt von ihrem Browser aus aufrufen, bevorzugen Organisationen Zugriffsverwaltungs-Strategien, die sowohl die Sicherheit als auch das Benutzererlebnis verbessern. SSO bedient beide Aspekte, indem Nutzer alle passwortgeschützten Ressourcen ohne wiederholtes Anmelden aufrufen können, wenn ihre Identität einmal bestätigt ist.

Warum ist SSO wichtig?

Die Verwendung von SSO zur Optimierung von Benutzeranmeldungen ist für Benutzer und Organisationen in mehrfacher Hinsicht von Vorteil.

Stärkung der Passwortsicherheit

Wenn Benutzer kein SSO verwenden, müssen sie sich mehrere Passwörter für verschiedene Websites merken. Dies kann zu nicht empfohlenen Sicherheitspraktiken führen, wie beispielsweise der Verwendung einfacher oder sich wiederholender Passwörter für verschiedene Konten. Außerdem kann es vorkommen, dass Benutzer ihre Anmeldedaten vergessen haben oder falsch eingeben, wenn sie sich bei einem Service anmelden. SSO verhindert Passwortmüdigkeit und ermutigt Benutzer, ein sicheres Passwort zu erstellen, das für mehrere Websites verwendet werden kann.

Verbesserung der Produktivität

Mitarbeiter verwenden oft mehr als eine Unternehmensanwendung, die separate Authentifizierung erfordert. Die manuelle Eingabe des Benutzernamens und des Passworts für jede Anwendung ist zeitaufwändig und unproduktiv. SSO optimiert den Prozess der Benutzervalidierung für Unternehmensanwendungen und erleichtert den Zugriff auf geschützte Ressourcen.

Kosten senken

Bei dem Bemühen, sich zahlreiche Passwörter zu merken, kann es vorkommen, dass Unternehmens-Benutzer ihre Anmeldeinformationen vergessen. Dies führt zu einer Vielzahl von Anforderungen, um ihre Passwörter abzurufen oder zurückzusetzen, was den Workload für die internen IT-Teams erhöht. Die Einführung von SSO verringert die Häufigkeit vergessener Passwörter und minimiert somit die Support-Ressourcen für die Bearbeitung von Anforderungen zur Rücksetzung von Passwörtern.

Verbesserung der Sicherheitslage

Indem die Anzahl der Passwörter pro Benutzer minimiert wird, erleichtert SSO die Überprüfung des Benutzerzugriffs und bietet eine zuverlässige Zugriffskontrolle für alle Arten von Daten. Dadurch wird das Risiko von Sicherheitsvorfällen, die auf Passwörter abzielen, verringert und gleichzeitig die Einhaltung von Datensicherheitsvorschriften unterstützt.

Besseres Kundenerlebnis bieten

Anbieter von Cloud-Anwendungen verwenden SSO, um den Endbenutzern ein nahtloses Anmeldeerlebnis und eine reibungslose Verwaltung der Anmeldedaten zu ermöglichen. Die Benutzer verwalten weniger Passwörter und können trotzdem sicher auf die Informationen und Anwendungen zugreifen, die sie für ihre tägliche Arbeit benötigen.

Wie funktioniert SSO?

SSO stellt das Vertrauen zwischen der Anwendung oder dem Service und einem externen Serviceanbieter, auch Identitätsanbieter (IdP) genannt, her. Dies geschieht durch eine Reihe von Authentifizierungs-, Validierungs- und Kommunikationsschritten, die zwischen der Anwendung und einem zentralisierten SSO-Service ausgeführt werden. Die wichtigsten Komponenten von SSO-Lösungen sind im Folgenden aufgeführt.

SSO-Service

Ein SSO-Service ist ein zentraler Service, auf den sich Anwendungen verlassen, wenn sich ein Benutzer anmeldet. Wenn ein nicht authentifizierter Benutzer Zugriff auf eine Anwendung anfordert, leitet die Anwendung ihn an den SSO-Service weiter. Der Service authentifiziert den Benutzer dann und leitet ihn zurück zur ursprünglichen Anwendung. Der Service läuft in der Regel auf einem speziellen SSO-Richtlinien-Server.

SSO-Token

Ein SSO-Token ist eine digitale Datei, die benutzeridentifizierende Informationen enthält, wie beispielsweise einen Benutzernamen oder eine E-Mail-Adresse. Wenn ein Benutzer den Zugriff auf eine Anwendung anfordert, tauscht die Anwendung ein SSO-Token mit dem SSO-Service aus, um den Benutzer zu authentifizieren. 

