Grundlagen Single Sign-on
Die Alternative zum Passwortdschungel
Die Vernetzung von Unternehmen untereinander und die Komplexität der Netzwerke, Plattformen und Applikationen nehmen seit geraumer Zeit rasant zu. Immer mehr Menschen loggen sich extern oder intern in diese Systeme ein - und benutzen dazu nach wie vor zumeist ihre Benutzer-ID und ein statisches Passwort.
Bei jedem Unternehmen und jeder Applikation stoßen Anwender auf individuelle Ansätze der Zugriffsregelung. So wird der eigentlich einfache Prozess des Einloggens für den Anwender immer mehr zum Albtraum. Studien haben gezeigt, dass einzelne Anwender bereits bis zu 20 Passwörter und mehr behalten müssen. Einfache Lösungen - etwa ein einziges Kennwort für alle Systeme und Anwendungen - stellen ebenso eine unterschätzte Gefahrenquelle für Unternehmen dar wie das Aufschreiben der Kennwörter, mit dem Mitarbeiter auf zu komplex geratene Kennwortregeln reagieren. Vor allem häufiges Ändern der Codes führt zu Verwirrung und zu unzähligen Anrufen beim Helpdesk. Damit entstehen auch Kosten, und zwar nicht nur beim Helpdesk selbst, sondern auch durch die Produktivitätsausfälle auf Seiten der Anwender, die sich an ihren Applikationen nicht anmelden können. Zu dieser Problematik existiert inzwischen eine Reihe von Studien (siehe Kasten).
Warum Single Sign-on?
Vor diesem Hintergrund ist es nicht erstaunlich, dass Single Sign-on (SSO) für Unternehmen immer interessanter wird. SSO ermöglicht den schnellen und benutzerfreundlichern Zugriff auf verschiedenste Applikationen und bietet gleichzeitig höhere Sicherheit. Single Sign-on lässt sich problemlos mit zusätzlichen Sicherheitsmanagementlösungen kombinieren und bietet dann einen robusten und sicheren Weg, um Kosten zu reduzieren und dem Anwender das Handling und den Zugriff auf verschiedenste Applikationen zu vereinfachen.
Im Detail lassen sich mit SSO mehrere Probleme zugleich lösen:
Kostenkontrolle: Durch SSO werden viele Anfragen an die IT-Administration vermieden oder die Anzahl drastisch reduziert. Die IT-Administratoren können sich anspruchsvolleren Tätigkeiten widmen als Fragen rund um verlorene Passwörter. Eine einheitliche Authentifizierungs- und Autorisierungsinfrastruktur minimiert außerdem die Kosten der Entwicklung und Umsetzung weiterer einheitlicher Sicherheitsinfrastrukturlösungen.
Kompetenz auf operationaler Ebene: Unternehmen haben ein großes Interesse daran, ihre Sicherheitsinfrastruktur so effizient wie möglich aufzubauen, damit ihre Mitarbeiter möglichst effektiv arbeiten können. "Intelligente" Passwortmanagementlösungen, die sich schnell integrieren lassen und ein einfaches Management ermöglichen, steigern die Effizienz des Unternehmens auf der operationalen Ebene. Passwortmanagement- und SSO-Lösungen geben dem Anwender mehr Kontrolle und erzeugen so nebenher ein größeres Maß an Selbstverantwortung und Zufriedenheit. Schnelleres und zuverlässiges Reporting führt außerdem zu mehr Konformität (Compliance) mit bestehenden rechtlichen Richtlinien und Gesetzen.
Erhöhte Sicherheit: SSO ermöglicht den Einsatz von langen und komplexen Passwörtern, die schwerer zu erraten sind und den Sicherheits-Level für kritische Geschäftsinformationen entscheidend erhöhen. Wenn sich ein Anwender tatsächlich etwa 20 Passwörter merken muss, wählt er die einfachsten, um sich wenigstens einen Teil merken zu können. Sie lassen sich von Angreifern leicht erraten. Die Gefahr, die von notierten, womöglich an den Monitor oder unter die Tastatur geklebten Kennwörtern ausgeht, wurde bereits erwähnt.
Höhere Compliance: Eine SSO-Lösung kann dazu beitragen, gesetzliche Regelungen und Anforderungen branchenspezifischer Institutionen leichter zu erfüllen.
Verschiedene Ansätze bei Single Sign-on-Lösungen
Es gibt drei Hauptkategorien, in die SSO-Lösungen eingeteilt werden können. Für die Einordnung spielt zunächst die Art der Applikation eine Rolle, auf die zugegriffen werden soll. Hinzu kommen außerdem die spezifischen Anforderungen des jeweiligen Unternehmens.
