Suchen

Security-Tools – Quest One Identity Solution (Teil 2) Mögliche Single-Sign-on-Szenarien unter einer Oberfläche vereinen

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Single Sign-on ist ein vielversprechendes Verfahren zur Authentisierung und Autorisierung. Denn der Benutzer muss sich nur ein einziges Mal anmelden, um auf geschützte Anwendungen und Daten zuzugreifen. Dies vermeidet Fehler, sorgt für Überblick und Sicherheit und spart zudem Zeit sowie Helpdesk- und Verwaltungskosten. Dieser Beitrag befasst sich mit der Single-Sign-on-Funktion der Quest One Identity Solution.

Firma zum Thema

Mit der Quest One Identity Solution lassen sich sämtliche Szenarien des Single Sign-on realisieren.
Mit der Quest One Identity Solution lassen sich sämtliche Szenarien des Single Sign-on realisieren.
( Archiv: Vogel Business Media )

Um beim Single-Sign-on-Ansatz die Daten auf zentralen Dateisystemen und Datenbanken zu schützen, werden diese mit Benutzerrechten versehen. Nur die berechtigen Anwender erhalten einen Zugriff auf diese Daten. Jede der Datenquellen hat aber ihre eigenen Berechtigungsverfahren. Dies ist kaum zu vermeiden und liegt nicht zuletzt in der Logik der Daten und deren Strukturen.

In der Regel müssen sich die Benutzer bei ihrem ersten Zugang am System mit einem Benutzernamen und Passwort anmelden. Diese Benutzerangaben, die einen Account ausmachen, werden dann beim Zugriff auf die Dokumente, Dateien und Datensätze geprüft.

Bildergalerie

Doch die Kombination aus Benutzernamen und Passwort ist alles andere als sicher. Passwörter lassen sich unter Umständen leicht erraten oder durch Social Engineering in Erfahrung bringen.

Selbst strenge Kennwörter wie etwa komplizierte Kombinationen aus Buchstaben und Zahlen bringen oftmals nicht den erhofften Nutzen. Solche Passwörter sind zwar sicherer und können daher kaum erraten werden, doch dafür können sich die Nutzer streng reglementierte Kennungen schlechter merken. Nach Urlaub oder Krankheit steigt deshalb die Zahl der passwortbedingten Anfragen im Helpdesk. Die Alternative, sich diese Passwörter aufzuschreiben ist auch keine gute Lösung. Denn meist werden diese Zettel nur unzureichend von dem Zugriff Fremder geschützt.

Vielleicht kann man dem Benutzer noch nahebringen, sich ein sicheres Kennwort zu merken und dieses auch regelmäßig zu ändern. Bei mehreren Passwörtern wird es aber nahezu unmöglich, diese im Kopf zu behalten. Selbst wenn ein Anwender lediglich fünf Programme nutzt, die allesamt ein eigenes Rechtesystem mit der Zugangsverwaltung beinhalten, wird sich kaum ein Benutzer fünf sichere Passwörter merken können bzw. wollen oder diese verwechseln.

Schwierige Passwortvergabe

Selbst Eselsbrücken und Hilfen zur Gestaltung von Passwörtern versagen oftmals, weil unterschiedliche Systeme nunmal unterschiedliche Kriterien zur Passwortgestaltung aufweisen. Dies kann in der Länge des Passworts, im verwendeten Zeichensatz, mit oder ohne Sonderzeichen, in der Frequenz der Änderungen oder dem Abgleich mit früheren Passwörtern liegen.

Den Anwendern sind bei der Suche nach einer schlüssigen Vergabe und Verwaltung der Passwörter oftmals auch die Hände gebunden. Der Versuch sich auf ein oder wenige Passwort zu beschränken wird meist scheitern. Wenn beispielsweise ein Anwendungssystem mindestens acht Zeichen mit Sonderzeichen verlangt, das zweite aber nur sechs Zeichen und einen begrenzten Zeichensatz unterstützt, so muss für jede Anwendung ein eigenes Passwort verwaltet werden.

Seite 2: Single Sign-on schafft Überblick

Single Sign-on schafft Überblick

Ein vielversprechender Ansatz, um derartige Passwort-Probleme zu vermeiden, ist das Single Sign-on (SSO). Es verlangt vom Anwender eine einzige Anmeldung und ein einziges Passwort. Dies macht es für ihn einfacher und vermeidet gleichzeitig Fehler.

Wenngleich Single Sign-on ein eindeutiges Verfahren suggerieren mag, so verlangt es zur Umsetzung dennoch unterschiedliche Verfahren. Auf die verschiedenen Techniken und ihre Möglichkeiten gehen wir im Folgenden ein.

Single Sign-on im Kontext des Windows Active Directory

Die wohl bekannteste Umsetzung des SSO-Prinzips findet sich im Active Directory (AD) von Microsoft Windows. Sämtliche Rechte für den Zugriff auf die Dateien, Applikationen oder Drucker werden unter Windows an die Anmeldung des Benutzers geknüpft.

Bei der Verwendung des AD hat der Anwender tatsächlich nur einen Account (Benutzernamen) mit dem einen Passwort. Alle Anwendungen, die sich daran orientieren, beziehen sich dann zur Autorisierung auf das AD. Das Verfahren kann also nur greifen, wenn sich alle Anwendungen an diesen einen Berechtigungssatz des Benutzers halten.

Doch selbst für Microsoft erfordert die Umsetzung der SSO-Prinzipien erhebliche Änderungen an den Systemen. Und auch in reinen Microsoft-Infrastrukturen ist SSO keineswegs vollständig umgesetzt. Die Nutzer von Exchange wurden ursprünglich separat verwaltet. Erst durch Schemaerweiterungen des AD erfolgte auch die Verknüpfung der Exchange-Anwender mit den Windows-Anmeldekonten.

