SAML-Technik im Überblick
Single Sign-on statt Login-Marathon
Unternehmen setzen immer mehr ganz selbstverständlich Cloud-Anwendungen ein. Eine ganze Reihe unterschiedlicher Faktoren hat dazu geführt, dass sie in vielen Unternehmen alltäglich geworden sind. Die zwei dafür hauptverantwortlichen Einzelaspekte sind wohl die Nutzererfahrungen der Mitarbeiter im privaten Umfeld und das steigende Angebot von Unternehmens-IT-Lösungen im Cloud-Modell.Mit der zunehmenden Verwendung von Cloud-basierenden Web-Diensten im Unternehmenskontext entstehen neue Probleme. Dass Anwender sich bei jedem Dienst mit einer eigenen Nutzername-Kenntwort-Kombination einloggen müssen, ist nicht nur umständlich und frisst Zeit, sondern stellt auch ein Sicherheitsrisiko dar. Eine Single-Sign-on-Lösung auf Basis des SAML-Protokolls kann jedoch Abhilfe schaffen, ohne den Administrationsaufwand zu erhöhen. Privat nutzen Arbeitnehmer heutzutage ganz selbstverständlich Web-Anwendungen wie Dropbox oder Google Docs. Wenn nun eine dieser Anwendungen ihnen auch im Unternehmensalltag eine Arbeitserleichterung verspricht, sind sie mittlerweile nicht ohne Weiteres bereit, darauf zu verzichten. Solange die Verwendung solcher Cloud-Dienste nicht explizit untersagt ist oder das eigene Unternehmen eine ähnlich komfortable Alternative bereitstellt, suchen und finden sie Wege, sie dennoch zu nutzen - zur Not ohne das Wissen der eigenen IT-Abteilung. Eine weitere Entwicklung, die den Trend zur Verwendung von Web-Diensten in Unternehmen verstärkt, ist die zunehmende Anzahl von Businessanwendungen, wie beispielsweise Salesforce, die vornehmlich oder sogar ausschließlich im Cloud-Modell auf dem Markt zu haben sind. Für viele Unternehmen ist die Verwendung derartiger Web-Services allein deshalb verlockend, weil damit keine großen Investitionen in eine eigene IT-Lösung notwendig werden und sie in der Regel schnell einsatzbereit sind. Unternehmen profitieren zudem von der hohen Wirtschaftlichkeit dieser Anwendungen, da nur die tatsächlich in Anspruch genommenen Leistungen abzurechnen sind und keine pauschalen Kosten für Lizenzen anfallen. Aus der Perspektive der Mitarbeiter wie auch aus der von Unternehmen gilt heute in der Regel der Leitsatz: Was funktioniert, wird genutzt. Dies zeigt sich auch daran, dass bei der Einführung von Cloud-basierenden Softwarelösungen die IT-Abteilungen eine zunehmend untergeordnete Rolle spielen, wie die jüngste IDC-Studie "Cloud Computing in Deutschland 2013" zeigt. Danach entscheiden nicht mehr wie bisher die IT-Experten, sondern zunehmend die jeweilige Fachabteilung selbst über die Einführung von agilen Cloud-Lösungen - insbesondere in den Bereichen Kundendienst, Vertrieb und Projekt-Management. Da viele dieser Anwendungen direkt im Browser laufen, ist es auch nicht erforderlich, zusätzliche Software auf den Clients zu installieren. Einfach einloggen und los geht?s. Doch genau damit entstehen neue Probleme. Bereits für ihre privaten Anwendungen müssen sich Nutzer zahlreiche verschiedene Nutzernamen und Kennwörter merken. Kommen dann neben dem Login für das Firmennetzwerk weitere Accounts im Unternehmen hinzu, neigen Anwender dazu, entweder mehrfach dasselbe Passwort zu benutzen oder einfache Passwörter zu verwenden, die sie sich leicht merken können, die aber auch leicht zu knacken sind. Dies bedeutet für das Unternehmen jedoch ein Sicherheitsrisiko. Eine Single-Sign-on-Lösung auf Basis der Security Assertion Markup Language (SAML) versetzet Unternehmen in die Lage, diese Sicherheitsrisiken auszuräumen, indem sie ihre Mitarbeiter von der Last dieser zahlreichen Passwörter befreien. Das XML-basierende Kommunikationsprotokoll für eine sichere Authentifizierung und Autorisierung ermöglicht es Unternehmen, ihren Mitarbeitern schneller, einfacher und sicherer Zugang zu Cloud-Diensten zu verschaffen. Anstelle eines ganzen Bündels an Nutzername-Passwort-Kombinationen müssen sich Mitarbeiter nur noch ein einziges Passwort für die Anmeldung am SAML-Identity-Provider des Unternehmens merken. Der Identity-Provider übernimmt anschließend die weitere Authentifizierung des Nutzers gegenüber den verwendeten Cloud-Diensten. Der Identity-Provider ist das Kernelement eines solchen