 

SSO-Prozess

Der SSO-Prozess läuft wie folgt ab:

  1. Wenn sich ein Benutzer bei einer Anwendung anmeldet, erzeugt die Anwendung ein SSO-Token und sendet eine Authentifizierungsanforderung an den SSO-Service. 
  2. Der Service überprüft, ob der Benutzer zuvor im System authentifiziert wurde. Falls ja, sendet er eine Antwort mit der Bestätigung der Authentifizierung an die Anwendung, um dem Benutzer Zugang zu gewähren. 
  3. Wenn der Benutzer nicht über einen validierten Berechtigungsnachweis verfügt, leitet der SSO-Service den Benutzer an ein zentrales Anmeldesystem weiter und fordert ihn auf, seinen Benutzernamen und sein Passwort einzugeben.
  4. Nach der Übermittlung validiert der Service die Anmeldeinformationen des Benutzers und sendet die positive Antwort an die Anwendung. 
  5. Andernfalls erhält der Benutzer eine Fehlermeldung und muss seine Anmeldeinformationen erneut eingeben. Mehrere fehlgeschlagene Anmeldeversuche können dazu führen, dass der Service den Benutzer für eine bestimmte Zeit für weitere Versuche sperrt. 

Welche Arten von SSO gibt es?

Es gibt unterschiedliche Standards und Protokolle, die SSO-Lösungen für die Validierung und Authentifizierung von Benutzeranmeldeinformationen verwenden.

SAML

SAML (Security Assertion Markup Language) ist ein Protokoll oder eine Zusammenstellung von Regeln, die Anwendungen zum Austausch von Authentifizierungsinformationen mit dem SSO-Service verwenden. SAML verwendet XML, eine browserfreundliche Beschreibungssprache, um Benutzer-Identifikationsdaten auszutauschen. SAML-basierte SSO-Services bieten mehr Sicherheit und Flexibilität, da die Anwendungen keine Benutzeranmeldeinformationen auf ihrem System speichern müssen.

OAuth

OAuth (Open Authorization) ist ein offener Standard, der es Anwendungen ermöglicht, auf sichere Weise Zugriff auf Benutzerinformationen von anderen Websites zu erhalten, ohne ihnen das Passwort zu geben. Statt Benutzerpasswörter abzufragen, verwenden Anwendungen OAuth, um die Benutzerberechtigung für den Zugriff auf passwortgeschützte Daten zu erhalten. OAuth stellt das Vertrauen zwischen Anwendungen über eine API her, die es der Anwendung ermöglicht, Authentifizierungsanforderungen in einem etablierten Framework zu senden und zu beantworten.

OIDC

OpenID ist eine Methode zur Verwendung eines einzigen Satzes von Benutzeranmeldeinformationen für den Zugriff auf mehrere Websites. Sie ermöglicht es dem Service-Anbieter, die Rolle der Authentifizierung der Anmeldeinformationen der Benutzer zu übernehmen. Anstatt ein Authentifizierungs-Token an einen Drittanbieter von Identitäts-Services zu übermitteln, verwenden Webanwendungen OIDC, um zusätzliche Informationen anzufordern und die Authentizität des Benutzers zu überprüfen.

Kerberos

Kerberos ist ein ticketbasiertes Authentifizierungssystem, mit dem zwei oder mehr Parteien ihre Identität im Netzwerk gegenseitig verifizieren können. Es verwendet Sicherheitskryptographie, um unbefugten Zugriff auf Identifikationsinformationen zu verhindern, die zwischen dem Server, den Clients und der zentralen Schlüsselverteilung übertragen werden.

Ist SSO sicher?

Ja, SSO ist eine fortschrittliche und erstrebenswerte Lösung für die Verwaltung des Identitätszugriffs. Wenn eine Single Sign-On-Lösung implementiert ist, hilft sie Organisationen bei der Verwaltung des Benutzerzugriffs auf Unternehmensanwendungen und -ressourcen. Eine SSO-Lösung erleichtert den Anwendungsbenutzern das Festlegen und Behalten sicherer Passwörter. Darüber hinaus kann das IT-Team das SSO-Tool zur Überwachung des Benutzerverhaltens, zur Verbesserung der Systemstabilität und zur Verringerung von Sicherheitsrisiken einsetzen. 

Wie schneidet SSO im Vergleich zu anderen Zugriffsverwaltungs-Lösungen ab?

Es gibt verschiedene Lösungen für die Identitäts- und Zugriffsverwaltung, aus denen Sie je nach Ihren Anforderungen wählen können.

