Der Königsweg fürs Login: Cloud Single Sign-on

Das Anmelden im Internet – egal wo – hat sich zum Schreckgespenst entwickelt. Wir raufen uns alle die Haare, wenn wir aufgefordert werden, schon wieder einen Benutzernamen und ein Passwort zu kreieren. Untersuchungen haben ergeben, dass 7 von 10 Nutzern Passwörtern für den Schutz von Online-Konten eigentlich nicht trauen. Und trotzdem verwenden 73% das gleiche Passwort für verschiedene Benutzerkonten.

Dabei sind Passwörter nicht einmal eine einfache Option. Gemäss eines DashLane Reports erschöpft sich das Phänomen nicht nur in Passwortmüdigkeit. Im Durchschnitt werden 2015 pro Person 11 Passwörter verloren gehen, und man rechnet, dass sich dieser Wert bis 2020 verdoppelt. Passwortmüdigkeit, verlorene Passwörter und der Einsatz von Online-Wiederherstellungsmechanismen – oder gar teure Helpdesk-Anrufe – haben alle zu einem unglaublich chaotischen, potenziell unsicheren Cloud Sign-in-System (Cloud Anmeldesystem) geführt. Diese verworrene Passwortlandschaft ist untragbar und muss verbessert werden.

Gleichzeitg werden Cloud-Technologien eingeführt wie nie zuvor. Laut dem Cloud-Architekturspezialisten Right Scale verfolgen 82% der Unternehmen zumindest eine hybride Cloud-Strategie, und 55% bewegen sich in Richtung Cloud-basierender Applikationen, indem sie Cloud-Architekturen für bestehende Applikationen erstellen.

Retter in der Not: Cloud Single Sign-on

Es ist noch nicht lange her, dass Unternehmen typischerweise auf ein Verzeichnissystem wie LDAP (oder auf der Basis von Benutzername/Passwort pro Anwendung) setzen würden, um den Zugang auf Systemressourcen zu regeln. Inzwischen haben Internet-basierende Services stark zugenommen und Unternehmen ihre eigenen Cloud-Computing-Umgebungen geschaffen. Entsprechend haben die herkömmlichen Authentisierungsmassnahmen die Komplexität erhöht, was wiederum zur Passwort- und Account-Management-Problematik führt. All dies hat den Ruf nach einem nahtloseren Credential-Management-System verstärkt. Die Lösung heisst Cloud Single Sign-on oder Cloud SSO.

Cloud SSO ist eine Authentisierungsmethode, die dem einzelnen Nutzer erlaubt, mittels einmaligem Login auf mehrere Anwendungen und Services – auch auf jene in der Cloud – zuzugreifen. SSO erlaubt das Nutzer-Login zu föderieren bzw. zu delegieren, damit man auf Web-Applikationen und Services zugreifen kann, ohne sich überall separat einloggen zu müssen – vergleichbar mit der Art, wie man nach dem eigenen Erstlogin von Google direkt auf die gesamte Web Application Suite eingeloggt wird.

Viele gängige Anwendungen wie jene von Salesforce, Adobe oder Microsoft sind auf Cloud SSO auf Unternehmensebene ausgerichtet ausgerichtet. Cloud SSO arbeitet unter anderem mit Verzeichnissen wie Active Directory und LDAP sowie mit Standardprotokollen wie SAML 2.0, OpenID Connect und WS Federation oder sogar mit proprietären, für einen spezifisch Einsatz gebauten Systemen. Microsoft hat auch massiv in die Erstellung von Microsoft Azure Active Directory investiert, einem voll entwickelten, Cloud-SSO-fähigen Verzeichnis. Jedoch bewähren sich Standards eher, wenn es um Systemerweiterbarkeit und Interoperabilität geht, damit Organisationen Anwendungen und Services nach Bedarf hinzufügen können.

So setzt sich Cloud SSO zusammen

Das Cloud SSO umfasst die folgenden Basiskomponenten:

  • Der Account: Dieses muss provisioniert werden und lässt sich entweder mittels Identity Provider (IDP), oder über Synchronisation/Delegation mit einem Verzeichnis wie LDAP föderieren. Das Benutzerkonto enthält Daten wie Nutzerattribute, zum Beispiel die E-Mailadressen oder auch Zugriffsrechte bzw. –rollen. Erwähnenswert ist auch, dass einige IDP individuelle Attribute erlauben, die Zugriffsrechte innerhalb eines SSO-Systems bestimmen.
  • Credentialing und Authentisierung: Der SSO Account ist mit Anmeldeinformationen verbunden, zum Beispiel mit dem Benutzernamen und dem Passwort und vielleicht mit einem zweiten Faktor wie einen SMS PIN Code oder einen biometrischen Code. Diese Anmeldeinformationen authentisieren den Nutzer für die Single Sing-on Session, wenn dieser zum ersten Mal Zugang zu einer Anwendung anfordert.
  • Identity/Login Token: Das ist ein Token, das auf Sessionsbasis erstellt wird. Es ist jener Token, der von einer Web-Applikation oder einem Web-Service angefordert wird, um den Zugang freizugeben. Es enthält die Authentisierungsinformation, welche die Identitäten der Nutzer beweist, damit diese sich während der Session nicht erneut einloggen müssen.

