ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/single-sign-on-statt-login-marathon,3041933

Security-Assertion-Markup-Language-Protokoll in der Praxis

Single-Sign-On statt Login-Marathon

Datum:28.03.2014
Autor(en):Alice Horstmann
IT-Anwender in Unternehmen müssen sich im Arbeitsalltag zahlreiche Nutzername-Passwort-Kombination merken. Mehrfach dasselbe, einfache Passwort zu nutzen, ist deshalb verlockend, stellt aber ein enormes Sicherheitsrisiko dar. Eine Single-Sign-On-Lösung auf Basis des SAML-Protokolls kann Abhilfe schaffen.

Bereits für ihre privaten Anwendungen müssen sich Nutzer zahlreiche verschiedene Nutzernamen und Passwörter1 merken. Kommen dann neben dem Login für das Firmennetzwerk weitere Accounts im Unternehmen hinzu, neigen die Mitarbeiter dazu, entweder immer dasselbe Passwort oder möglichst einfache Passwörter zu verwenden, die sie sich leicht merken können - die aber auch leicht zu knacken sind.

Die Anzahl der Passwörter pro Mitarbeiter steigt auch deshalb, weil vor allem Fachabteilungen verstärkt dazu übergehen, Cloud-basierte Lösungen2 selbst einzuführen - oft ohne Wissen der IT-Leiter. Da viele dieser Anwendungen direkt im Browser laufen, muss auch keine zusätzliche Software auf den Clientcomputern installiert werden. Einfach einloggen und los geht’s. Doch genau damit entstehen neue Probleme

[Hinweis auf Bildergalerie: Single Sign On] gal1

Eine Single-Sign-On-Lösung3 auf Basis der Security Assertion Markup Language4 (SAML) versetzt Unternehmen in die Lage, diese Sicherheitsrisiken auszuräumen, indem sie ihre Mitarbeiter von der Last dieser zahlreichen Passwörter befreien. Das XML-basierte Kommunikationsprotokoll für eine sichere Authentifizierung und Autorisierung ermöglicht es, Mitarbeitern schneller, einfacher und sicherer Zugang zu Cloud-Diensten5 zu verschaffen.

Statt eines ganzen Bündels an Nutzername-Passwort-Kombinationen müssen sich Mitarbeiter nur noch ein einziges Passwort für die Anmeldung am SAML-Identity Provider des Unternehmens merken. Der Identity Provider übernimmt anschließend die weitere Authentifizierung des Nutzers gegenüber den verwendeten Cloud-Diensten.

[Hinweis auf Bildergalerie: Single-Sign-On-Lösungen in der Übersicht - ] gal2

Identity Provider - das zentrale Steuerelement

Der Identity Provider ist das Kernelement eines solchen SAML6-Single-Sign-On-Systems. Er wird im Unternehmensnetzwerk eingerichtet, verfügt über ein Nutzerverzeichnis und kennt die Authentifizierungsmechanismen der Webdienste. Im Identity Provider lassen sich für die unternehmensinternen Nutzer Konten anlegen, in denen der Administrator nutzerspezifisch festlegen kann, welchem Mitarbeiter welche Webanwendungen wann zugänglich gemacht werden.

Bei einer SAML-Integration, beispielsweise bei der Enterprise-Linux-Distribution Univention Corporate Server (UCS), lässt sich der Zugriff auf Cloud-Dienste direkt mit der Active-Directory-Benutzerverwaltung7 administrieren - entweder auf Microsoft Server über den Active Directory Connector oder auf UCS in den integrierten, auf Samba basierenden Active-Directory-Diensten. Administratoren entsteht damit kein zusätzlicher Mehraufwand, da der SAML-Identity-Provider die jeweiligen Berechtigungen eines Nutzers direkt aus Active Directory ausliest.

Einmalig: Nach dem ersten Login stehen alle weiteren abgesicherten Dienste und Services sofort ohne weiter Authentifizierung zur Verfügung.

Nach dem Login8 am Identity Provider kann der Mitarbeiter dann an seinem Client sämtliche für ihn freigegebene Webdienste ohne weitere Login-Vorgänge nutzen. Er ruft einfach in seinem Browser die Anwendung auf und es öffnet sich direkt die Arbeitsoberfläche. Der Identity Provider hat in der Zwischenzeit die Berechtigung des Nutzers anhand der hinterlegten Kontoeinstellungen geprüft, einen sicheren SAML-Token generiert, diesen an den Webdienst geschickt und den Nutzer damit authentifiziert.

Damit der Service Provider den Token auch akzeptiert, tauschen bei der Einrichtung des Webdienstes der Identity Provider und der Dienste-Anbieter Zertifikate aus, durch die sich beide Seiten fortan als vertrauenswürdig ausweisen. Statt der üblichen Login-Daten werden bei einer Anmeldung eines Nutzers beim Service Provider anschließend nur noch Informationen übertragen, mit denen kein Dritter Zugang zu der Anwendung erlangen kann.