Verbundsidentitätsverwaltung

Verbundidentitätsverwaltung (FIM) ist ein digitales Framework, das es mehreren Anwendungen verschiedener Anbieter erlaubt, Benutzeridentitäten gemeinsam zu nutzen, zu verwalten und zu authentifizieren. Mit FIM können sich Ihre Mitarbeiter zum Beispiel bei einer Anwendung anmelden und dann auf mehrere andere Unternehmensanwendungen zugreifen, ohne sich erneut anmelden zu müssen. FIM authentifiziert die vom Serviceanbieter übermittelten Anmeldeinformationen mit einem vertrauenswürdigen Identitätsanbieter. 

SSO versus Verbundsidentitätsverwaltung

Verbundsidentitätsverwaltung ist eine umfassende Lösung zur Authentifizierung und Verwaltung von Identitäten für domänenübergreifende Anwendungen. Single Sign-On (SSO) ist hingegen eine spezielle Funktion innerhalb des FIM-Modells. Während FIM es den Benutzern ermöglicht, mit einer einzigen Anmeldung auf Services von verschiedenen Anbietern zuzugreifen, ist SSO auf Services oder Anwendungen beschränkt, die von einem einzigen Anbieter gehostet werden.

Same Sign-On

Same Sign-On, ebenfalls SSO genannt, ist eine digitale Lösung, die Benutzeranmeldeinformationen auf den Geräten, auf die der Benutzer zugreift, speichert und synchronisiert. Es ist vergleichbar mit Passwort-Tresoren oder Passwort-Managern, die es Nutzern ermöglichen, sich bei verschiedenen Anwendungen auf unterschiedlichen Geräten anzumelden, ohne sich die Anmeldeinformationen merken zu müssen. 

Single Sign-On versus Same Sign-On

Systeme mit Single Sign-On erfordern eine einmalige Authentifizierung durch den Benutzer. Einmal angemeldet, kann der Benutzer auf andere Webanwendungen und Services zugreifen, ohne sich erneut authentifizieren zu müssen. Bei Same Sign-On muss der Benutzer den Anmeldevorgang jedes mal mit denselben Authentifizierungsdaten wiederholen.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung ist ein Framework zur Benutzerauthentifizierung, das zwei oder mehr Technologien zur Überprüfung der Identität des Benutzers verwendet. So geben die Nutzer beispielsweise ihre E-Mail-Adresse und ihr Passwort auf einer Webseite ein und geben ein Einmalpasswort (OTP) ein, das an ihr Mobiltelefon gesendet wird, um einen sicheren Zugang zu ermöglichen. 

SSO versus Multi-Faktor-Authentifizierung

SSO ermöglicht es Organisationen, die Sicherheit von Passwörtern zu vereinfachen und zu erhöhen, indem der Zugriff auf alle verbundenen Services mit einer einzigen Anmeldung ermöglicht wird. Die Multi-Faktor-Authentifizierung bietet zusätzliche Sicherheitsebenen, um die Möglichkeit eines unbefugten Zugriffs durch gestohlene Anmeldeinformationen zu reduzieren. Zur Erhöhung der Sicherheit von Webanwendungen können sowohl SSO als auch Multifaktor-Authentifizierung integriert werden.

Wie kann AWS mit SSO helfen?

AWS IAM Identity Center ist eine Cloud-Authentifizierungs-Lösung, die es Unternehmen ermöglicht, Identitäten ihrer Mitarbeiter sicher zu erstellen oder zu verbinden und deren Zugriff zentral über AWS-Konten und -Anwendungen zu verwalten. Sie können Benutzeridentitäten erstellen oder sie von externen Identitätsanbietern wie Okta Universal Directory oder Azure importieren. Einige Vorteile von AWS IAM Identity Center beinhalten:

  • Ein zentrales Dashboard zur Verwaltung von Identitäten für Ihr AWS-Konto oder Ihre Geschäftsanwendungen.
  • Unterstützung der Multi-Faktor-Authentifizierung, um eine hochsichere Authentifizierung für Benutzer bereitzustellen. 
  • Integrationsunterstützung mit anderen AWS-Anwendungen für konfigurationsfreie Authentifizierung und Autorisierung.

Machen Sie Ihre ersten Schritte mit SSO auf AWS, indem Sie noch heute ein kostenloses AWS-Konto erstellen.

Nächste Schritte mit AWS SSO

Zusätzliche produktbezogene Ressourcen ansehen
Weitere Informationen zu Sicherheitsdiensten 
Registrieren Sie sich für ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose Kontingent von AWS. 

Registrieren 
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit der Entwicklung in der AWS-Managementkonsole.

Anmeldung