Die richtige Single sign-on-Strategie

Nur noch ein Passwort

05.04.2007 | Autor / Redakteur: Martin Kuppinger & Tim Cole / Peter Schmitz

Single Sign-On (SSO), ist eines der populärsten Themen im weiten Feld des Identity Managements, die es derzeit gibt. Klar, denn SSO hilft den Anwendern unmittelbar, weil sie nur noch einen Benutzernamen und ein Kennwort statt vieler unterschiedlicher „Credentials“ brauchen. Nur: Was ist der richtige Ansatz für SSO?

Wenn man den Markt betrachtet wird deutlich, dass es eine ganze Reihe von Ansätzen für das Single Sign-On gibt. Diese reichen von rein lokalen Lösungen, bei denen die Anmeldeinformationen (Credentials) lokal im System, auf einer Smartcard oder einem USB-Stick gespeichert werden, bis zu komplexen Ansätzen wie der Verwendung von Kerberos oder der Identity Federation.

Man unterscheidet insgesamt sechs Varianten für das Single Sign-On. Die einfachste sind die genannten lokalen Lösungen. Der Ansatz dort ist, dass die Client-Anwendung erkennt, wenn ein Anmeldedialog angezeigt wird. Sie übergibt die Anmeldeinformationen dann automatisch.

Mit dem gleichen Grundkonzept arbeiten auch server-basierende Lösungen, die oft auch als Enterprise-SSO-Produkte bezeichnet werden. Allerdings werden die Credentials dort in einem Verzeichnis oder einer Datenbank zentral gehalten. Das bringt Vorteile bezüglich der Sicherheit, der Wiederherstellung und auch der Steuerung des Single Sign-Ons. Gerade die Enterprise-SSO-Lösungen haben inzwischen auch einen beachtlichen Reifegrad erreicht und unterstützen alle gängigen Anwendungstypen.

Eine spezielle Form des Single Sign-Ons ist das Web Single Sign-On. Diese Lösungen, die als Teil von Web Access Management-Produkten kommen, werden vor bestehende Web-Anwendungen geschaltet. Sie übernehmen die Authentifizierung teilweise auch die Autorisierung.

Allen drei Varianten ist gemeinsam, dass sie kein „echtes“ Single Sign-On machen, weil auf der Ebene der Anwendungen weiterhin mit unterschiedlichen Benutzernamen und Kennwörtern gearbeitet wird. Aus Sicht der Benutzer wird aber ein solches Single Sign-On erreicht. Dieses, wie es Tim Cole von Kuppinger Cole + Partner so treffend formuliert hat, „Schummel-Single Sign-On“ hat den Vorteil, dass es keine Auswirkungen auf die Anwendungen hat.

„Echtes“ Single Sign-On

Ein ganz anderes Bild zeigt sich beispielsweise bei Kerberos als einem weiteren Lösungsansatz. Kerberos führt eine Authentifizierung im Zusammenspiel mit einer zentralen, als KDC (Kerberos Key Distribution Center) bezeichneten Komponente durch. Mit den erstellten Tickets kann anschließend auf Anwendungen mit Kerberos-Unterstützung („kerberized applications“) zugegriffen werden. Die Implementierung von Kerberos kann aber relativ komplex sein – und das Zusammenspiel zwischen Kerberos-Implementierungen unterschiedlicher Anbieter ist eine Herausforderung auch für sehr erfahrene Administratoren.

Ein weiterer Ansatz ist die Verwendung von digitalen Zertifikaten nach dem X.509-Standard. Auch hier gilt aber, dass Anwendungen diese unterstützen müssen. Außerdem müssen die Zertifikate jeweils noch auf Benutzerkonten in Verzeichnissen abgebildet werden. Der administrative Aufwand ist auch hier beträchtlich.

Der neueste Ansatz für das Single Sign-On ist die Verwendung der Identity Federation. Identity Federation trennt die Authentifizierung und Autorisierung ebenfalls. Der Vorteil ist, dass dabei standard-basierend unter Nutzung von Web Services gearbeitet wird. Federation ist daher, im Gegensatz beispielsweise zu Kerberos, einfach auch über die Unternehmensgrenzen hinweg einsetzbar. Und Federation ist vergleichsweise einfach sowohl bei web-basierenden als auch anderen Anwendungen zu implementieren.

Taktische und strategische Lösungen

Wenn man die verschiedenen Ansätze miteinander vergleicht wird deutlich, dass es hier einerseits taktische Ansätze gibt, die nicht zu einem Single Sign-On auf Anwendungsebene führen, aber für den Benutzer das Problem lösen, und strategische Ansätze. Letztere haben den Vorteil, dass sie beispielsweise mit einem Verzeichnis für die Authentifizierung arbeiten. Der Implementierungsaufwand ist aber deutlich höher.

Aus Sicht der Analysten von Kuppinger Cole + Partner ist, neben den speziellen Einsatzgebieten für das Web Single Sign-On, das Enterprise Single Sign-On das attraktivste Konzept als „taktische“ Lösung. Es ist ausgereift und lässt sich zentral steuern. „Taktisch“ steht dabei bewusst in Anführungszeichen, weil man auch über einen Zeitraum von fünf oder zehn Jahren nur in den wenigsten Unternehmen zu einer flächendeckenden, echten Single Sign-On-Lösung kommen wird. Es wird immer Altlasten geben. Strategisch ist dagegen die Identity Federation der Ansatz der Wahl, weil er die größte Flexibilität bietet und vergleichsweise einfach umsetzbar ist.

Eine Single Sign-On-Strategie sollte sich daher zwei Fragen beantworten: Wie kann man das Problem der Anwender schnell lösen? Und wie kommt man auf Dauer zu einem echten Single Sign-On. Mit einem Ansatz alleine wird das nicht gelingen – mit der richtigen Kombination dagegen schon.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2003837 / Mobile- und Web-Apps)