Suchen

Security-Tools – Quest One Identity Solution (Teil 2)

Mögliche Single-Sign-on-Szenarien unter einer Oberfläche vereinen

Seite: 2/4

Firma zum Thema

Single Sign-on schafft Überblick

Ein vielversprechender Ansatz, um derartige Passwort-Probleme zu vermeiden, ist das Single Sign-on (SSO). Es verlangt vom Anwender eine einzige Anmeldung und ein einziges Passwort. Dies macht es für ihn einfacher und vermeidet gleichzeitig Fehler.

Wenngleich Single Sign-on ein eindeutiges Verfahren suggerieren mag, so verlangt es zur Umsetzung dennoch unterschiedliche Verfahren. Auf die verschiedenen Techniken und ihre Möglichkeiten gehen wir im Folgenden ein.

Bildergalerie

Single Sign-on im Kontext des Windows Active Directory

Die wohl bekannteste Umsetzung des SSO-Prinzips findet sich im Active Directory (AD) von Microsoft Windows. Sämtliche Rechte für den Zugriff auf die Dateien, Applikationen oder Drucker werden unter Windows an die Anmeldung des Benutzers geknüpft.

Bei der Verwendung des AD hat der Anwender tatsächlich nur einen Account (Benutzernamen) mit dem einen Passwort. Alle Anwendungen, die sich daran orientieren, beziehen sich dann zur Autorisierung auf das AD. Das Verfahren kann also nur greifen, wenn sich alle Anwendungen an diesen einen Berechtigungssatz des Benutzers halten.

Doch selbst für Microsoft erfordert die Umsetzung der SSO-Prinzipien erhebliche Änderungen an den Systemen. Und auch in reinen Microsoft-Infrastrukturen ist SSO keineswegs vollständig umgesetzt. Die Nutzer von Exchange wurden ursprünglich separat verwaltet. Erst durch Schemaerweiterungen des AD erfolgte auch die Verknüpfung der Exchange-Anwender mit den Windows-Anmeldekonten.

Datenbank-Anwendungen wie beispielsweise jene, die den SQLServer einbeziehen, basieren oft noch auf der SQL-Server-eigenen Authentifizierung. Dies beruht allerdings auch auf historischen Gegebenheiten. Besser sieht es da bei SharePoint aus. Die User-Berechtigungen für die Verwendung von SharePoint werden für interne Zugriffe meist zentral aus dem AD gezogen.

In Extranet-Szenarien wiederum nutzt man „Forms based authoring“ individuell und ohne AD. Diese Berechtigungen werden innerhalb von SharePoint verwaltet.

Seite 3: Enterprise Single Sign-on

(ID:2042824)