Enterprise Single Sign-on (ESSO): ESSO beschreibt den vereinheitlichten Zugriff auf verschiedene Applikationen in einem Unternehmen. Die Lösung richtet sich also an Mitarbeiter, die an Firmenrechnern arbeiten, die sich komplett unter der Kontrolle eines Systemadministrators befinden und somit mit Client-Software für Single-Sign-on-Zwecke ausgerüstet werden können. Die Anwender erhalten im Normalfall spezielle Zugriffsprofile zugeteilt.
Web-Single-Sign-on (Web-SSO): Web-SSO steht für den Zugriff auf Webapplikationen, für die ein zentraler Einwahlpunkt eingerichtet wird. Diese Lösung ist nicht nur für interne Unternehmensanwender interessant, sondern insbesondere auch für externe Anwendergruppen wie zum Beispiel Geschäftspartner und Kunden. In diesem Fall wird keine separate Client-Software auf den Arbeitsrechnern benötigt. Authentifizierung und Autorisierung für verschiedene Anwendungen im Portal können durch den Betreiber zentral administriert werden.
Federated Single Sign-on: Die heutige vernetzte Wirtschaft setzt immer häufiger auf strategische Partnerschaften. Die Einbindung von Partnersystemen in eine IT-Infrastruktur sowie der Aufbau und die Nutzung von gemeinsamen Prozessen erlauben es, beispielsweise Entwicklungs- und Marketingaktivitäten zu optimieren, Vertriebskanäle zu erweitern und neue Geschäftsmöglichkeiten zu entwickeln.
Der Aufbau von Vertrauen in die digitalen Identitäten, die gemeinsam genutzt werden, spielt dabei für den Erfolg eine entscheidende Rolle. Dem Anwender kommt zunächst die vereinfachte Navigation auf den unterschiedlichen Webseiten im Verbund zugute, unabhängig davon, von welchem Partner sie jeweils gehostet werden. Technisch muss dazu die Möglichkeit geschaffen werden, Identitätsdaten bereits angemeldeter Personen sicher zwischen einzelnen Servern und Anwendungen auszutauschen.
Die Wahl der passenden SSO-Lösung
Bei der Wahl der richtigen SSO-Lösung spielen nicht allein technische Daten eine Rolle. Das Produkt muss auch zum Unternehmen mit seinen individuellen Geschäftsabläufen und Sicherheitsanforderungen passen. Nur dann trägt die gewählte Lösung wirklich dazu bei, Kosten zu sparen, die Sicherheit zu steigern und die Effizienz zu verbessern.
Zielgruppe: Der Auswahlprozess beginnt mit der Zielgruppenbestimmung - hierbei spielt es vor allem eine Rolle, ob vorrangig interne Anwender oder eher externe Nutzer mit den jeweiligen Systemen arbeiten sollen.
Anwendungsumgebungen: In einem zweiten Schritt müssen die Applikationen identifiziert werden, auf die mit SSO zugegriffen werden soll: Unternehmensanwendungen, Client-/Server-Applikationen, Webapplikationen oder Host-Mainframe-Anwendungen. Anhand dieser Informationen lässt sich unter anderem festlegen, ob man eine SSO- oder eine Web-SSO-Lösung einsetzt oder eine Kombination aus beidem benötigt.
Einsatzgebiet: Wichtig ist auch, wie die SSO-Lösung eingesetzt werden soll. Soll jeder Anwender die Lösung direkt auf dem Desktop haben oder soll der Zugang über die Browser erfolgen? Bei einer Lösung innerhalb eines Unternehmens ist die Desktop-Anwendung gebräuchlicher. Falls Geschäftspartner oder Kunden Zugriff haben sollen, ist ein Browser-gestütztes Web-SSO vorzuziehen.
Account-Management: Zuletzt muss entschieden werden, ob die Anwender ihre eigenen Accounts bearbeiten dürfen oder ob die Verwaltung zentral durch einen Administrator erfolgt. Besteht die Möglichkeit, Maßnahmen wie Passwort-Resets direkt durch die Mitarbeiter erledigen zu lassen, reduziert dies die Last in der Helpdesk-Abteilung.
Zusammenfassung
Der erhöhte Bedarf an schnellem Zugriff auf Daten und Informationen, der die moderne Wirtschaft kennzeichnet, kann nur gedeckt werden, wenn sich die Zugänge für Unternehmen, Kunden und Partner zugleich gut kontrollieren lassen und darüber hinaus die Anwender nicht unnötig in ihren Tätigkeiten behindern. Techniken wie SSO, Web-SSO und Identity Federation helfen Unternehmen dabei, diese Ziele zu erreichen, und zugleich Kosten zu reduzieren, Prozesse zu automatisieren und zu beschleunigen und rechtskonform zu arbeiten.
Norbert Olbrich/wj
Lesen Sie mehr zum Thema
