Wenn Online-Dienste nicht genutzt werden können, liegt es oftmals an vergessenen Passwörtern, Benutzernamen oder Verifizierungsfragen. Das zeigt auch die aktuelle Ponemon-Studie "Moving Beyond Passwords: Consumer Attitudes on Online Authentication" wieder einmal aufs Neue.
Probleme mit der Vielzahl an digitalen Identitäten und Zugangsdaten haben nicht nur Verbraucher. Laut einer weiteren Ponemon-Studie "Security of Cloud Computing Users Study 2013" wünschen sich 64 Prozent der IT-Verantwortlichen ein Identitätsmanagement, das über die eigenen Netzwerkgrenzen hinausgeht und auch Cloud-Dienste berücksichtigt. Dafür gibt es gute Gründe.
Mit Mobile, Social und Cloud steigt der SSO-Bedarf
Die Mehrzahl der Unternehmen steckt inzwischen in der SoMoClo-Phase. SoMoClo steht für Social Media, Mobile Computing und Cloud Computing. Die Aberdeen Group zum Beispiel stellte in der Studie "The SoMoClo Edge" fest, dass 77 Prozent der befragten Unternehmen Mobile Computing verwenden, 68 Prozent Social Media betrieblich nutzen und 65 Prozent Cloud-Dienste.
Foto: BioID AG
Mit jeder geschäftlichen App, jedem sozialen Netzwerk und jeder Cloud sind aber weitere Identitäten und Passwörter verbunden.
Eine Vereinheitlichung der Nutzerzugänge durch ein Single-Sign-On-Verfahren erscheint als hilfreicher Ausweg: 70 Prozent der Anwender von SSO-Plattformen erwarten dadurch eine Verbesserung der Sicherheit, 51 Prozent sehen eine Reduzierung der erforderlichen IT-Ressourcen und 49 Prozent eine Steigerung des Komforts für die Nutzer, wie eine Studie von Qualtrics zeigt.
Die Suche auf dem SSO-Markt
Betrachtet man den Markt für SSO-Lösungen, sind gerade in der jüngsten Zeit viele neue Anbieter hinzugekommen. Der SSO-Markt ist in Bewegung, auch wegen der stetigen Zunahme an betrieblich genutzten Smartphones und Tablets, der steigenden Nutzung von Cloud-Diensten und der zunehmenden Bedeutung von Social Media im Unternehmen.
In diesem Beitrag kann nur eine Stichprobe unter den SSO-Plattformen untersucht werden. Die abschließende Checkliste nennt aber Kriterien, die Unternehmen für ihre eigene Suche und Bewertung heranziehen können.
1. Kriterium: Schnittstellen
Grundlegend für jedes SSO-Verfahren ist dessen Integrierbarkeit - oder anders ausgedrückt die Vielfalt an Schnittstellen -, die darüber entscheidet, ob man wirklich von einer einheitlichen, zentralen Anmeldung sprechen kann, oder ob gleich mehrere Anwendungen, die das Unternehmen einsetzt, nicht unterstützt werden.
Ein SSO-Verfahren, das tatsächlich alle eingesetzten Anwendungen einbinden kann, ist kaum zu finden. Doch die entscheidenden Anwendungen eines Unternehmens sollten durch die SSO-Lösung der Wahl unterstützt werden.
Zu beachten sind dabei insbesondere die von der jeweiligen SSO-Lösung unterstützten Standards, Verzeichnisdienste (wie Active Directory oder OpenLDAP), Identitätsdienste und Anwendungen im Netzwerk und in der Cloud, zudem mobile Anwendungen und Social-Media-Plattformen.
Unterstützte Standards und Identitätsdienste
Foto: Screenshot ClaimID / Oliver Schonschek
Lösungen wie CA CloudMinder, SurePassID oder IBM Tivoli Federated Identity Manager unterstützen Autorisierungsstandards für Web-, Desktop- und mobile Applikationen wie OAuth, die Web-Spezifikation WS-Federation und das SAML-Framework (Security Assertion Markup Language). Damit sind wichtige technische Voraussetzungen für den standardisierten Austausch von Zugangsdaten mit zahlreichen Applikationen gegeben. Die Vielfalt an unterstützten Anwendungen ist bei solchen SSO-Lösungen in der Regel groß.
