We love IT.

SSO

Single Sign-On (SSO) ermöglicht dem Benutzer vernetzter Anwendungen (z. B. in einem Portal) mit nur einer einzigen, zentralen Anmeldung, den authentifizierten Zugriff auf alle am SSO-Verfahren beteiligten Systeme für die er berechtigt ist. Es ist danach nicht mehr erforderlich sich bei jedem einzelnen System mit den jeweiligen Zugangsdaten zu authentisieren, und zahlreiche Benutzernamen und Kennwörter vorzuhalten. Vielmehr kann der Benutzer nach der ersten Anmeldung nahtlos auf allen Systemen identifiziert werden.

Folgende Vorteile ergeben sich aus dem Einsatz einer SSO-Infrastruktur:

• Dem Benutzer wird ein angenehmeres Arbeiten ermöglicht, der Wechsel zwischen unterschiedlichen Anwendungen erfordert nicht ständig ein erneutes Anmelden mit immer wieder unterschiedlichen Benutzerkennungen.
• Die Benutzerverwaltung wird erheblich vereinfacht, da die Benutzerdaten aller beteiligten Systeme in einer gemeinsamen Benutzerdatenbasis verwaltet werden können. Der Verwaltungsaufwand kann somit erheblich reduziert werden; das Einrichten und Autorisieren neuer Benutzer für einzelne Anwendungen wird erheblich vereinfacht und beschleunigt.
• Die Sicherheit wird gesteigert, da viele Angriffspunkte mit der mehrfachen Verwaltung von Benutzerdaten und auch die mehrfache Übertragung von Benutzerdaten entfallen. Die administrative Kontrolle über die Integrität der Benutzerdaten wird vereinfacht, da die Wartung (z. B. das Sperren von Benutzern) an zentraler Stelle und auf koordinierte und konsistente Weise erfolgt.

Neben Client-basierten Lösungen zur Verwaltung verschiedener Anmeldedaten existieren prinzipiell zwei unterschiedliche Lösungsansätze für Single Sign-On-Landschaften. Beide Ansätze basieren im Kern auf der Ausstellung eines verschlüsselten Tickets nach der erfolgreichen Authentifizierung des Benutzers, welches bei folgenden Kommunikationen die erneute Authentifizierung ersetzt. Um das mögliche Sicherheitsrisiko durch den Diebstahl eines solchen Tickets zu minimieren, wird das Ticket nur mit begrenzter Gültigkeit ausgestellt, nach deren Ablauf eine erneute Authentifizierung erfolgen muss. Zu unterscheiden sind die Ansätze durch die Art Ihres Aufbaus und den Grad der Zentralisierung:

• Beim Circle of Trust wird zwischen allen Systemen der SSO-Domäne explizit eine Vertrauensbeziehung hergestellt. Ist der Benutzer von einem der Systeme authentifiziert worden, so vertrauen die übrigen Systeme dieser durch das ausgestellte Ticket verifizierten Identität. Für den Aufbau einer derartigen Infrastruktur ist es erforderlich, dass alle Systeme untereinander kommunizieren können, die Anmeldeverfahren aller Systeme müssen entsprechend aufeinander abgestimmt werden. Die Benutzerverwaltung erfolgt bei diesem Ansatz ohne die Ergreifung  weiterer Maßnahmen weiterhin dezentral.
• Bei Einsatz eines zentralen Authentifizierungsservers dagegen erfolgt der Einstieg, also die interaktive Authentisierung des Benutzers, immer an diesem zentralen Einstiegspunkt. Bei einem nicht authentifizierten Zugriffsversuch auf ein System der SSO-Domäne, wird der Benutzer zunächst an den Anmeldeserver verwiesen. Dieser kann dann die Anmeldedaten mit einer zentralen Benutzerdatenbank abgleichen und stellt wiederum nach erfolgreicher Authentifizierung des Benutzers ein Ticket aus. Mit diesem Ticket ist im weiteren Verlauf dann der Zugriff auf die übrigen Systeme möglich. Es ist dabei für jedes beteiligte System nur die Kommunikation mit dem zentralen SSO-Server erforderlich, um die Gültigkeit eines Tickets zu verifizieren. Dabei können auch weitere Informationen über den Benutzer aus der zentralen Benutzerdatenbank abgefragt werden, eine dezentrale Verwaltung der für die einzelnen Systeme benötigten Benutzerdaten kann so vermieden werden (siehe auch Identity Management).