Bereits für ihre privaten Anwendungen müssen sich Nutzer zahlreiche verschiedene Nutzernamen und Passwörter merken. Kommen dann neben dem Login für das Firmennetzwerk weitere Accounts im Unternehmen hinzu, neigen die Mitarbeiter dazu, entweder immer dasselbe Passwort oder möglichst einfache Passwörter zu verwenden, die sie sich leicht merken können - die aber auch leicht zu knacken sind.
Die Anzahl der Passwörter pro Mitarbeiter steigt auch deshalb, weil vor allem Fachabteilungen verstärkt dazu übergehen, Cloud-basierte Lösungen selbst einzuführen - oft ohne Wissen der IT-Leiter. Da viele dieser Anwendungen direkt im Browser laufen, muss auch keine zusätzliche Software auf den Clientcomputern installiert werden. Einfach einloggen und los geht’s. Doch genau damit entstehen neue Probleme
Eine Single-Sign-On-Lösung auf Basis der Security Assertion Markup Language (SAML) versetzt Unternehmen in die Lage, diese Sicherheitsrisiken auszuräumen, indem sie ihre Mitarbeiter von der Last dieser zahlreichen Passwörter befreien. Das XML-basierte Kommunikationsprotokoll für eine sichere Authentifizierung und Autorisierung ermöglicht es, Mitarbeitern schneller, einfacher und sicherer Zugang zu Cloud-Diensten zu verschaffen.
Statt eines ganzen Bündels an Nutzername-Passwort-Kombinationen müssen sich Mitarbeiter nur noch ein einziges Passwort für die Anmeldung am SAML-Identity Provider des Unternehmens merken. Der Identity Provider übernimmt anschließend die weitere Authentifizierung des Nutzers gegenüber den verwendeten Cloud-Diensten.
Identity Provider - das zentrale Steuerelement
Der Identity Provider ist das Kernelement eines solchen SAML-Single-Sign-On-Systems. Er wird im Unternehmensnetzwerk eingerichtet, verfügt über ein Nutzerverzeichnis und kennt die Authentifizierungsmechanismen der Webdienste. Im Identity Provider lassen sich für die unternehmensinternen Nutzer Konten anlegen, in denen der Administrator nutzerspezifisch festlegen kann, welchem Mitarbeiter welche Webanwendungen wann zugänglich gemacht werden.
Bei einer SAML-Integration, beispielsweise bei der Enterprise-Linux-Distribution Univention Corporate Server (UCS), lässt sich der Zugriff auf Cloud-Dienste direkt mit der Active-Directory-Benutzerverwaltung administrieren - entweder auf Microsoft Server über den Active Directory Connector oder auf UCS in den integrierten, auf Samba basierenden Active-Directory-Diensten. Administratoren entsteht damit kein zusätzlicher Mehraufwand, da der SAML-Identity-Provider die jeweiligen Berechtigungen eines Nutzers direkt aus Active Directory ausliest.
Nach dem Login am Identity Provider kann der Mitarbeiter dann an seinem Client sämtliche für ihn freigegebene Webdienste ohne weitere Login-Vorgänge nutzen. Er ruft einfach in seinem Browser die Anwendung auf und es öffnet sich direkt die Arbeitsoberfläche. Der Identity Provider hat in der Zwischenzeit die Berechtigung des Nutzers anhand der hinterlegten Kontoeinstellungen geprüft, einen sicheren SAML-Token generiert, diesen an den Webdienst geschickt und den Nutzer damit authentifiziert.
Damit der Service Provider den Token auch akzeptiert, tauschen bei der Einrichtung des Webdienstes der Identity Provider und der Dienste-Anbieter Zertifikate aus, durch die sich beide Seiten fortan als vertrauenswürdig ausweisen. Statt der üblichen Login-Daten werden bei einer Anmeldung eines Nutzers beim Service Provider anschließend nur noch Informationen übertragen, mit denen kein Dritter Zugang zu der Anwendung erlangen kann.
Für den Anwender im Unternehmen hat SAML damit den Vorteil, dass er sich nicht mehr für jeden Dienst seine individuellen Login-Daten merken und diese bei der Anmeldung eingeben muss, sondern unmittelbar Zugriff auf die Arbeitsoberfläche sowie sämtliche anderen Inhalte hat, für die er berechtigt ist. Ruft er eine andere Anwendung auf, ist diese ebenso sofort verfügbar - vorausgesetzt, der Nutzer ist im Identity Provider auch dafür freigeschaltet.
One-Klick-Access mit SAML
Unternehmen profitieren von der gesteigerten Sicherheit und der höheren Produktivität ihrer Mitarbeiter, die unterschiedliche Webdienste mit SAML noch einfacher nutzen können. Denn statt frustrierender, sich ständig wiederholender Login-Vorgänge können sie durch den One-Klick-Access direkt mit der Arbeit starten.
Mit SAML bleiben die Benutzerpasswörter außerdem in der eigenen IT und liegen nicht mehr beim Dienstanbieter. Eine geringere Zahl an Passwörtern bedeutet für Unternehmen auch, dass weniger Passwörter vergessen, verloren oder gestohlen werden. Der Zeitaufwand für die umständliche Wiederbeschaffung oder Neuerteilung dieser Login-Daten entfällt - ganz zu schweigen von den Schäden, die durch Missbrauch eines gestohlenen Passworts entstehen können.
Als offener Standard wird SAML von ziemlich jedem Webdienst unterstützt. Bei einer guten Integration des SAML-Identity Providers wird die gewohnte Benutzerverwaltung nur um einen zusätzlichen Reiter erweitert und erlaubt damit die Administration der Nutzerfreigaben in der bekannten Nutzerverwaltung. Bei einer Kombination mit Active Directory entfällt eine doppelte Verwaltung von Passwörtern vollständig.
Mit SAML vermeiden Unternehmen außerdem, dass sie für zusätzliche lokal installierte Client-Anwendungen für cloudbasierte Dienste ihre Firewall weiter perforieren müssen, da die Webanwendungen sich über den Browser und damit über die herkömmliche Internetverbindung nutzen lassen.
Der geringe Aufwand für die Einrichtung und der große Sicherheits- und Komfortgewinn machen SAML im Grunde zu einem Muss für jedes Unternehmensnetzwerk. (rb)