Verschiedene SSO-Plattformen berücksichtigen auch Identitätsdienste wie OpenID, CloudMinder zum Beispiel auch die Verwendung der Facebook- oder Google-Zugangsdaten bei Websites, die diese Art der Anmeldung unterstützen. SSO-Plattformen, die zum Beispiel OpenID als Identitätsanbieter und Anmeldeverfahren vorsehen, können nach einmaligem Login des Nutzers die Anmeldung an allen Webseiten vornehmen, die den Identitätsdienst OpenID integriert haben. Welche dies sind, findet man unter anderem in einem OpenID-Verzeichnis.
Foto: Screenshot Twitter.com / Oliver Schonschek
Soziale Netzwerke wie Facebook, Twitter und Google+ bieten sich inzwischen ebenfalls als Identitätsdienst an. Man spricht auch von Social-Log-In-Diensten. Die Lösung NetIQ Social Access zum Beispiel ermöglicht es Unternehmen, ihren Kunden oder Partnern eine Anmeldung mit einem der Social Log-Ins anzubieten, also für die Anmeldung die Zugangsdaten eines bestimmten sozialen Netzwerkes zu verwenden.
Unternehmensanwendungen, Mobile und Cloud
Neben Anwendungen, die im internen Netzwerk betrieben oder aus einer Cloud bezogen werden, sind es die mobilen Apps, die für den betrieblichen Einsatz zunehmend wichtig werden. IBM Security Access Manager for Cloud and Mobile zum Beispiel vereinheitlicht den Zugang zu verschiedenen Cloud-Diensten und die Anmeldung für bestimmte mobile Apps.
Lösungen wie SecureAuth IdP bieten für mehrere mobile Plattformen spezielle Apps an, die die Nutzer auf ihr Smartphone oder Tablet laden, um das Single-Sign-On mobil nutzen zu können. CloudAccess SaaS SSO, Symplified, Symantec O3 oder PingOne bieten eine zentrale Nutzeranmeldung für zahlreiche, unterstützte Cloud-Dienste, darunter Google Apps, Salesforce.com oder SharePoint.
2. Kriterium: Sicherheit
Bei einem SSO-Verfahren sollten Vorgaben für komplexe Passwörter und verschlüsselte Anmeldeverfahren Standard sein. Gelänge es einem Unbefugten, den zentralen Zugang zu knacken, hätte er in der Regel Zugang zu allen angebundenen Anwendungen.
Abhängig vom jeweiligen Schutzbedarf, den internen Richtlinien und den für das Unternehmen geltenden Compliance-Vorgaben sollten deshalb auch Mehr-Faktor-Authentifizierungen möglich sein. Bei Identity and Management Plattformen (IAM) wie Aveksa MyAccessLive oder SecureAuth IdP zum Beispiel kann das SSO-Passwort richtlinienabhängig um weitere Faktoren wie einem Einmal-Passwort (OTP) ergänzt werden.
Ob eine einfache Passwortanmeldung für die SSO-Anmeldung reicht oder nicht, entscheidet beispielsweise CA CloudMinder auf Basis des aktuellen Risk Score. Dieser hängt unter anderem davon ab, wo sich der Nutzer aktuell befindet, welches Gerät für die Anmeldung genutzt wird, welche Aktionen der Nutzer vornehmen möchte und ob die geplanten Aktionen des Nutzers mit seinen Aktivitäten in der Vergangenheit zusammen passen.
3. Kriterium: Nutzerfreundlichkeit
Eine SSO-Lösung sollte sich auch durch ihre Nutzerfreundlichkeit auszeichnen - sowohl für Standardanwender als auch für Administratoren.
Bei Cloud-basierten Lösungen wie Aveksa MyAccessLive, CloudAccess SaaS SSO, OneLogin, McAfee Cloud Single Sign On (SaaS Edition) oder PingOne entfallen Installationsaufwände; die zentrale Administration und die SSO-Anmeldung durch die Nutzer erfolgen über den Webbrowser. Allerdings ist bei Cloud-basierten SSO-Lösungen die hohe Verfügbarkeit des Dienstes von zentraler Bedeutung, ebenso die Betreibersicherheit, da die Identitätsdaten vor Unbefugten geschützt sein müssen.