Single Sing-on und die Welt der Mobiltechnologie

Der Einsatz von Cloud SSO bei Mobilgeräten kann Unternehmen echte Kontrolle über das BYOD Sicherheitsproblem geben. Die persönlichen Geräte der Mitarbeitenden haben der Sicherheitsproblematik eine neue Dimension verliehen. Ohne bewusste Kontrolle kann das dazu führen, dass vieler Sicherheits- und Privacy-Standards verletzt werden. Cloud SSO bietet die geeignetste Methode, um die persönlichen Geräte zurück in den kontrollierten Bereich der unternehmensweiten Sicherheitspolicies zu bringen. Der Zugriff auf Web-Applikationen und -Services von einem beliebigen Gerät kann vom Cloud SSO geregelt werden. Ferner können viele Web-Applikationen, die SSO unterstützen, auf Mobilgeräte heruntergeladen werden, da Mobile-Applikationen und viele SSO-Produkte Mobile-App-Zugang unter Einsatz von SSO-Prinzipien bewältigen können.

Cloud SSO: Vorteile und Einwände

  • Vorteil Benutzererlebnis: Mit SSO wird ein vereinfachtes, nahtloses Benutzererlebnis erreicht. Es strafft das Sign-in und erlaubt schnellen Zugang dank automatisiertem Login über Anwendungen hinweg.
  • Vorteil zentrale Kontrolle): Das vereinfachte Credential Management bildet einen der Grundpfeiler der SSO-Methode. Da Passwörter automatisch geändert und gespeichert werden, sind diese Vorgänge einfacher handhabbar. Dies ermöglicht Administratoren, den Zugang von Mitarbeitenden auf alle Cloud-Applikationen und Unternehmensanwendungen zentral zu steuern.
  • Vorteil Widerruf: Mit einem einzigen Klick kann ein Administrator einem Nutzer den Zugang zu allen Anwendungen entziehen und erloschene Konten verwalten. Das erweist sich als ein Werkzeug für das moderne Personalmanagement.
  • Vorteil Produktivität: Zeit geht verloren, bis ein Mitarbeiter überhaupt anfangen kann zu arbeiten bzw. bis ein Passwort zurückgesetzt wurde. Dieser Zeitverlust kostet beispielsweise US-Unternehmen rund $420 pro Mitarbeiter und Jahr, was sich auf fast $210,000 an verlorener Produktivität pro Unternehmen addiert. SSO entschärft dieses Problem signifikant.

Aber könnte der SSO-Einsatz nicht auch Probleme bringen?

  • Die Frage der Sicherheit: Man mag versucht sein anzunehmen, ein «Single Login» potenziell auch als singuläre (Sicherheits-)Schwachstelle zu betrachten. Doch dies lässt sich beheben, zum Beispiel auch mit einer Zwei-Faktor- bzw. Multifaktor-Authentisierung, die sich bei den meisten SSO-Lösungen realisieren lässt.
  • Die Frage der Verfügbarkeit: Es besteht das Bedürfnis, die Lösung zu erweitern, um zusätzliche Anwendungen und Login-Punkte miteinzubeziehen. Erreicht wird dies mit der Wahl eines guten SSO-Produkts und durch den Einsatz von Standardprotokollen, was das Hinzufügen von neuen Anwendungen vereinfacht.
  • Das inter-föderierte Modell: Ein inter-föderiertes System fasst alle unterschiedlichen Anwendungen und Sites unter dem SSO-Schirm zusammen. Geschäfts- und Rechtsmodelle für inter-föderierte Anwendungen und Sites können durchaus herausfordernd sein. Auch die Etablierung einer verbindlichen Zentralstelle verantwortlich für die Schaffung und das Management von Identitäten mag mit Anstrengungen verbunden sein, doch am Ende winken handfeste Vorteile.

Der Schritt in die Cloud

Cloud SSO verschafft Mitarbeitern ein überragendes Benutzererlebnis. Gleichzeitig sorgt es für ein gutes Sicherheitsniveau. Die Verwendung von SSO beim Nutzerzugriff auf verteilte Cloud-Applikationen und –Services bedeutet für Organisationen grössere Kontrolle. Insbesondere auch die Handhabung von Mitarbeiterbenutzerkonten wird zu einem flüssigeren, besser integrierten Prozess, mit der Möglichkeit, Konten ganz einfach zu aktivieren oder zu deaktivieren. Cloud SSO ist eine äusserst effektive Art, mit den Sicherheits- und Usability-Auswirkungen des erweiterten Unternehmensperimeters umzugehen.

Details zum Autor

Mathias Wyss

Mathias Wyss

Product Manager Web Access Management & Security Expert @ United Security Providers, MSc ETH, CISSP

Kommentar hinterlassen?