Für den Anwender im Unternehmen hat SAML damit den Vorteil, dass er sich nicht mehr für jeden Dienst seine individuellen Login-Daten merken und diese bei der Anmeldung eingeben muss, sondern unmittelbar Zugriff auf die Arbeitsoberfläche sowie sämtliche anderen Inhalte hat, für die er berechtigt ist. Ruft er eine andere Anwendung auf, ist diese ebenso sofort verfügbar - vorausgesetzt, der Nutzer ist im Identity Provider auch dafür freigeschaltet.

One-Klick-Access mit SAML

Unternehmen profitieren von der gesteigerten Sicherheit und der höheren Produktivität ihrer Mitarbeiter, die unterschiedliche Webdienste mit SAML9 noch einfacher nutzen können. Denn statt frustrierender, sich ständig wiederholender Login-Vorgänge können sie durch den One-Klick-Access direkt mit der Arbeit starten.

Mit SAML bleiben die Benutzerpasswörter außerdem in der eigenen IT und liegen nicht mehr beim Dienstanbieter. Eine geringere Zahl an Passwörtern bedeutet für Unternehmen auch, dass weniger Passwörter vergessen, verloren oder gestohlen werden. Der Zeitaufwand für die umständliche Wiederbeschaffung oder Neuerteilung dieser Login-Daten entfällt - ganz zu schweigen von den Schäden, die durch Missbrauch eines gestohlenen Passworts entstehen können.

Sicher und effizient: SAML ist für Unternehmen eine unkomplizierte und kostengünstige Methode, um ihre Mitarbeiter von der Belastung durch zahlreiche verschiedene Passwörter für unterschiedliche Cloud-Dienste zu befreien und die IT-Sicherheit zu steigern.

Als offener Standard wird SAML von ziemlich jedem Webdienst unterstützt. Bei einer guten Integration des SAML-Identity Providers wird die gewohnte Benutzerverwaltung nur um einen zusätzlichen Reiter erweitert und erlaubt damit die Administration der Nutzerfreigaben in der bekannten Nutzerverwaltung. Bei einer Kombination mit Active Directory entfällt eine doppelte Verwaltung von Passwörtern vollständig.

Mit SAML vermeiden Unternehmen außerdem, dass sie für zusätzliche lokal installierte Client-Anwendungen für cloudbasierte Dienste10 ihre Firewall weiter perforieren müssen, da die Webanwendungen sich über den Browser und damit über die herkömmliche Internetverbindung nutzen lassen.

Der geringe Aufwand für die Einrichtung und der große Sicherheits- und Komfortgewinn machen SAML im Grunde zu einem Muss für jedes Unternehmensnetzwerk. (rb)

Links im Artikel:

1 https://www.tecchannel.de/sicherheit/identity_access/2051650/login_informationen_schuetzen_tipps_fuer_ein_sicheres_passwort/index.html
2 https://www.tecchannel.de/server/cloud_computing/2052203/praxis_tipps_fuer_die_cloud_beratung/index.html
3 https://www.tecchannel.de/sicherheit/identity_access/2040883/worauf_es_bei_single_sign_on_loesungen_ankommt/index.html
4 http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language
5 https://www.tecchannel.de/server/cloud_computing/2046425/wo_der_mittelstand_cloud_computing_services_einkauft/index.html
6 http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language
7 https://www.tecchannel.de/server/windows/2053232/profi_tipps_und_tricks_zu_windows_server_2012_r2/index.html
8 https://www.tecchannel.de/sicherheit/identity_access/2051650/login_informationen_schuetzen_tipps_fuer_ein_sicheres_passwort/index.html
9 http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language
10 https://www.tecchannel.de/wege_in_die_cloud/2053924/cloud_studie_tc_2014_tx/

Bildergalerien im Artikel:

gal1 Single Sign On

Single Sign On: Zarafa Marketplace App-Center
SAML ist für Unternehmen eine unkomplizierte und kostengünstige Methode, um ihre Mitarbeiter von der Belastung durch zahlreiche verschiedene Passwörter für unterschiedliche Clouddienste zu befreien und die IT-Sicherheit zu steigern.

Single Sign On: SAM - Konfiguration - Baisic Settings

Single Sign On: SAML - Account Settings

Single Sign On: Login-Seite

gal2 Single-Sign-On-Lösungen in der Übersicht -

One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID.
Foto: BioID AG

Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter.
Foto: Screenshot Twitter.com / Oliver Schonschek

Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen.
Foto: Screenshot mozilla.org / Oliver Schonschek

One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können.
Foto: Screenshot mozilla.org / Oliver Schonschek

ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen.
Foto: Screenshot ClaimID / Oliver Schonschek

CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können.
Foto: CA Technologies

SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen.
Foto: SecureAuth

Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.
Foto: Aveska

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.