Foto: CA Technologies
Mobile Administrationszugriffe sind bei vielen Lösungen möglich. So können Administratoren und Entscheider mit der Android- oder iPhone-App MyAccessMobile Nutzeranfragen zu neuen oder geänderten Zugängen und Berechtigungen mobil bearbeiten.
CA CloudMinder, SecureAuth IdP oder IBM Tivoli Federated Identity Manager ermöglichen unter anderem das Zurücksetzen des Nutzerpasswortes als Self-Service. Solche Funktionen, mit denen Nutzer bestimmte Zugangsprobleme wie ein vergessenes Passwort selbst lösen können, erhöhen die Nutzerakzeptanz und entlasten die Administratoren.
Fazit: Genaue Anforderungen stellen
Bei der Suche nach der richtigen SSO-Lösung haben Unternehmen die Wahl zwischen einer Vielzahl an Anbietern, einige sind in diesem Beitrag genannt. In zahlreichen Punkten ähneln sich die Angebote, weshalb es wichtig ist, die eigenen Anforderungen vor Beginn der Anbietersuche sehr genau heraus zu arbeiten. Fragen zur notwendigen Unterstützung von Verzeichnisdiensten und Anwendungen sollten ebenfalls vorab geklärt sein wie der Bedarf Identitätsdienste wie OpenID oder Social Log-Ins einbeziehen zu können.
Entscheidend ist die Datensicherheit, die eine SSO-Plattform bieten kann, bei der Übertragung und Speicherung der Zugangsdaten; im Fall von Cloud-basierten SSO-Lösungen auch die Sicherheit, die der Betreiber gewährleisten kann. Eine Cloud-basierte SSO-Lösung bedeutet in aller Regel eine Auftragsdatenverarbeitung und muss den entsprechenden Datenschutzanforderungen gerecht werden.
Nicht zuletzt die Nutzerfreundlichkeit einer Lösung im Bereich Single-Sign-On wird über den Erfolg der Einführung entscheiden. Umständliche Anmeldeverfahren werden auf Ablehnung stoßen. So sollten die jeweils angebotenen Möglichkeiten zur Mehr-Faktor-Authentifizierung mit den eigenen Vorstellungen abgeglichen werden. Es macht einen Unterschied, ob die Nutzer ein Einmal-Passwort per SMS auf ihr Mobiltelefon bekommen, das sie sowieso dabei haben, oder ob sie einen zusätzlichen Hardware-Token benötigen.
Die folgende Checkliste nennt zusammenfassend grundlegende Auswahlkriterien, die individuell erweitert werden sollten. Exemplarisch sind verschiedene Lösungen auf die genannten Kriterien untersucht worden. (sh/mje)
Checkliste: Auswahlkriterien für SSO-Lösungen
Plattform / unterstützt | CA CloudMinder SSO | IBM Security Access Manager for Cloud and Mobile / Tivoli Federated Identity Manager | CloudAccess SaaS SSO / Identity Gateway | SecureAuth IdP | PingOne |
Standards (wie SAML, OAuth2.0) | z.B. OAuth, WS-Fed, SAML | z.B. SAML, WS-Fed, OAuth | z.B. SAML 2.0, WS-Fed, Liberty Alliance | z.B. SAML, OAuth 2.0 w | SAML |
Identitätsdienste (wie OpenID) | OpenID, Facebook, Google | Information Card Profile, OpenID | k.A. | z.B. OpenID, Google, Facebook | OpenID |
Netzwerk-Apps | Ja | Ja | SaaS-Lösungen | Ja | Ja |
Mobile Apps | Ja | Ja | Mobile Zugriffe auf SaaS-Apps | Ja | Ja |
Cloud-Apps | z.B. Office 365 | Ja | Ja | Ja | Ja |
Individuelle Konnektoren | k.A. | k.A. | Connector-Toolkit für SAML-fähige SaaS-Anwendungen | Ja | Anfrage weiterer Apps möglich |
Cloud-basiert | Ja | Nein | Ja | Appliance | Ja |
Self-Serice für Nutzer | Ja | Ja | k.A. | Ja | Ja |
Mehr-Faktor-Authentifizierung | z.B. Smart Cards, Biometrie, SecurID | Ja | Ja | Ja | Ja |
Zentrale Administration | Ja | Ja | Ja | Ja | Ja |
Reporting | Ja | Ja | Ja | Ja | Ja |
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (rb)