Sämtliche Programme, die ein Anwender braucht, mit nur einer Authentifizierung starten zu können – was gäbe es Einfacheres? Die Lösung: Ein Single Sign-on (SSO), der nicht nur Zeit spart, sondern auch für mehr Sicherheit sorgt.
Denn wer sich nur ein Kennwort anstelle unzählig vieler merken muss, setzt eher auf ein starkes Passwort, das schwer zu knacken ist. Ein Single Sign-on schafft also viele Vorteile, unter anderem:
Neben einer deutlichen Vereinfachung der Abläufe im eigenen Unternehmen, macht der Single Sign-on auch Anmeldeprozesse im Kundenservice einfach und komfortabel. Denn Autorisierungsdiente können auch Systemzugänge von Kunden freigeben.
Die Anmeldung mit Single Sign-on wird durch einen offenen API-Standard für die sichere Autorisierung von Desktop-, Web- und Mobile-Applikationen möglich. Sie erfolgt nach dem OAuth 2.0-Protokoll, das den Ablauf von Anmeldeprozessen verbindlich regelt. Dabei ist die wichtigste Errungenschaft dieses Vorgehens die Trennung zwischen Autorisierung und der zugrunde liegenden Authentifizierung. So erhält der Nutzer die Erlaubnis, eine Anwendung zu nutzen, ohne dass diese von ihm einen Identitäts- und Berechtigungsnachweis verlangt. Das zweite unersetzliche Element für den Single Sign-on ist die OpenID-Connect-Authentifizierungsschicht. Sie erlaubt es unterschiedlichen Anwendungen über einen sogenannten Token, die Identität des Benutzers abzufragen und Informationen zu seinem Profil mit dem angeschlossenen Client (der laufenden Applikation) zur gegenseitigen Verwendung auszutauschen. Sie verfügt darüber hinaus über ein Session Management sowie Funktionen für die Verschlüsselung von Identitätsdaten und das Auffinden von OpenID-Providern.
Zu den Organisationen, die OpenID für die Single Sign-on Anmeldeprozesse einsetzen, gehören unter anderem die Technologieriesen Amazon, Google, IBM, Microsoft und SAP. Hierzulande nutzt auch die Deutsche Telekom das Verfahren. Neben der Reputation, über die diese großen Unternehmen weltweit verfügen, stellt auch das Vorgehen selbst eine wichtige Vertrauensbasis für seine Nutzung her. Denn im Verlauf der Autorisierung teilt kein Dienst seine Passwörter mit einem anderen. OpenID übermittelt über einen Token einzig die Feststellung, dass sich der Anwender für die gewünschte Anmeldung authentifizieren konnte. Für die Autorisierung werden keine Daten über den Benutzer übertragen – ein sicheres und komfortables Vorgehen.
Daneben gibt es einen weiteren Standard: SAML (Security Assertion Markup Language). Dieser ist älter als die beiden Systeme OpenID und OAuth 2. Beim SAML erfolgt die Authentifizierung und Autorisierung über einen verschlüsselten Session-Cookie mit Ablaufdatum.
Im Tagesgeschäft bietet es sich an, bei der Autorisierung mittels Single Sign-on solche Plattformen zu nutzen, die ohnehin mit ihren Diensten im Unternehmen vertreten sind. Beispielsweise können die Nutzer von Microsoft Betriebssystemen oder Office-Programmen deren Zugangsdaten für den Single-Sign on verwenden. Besonders häufig genutzte Anbieter sind in Deutschland darüber hinaus auch Google und Amazon, die sich unter den Such- und Bezahldiensten fest etabliert haben. Die enorme Reichweite der Unternehmen im deutschen IT-Markt macht es dabei wahrscheinlich, dass auch User, die keine Mitarbeiter des eigenen Unternehmens sind, über einen Account in diesen Plattformen verfügen. Beispielsweise profitieren Servicedienstleister in diesem Zusammenhang davon, dass sie ihren Kunden über deren Amazon-, Google- oder Microsoft-Konten Zugriff auf ihre jeweiligen Kundenserviceportale einrichten können. Die Verwaltung eigener User-Accounts entfällt damit. Fazit: Der Single Sign-on ist sowohl in der eigenen Anwendungslandschaft als auch im Kundenservice eine Lösung mit vielen Gewinnern.
Einen Kommentar schreiben