SAML-Single-Sign-on-Systems. Er wird im Unternehmensnetzwerk eingerichtet, verfügt über ein Nutzerverzeichnis und kennt die Authentifizierungsmechanismen der Web-Dienste. Im Identity-Provider lassen sich für die unternehmensinternen Nutzer Konten anlegen, in denen der Administrator nutzerspezifisch festlegen kann, welchem Mitarbeiter welche Web-Anwendungen wann zur Verfügung stehen. Bei einer SAML-Integration, wie bei der Enterprise-Linux-Distribution Univention Corporate Server (UCS), lässt sich der Zugriff auf Cloud-Dienste direkt mit der Active-Directory-Benutzerverwaltung administrieren - entweder auf Microsoft Server über den Active Directory Connector oder auf UCS in den integrierten, auf Samba basierenden Active-Directory-Diensten. Administratoren entsteht damit kein zusätzlicher Mehraufwand, da der SAML-Identity-Provider die jeweiligen Berechtigungen eines Nutzers direkt aus dem Active Directory ausliest. Nach dem Login am Identity-Provider kann der Mitarbeiter dann an seinem Client sämtliche für ihn freigegebenen Web-Dienste ohne weitere Login-Vorgänge nutzen. Er ruft einfach in seinem Browser die Anwendung auf, und die Arbeitsoberfläche öffnet sich direkt. Der Identity-Provider hat in der Zwischenzeit die Berechtigung des Nutzers anhand der hinterlegten Kontoeinstellungen geprüft, ein sicherer SAML-Token generiert, dieses an den Web-Dienst geschickt und den Nutzer damit authentifiziert. Damit der Service-Provider das Token auch akzeptiert, tauschen bei der Einrichtung des Web-Diensts der Identity-Provider und der Diensteanbieter Zertifikate aus, durch die sich beide Seiten fortan als vertrauenswürdig ausweisen. Statt der üblichen Login-Daten werden bei einer Anmeldung eines Nutzers beim Service-Provider anschließend nur noch Informationen übertragen, mit denen kein Dritter Zugang zu der Anwendung erlangen kann. Für den Anwender im Unternehmen hat SAML damit den Vorteil, dass er sich nicht mehr für jeden Dienst seine individuellen Login-Daten merken und diese bei der Anmeldung eingeben muss, sondern unmittelbar Zugriff auf die Arbeitsoberfläche sowie sämtliche anderen Inhalte hat, für die er berechtigt ist. Ruft er eine andere Anwendung auf, ist diese ebenso sofort verfügbar - vorausgesetzt, der Nutzer ist im Identity-Provider auch dafür freigeschaltet. Mehr Produktivität durch SAML Unternehmen profitieren von der gesteigerten Sicherheit und der höheren Produktivität ihrer Mitarbeiter, die unterschiedlichste Web-Dienste mit SAML noch einfacher nutzen können. Denn statt frustrierender, sich ständig wiederholender Login-Vorgänge können sie durch den One-Klick-Access direkt mit der Arbeit starten. Mit SAML bleiben die Benutzerkennwörter außerdem in der eigenen IT und liegen nicht mehr beim Dienstanbieter. Eine geringere Zahl an Kennwörtern bedeutet für Unternehmen auch, dass Mitarbeiter weniger davon vergessen oder verlieren oder ihnen gestohlen werden. Der Zeitaufwand für die umständliche Wiederbeschaffung oder Neuerteilung dieser Login-Daten entfällt - ganz zu schweigen von den Schäden, die durch Missbrauch eines gestohlenen Kennworts entstehen können. SAML ist für Unternehmen eine unkomplizierte und kostengünstige Methode, um ihre Mitarbeiter von der Belastung durch zahlreiche verschiedene Passwörter für unterschiedliche Cloud-Dienste zu befreien und die IT-Sicherheit zu steigern. Als offenen Standard unterstützt so ziemlich jeder Web-Dienst SAML. Bei einer guten Integration des SAML-Identity-Providers ist die gewohnte Benutzerverwaltung nur um einen weiteren Reiter erweitert und erlaubt damit die Administration der Nutzerfreigaben in der bekannten Nutzerverwaltung. Doppelte Verwaltung entfällt Bei einer Kombination mit dem Active Directory entfällt eine doppelte Verwaltung von Kennwörtern vollständig. Mit SAML vermeiden Unternehmen außerdem, dass sie für zusätzliche lokal installierte Client-Anwendungen für Cloud-basierende Dienste ihre Firewall weiter perforieren müssen, da die Web-Anwendungen sich über den Browser und damit über die herkömmliche Internet-Verbindung nutzen lassen. Der geringe Aufwand für die Einrichtung und der große Sicherheits- und Komfortgewinn machen SAML im Grunde zu einem Must-Have für jedes Unternehmensnetzwerk.
Lesen Sie mehr zum Thema