Datenbank-Anwendungen wie beispielsweise jene, die den SQLServer einbeziehen, basieren oft noch auf der SQL-Server-eigenen Authentifizierung. Dies beruht allerdings auch auf historischen Gegebenheiten. Besser sieht es da bei SharePoint aus. Die User-Berechtigungen für die Verwendung von SharePoint werden für interne Zugriffe meist zentral aus dem AD gezogen.

In Extranet-Szenarien wiederum nutzt man „Forms based authoring“ individuell und ohne AD. Diese Berechtigungen werden innerhalb von SharePoint verwaltet.

Seite 3: Enterprise Single Sign-on

Enterprise Single Sign-on

Beim Enterprise Single Sign-on (ESSO) ist der Betrachtungswinkel weiter als bei der reinen Windows AD-Umsetzung. Hierbei geht es um die Integration aller Anwendungen im Unternehmen; also auch jener, die keine Schnittstelle zum AD aufweisen und somit nicht über das AD authentisiert werden können.

Für all diese Anwendungen, die keinen direkten Bezug zum AD besitzen, erfolgt die Anmeldung im Hintergrund durch eine spezielle Software. Diese benötigt die Kenntnisse der Benutzernamen und Passwörter und sorgt im Auftrag des Anwenders für die Anmeldung.

Aus der Sicht des Benutzers muss dieser sich also auch hier nur ein einziges Mal anmelden, die Funktionen des Enterprise SSO-Login übernehmen alle weiteren Anmeldungen im Hintergrund. Das erfordert allerdings eine Verwaltungslogik im Hintergrund. Die Einfachheit für den Benutzer führt zu einem zusätzlichen Aufwand für die IT.

Synchronisation der Anmeldeinformation

Die dritte Variante des SSO wird durch die Synchronisation der Berechtigungen und Passwörter zwischen allen beteiligten Systemen realisiert. Dabei werden die Anmeldeinformationen in einem zentralen System verwaltet. Dieses synchronisiert die Benutzernamen und Passwörter dann mit allen beteiligten Applikationen.

Damit entfällt die Notwendigkeit mehrere Benutzernamen und Passwörter auf den unterschiedlichen Verzeichnissystemen zur verwalten. Dies passiert im Hintergrund.

Der Benutzer muss sich allerdings bei diesem Verfahren mehrere Male anmelden. Doch dabei greifen überall die gleichen Anmeldeinformationen.

Web Single Sign-on

Alle bisher erwähnten Techniken zur Umsetzung von SSO operieren im Unternehmensnetz, dem LAN. Die zunehmende Ausbreitung in Internetdiensten, mobile Arbeitsplätze und die Integration von Partnern und Fremdunternehmen verlangt aber auch einen Zugriff von außen, vom Internet, auf die Anwendungen im Unternehmen.

Die Problematik mit der mehrfachen Anmeldung bleibt dabei bestehen. Um auch hier eine Vereinfachung zu erreichten setzt man beim Web SSO auf eine zentrale Anwendung der Webnutzer auf die Unternehmensressourcen. Auch hierbei meldet sich der Webnutzer nur einmal an. Dazu steht ihm ein Webportal zur Verfügung. Im Hintergrund wird diese Anmeldung dann an die Applikationen weitergereicht.

Seite 4: Single Sign-on bietet für jeden etwas

Single Sign-on bietet für jeden etwas

Jede der genannten vier Techniken bezieht sich auf ein anderes IT-Szenario. Reine Microsoft-Umgebungen mögen mit der AD-Anmeldung allein zurechtkommen. Sobald allerdings weitere Applikationen ins Spiel kommen, wird Enterprise SSO benötigt. Für den Zugang aus dem Internet wiederum wird Web SSO benötigt.

Quest unterstützt in seiner Quest One Identity Solution alle vier Varianten der Anmeldung. Durch die Quest Authentication Services werden dabei die Informationen im AD erweitert. Damit lassen sich auch weitere Applikationen integrieren, die sich zur Authentisierung allerdings auf das AD bzw. die Quest-Erweiterungen beziehen müssen.

Eine weitere Komponente ist Quest SSO for Java. Dieses Modul schafft eine Integration mit Java-basierten Applikationen. Über diese und weitere Schnittstelle integriert der Hersteller ein breites Portfolio an Betriebssystemen, Anwendungen und Datenbanken. Dazu gehören beispielsweise UNIX-, Linux- und Mac-Systeme, Java-Applikationen, SAP GUI, SAP Netweaver, die Datenbanksystem DB2, Oracle DB, SQLServer und natürlich alle Windows-basierten Applikationen, die über das AD operieren.

Daneben stehen aber weitere Systeme, die nicht über das AD angebunden werden können, wie z.B. Oracle (kann integriert werden) oder Mainframe-Anwendungen. Diese werden über Enterprise Single Sign-on angebunden. Somit verbleibt nur noch die Synchronisation der Passwörter zwischen unterschiedlichen Systemen. Diese deckt Quest durch InSync ab. Das Werkzeug sorgt für einen automatisierten Abgleich der Passwörter in unterschiedlichen Systemen.

Fazit

Zur Authentisierung und Autorisierung bestehen unterschiedliche Techniken. Durch Single Sign-on werden die vielfältigen Zugriffsmöglichkeiten für Anwender unter einen Hut gebracht. Dies macht es im Umgang mit den Systemen leichter und vermeidet gleichzeitig Fehler. Aber auch für die IT-Administration ist die klarere Übersicht nur von Vorteil, entlastet den Helpdesk und spart Kosten.

(ID:2042824)