Single Sign-on

Single Sign-on (engl. single sign-on, kurz SSO, mitunter als „Einmalanmeldung“ übersetzt) bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung an einem Arbeitsplatz auf alle Rechner und Dienste, für die er lokal berechtigt (autorisiert) ist, am selben Arbeitsplatz zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen. Wechselt der Benutzer den Arbeitsplatz, wird die Authentifizierung, wie auch die lokale Autorisierung, hinfällig.

Gerade im Hinblick auf heutige Portale wird diese Möglichkeit aus Anwendersicht vorausgesetzt. Innerhalb von Portalen ist es auch möglich, dass die Identität des angemeldeten Benutzers an die das Portal konstituierenden Sichten weitervererbt wird, ohne dass dies der Sicht des Anwenders selbst bekannt gemacht worden wäre. Ein Benutzer besitzt immer genau eine einzige physische Identität wie in der realen Welt. Innerhalb eines Systems kann der Benutzer als Individuum aber unter verschiedenen Benutzernamen (logische Identität) gespeichert sein. Ziel des Single Sign-ons ist es, dass sich der Benutzer nur einmal unter Zuhilfenahme eines Authentifizierungsverfahrens (z.B. durch Kennworteingabe) identifiziert. Danach übernimmt der SSO-Mechanismus die Aufgabe, den Anwender zu authentifizieren (die erkannte physische Identität zu bestätigen). Eine weitere Anforderung an das Single Sign-on ist, dass es nicht schwächer sein darf als das Authentifizierungsverfahren selbst.

Vor- und Nachteile des Single Sign-ons

Generelle Einschränkung bei mobiler Arbeit

• Wechselt der Benutzer bei mobiler Arbeit den Arbeitsplatz, muss er sich ohnehin am nächsten Arbeitsplatz erneut anmelden.
• Verlässt der Benutzer bei mobiler Arbeit den Arbeitsplatz, wird er meist über eine Zeitschranke von den bereits erlangten Zugriffen getrennt. Um dies bei Handlungspausen zu vermeiden, sind die Zeitschranken meist recht großzügig ausgelegt. Die Folge ist unweigerlich, dass unbeaufsichtigte Arbeitsplätze unbefugten Dritten hinreichend Zeit und Gelegenheit bieten, dem berechtigten Benutzer bereits gewährte Zugriffe unbefugt weiter zu nutzen.

Vorteile

• Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können
• Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss
• Sicherheitsgewinn, da beim Entfernen bzw. Aktualisieren eines Nutzers lediglich ein Benutzerkonto betrachtet werden muss.
• Sicherheitsgewinn, da sich der Nutzer anstelle einer Vielzahl meist unsicherer Passwörter nur noch eines merken muss. Somit kann dieses eine Passwort dafür komplex und sicher gewählt werden.
• Phishing-Attacken werden erschwert, da Benutzer UserID und Passwort nur an einer einzigen Stelle eingeben müssen und nicht mehr an zahlreichen, verstreuten Stellen. Diese eine Stelle kann leichter auf Korrektheit (URL, SSL-Serverzertifikat, etc.) überprüft werden.
• Es wird Bewusstsein geschaffen, wo man guten Gewissens UserID und Passwort eingeben kann. Benutzer eines Single Sign-ons werden schwerer dazu verleitet, fremden Seiten ihr (möglicherweise gemeinsam benutztes) Passwort anzuvertrauen.

Nachteile

• Hat ein Angreifer die Identität eines Benutzers entwendet, so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung.
• Eine Differenzierung der Zugriffsberechtigung je nach Kontext (Ort, Zeit, Auftrag, Rolle) erfolgt nicht.
• Verrat des generellen Passworts ist nur ein zusätzlicher Nachteil, sofern der Benutzer nicht ohnehin dasselbe Passwort für die meisten Dienste benutzt.
• Ein Provider, der ausschließlich Single Sign-on benutzt, wird potenzielle Kunden nicht gewinnen, welche das verwendete System nicht akzeptieren.
• Die Verfügbarkeit des Dienstes hängt nicht nur von der eigenen Verfügbarkeit, sondern auch von der Verfügbarkeit des Single-Sign-on-Systems ab.
• Eine gleichwertige Sign-off-Lösung ist nicht definiert, das Konto bleibt offen, bis ein Time-out wirksam wird.

Lösungsansätze

Drei Lösungsansätze für Single Sign-on. Links: Benutzer loggt sich auf einem Portal ein und bekommt Zugriff auf alle eingebundenen Dienste. Rechts: Benutzer loggt sich bei einem der Dienste an und bekommt ein Ticket für den gesamten 'Kreis der Vertrauten'. Mitte: Der Benutzer speichert alle Logins auf einem Datenträger oder im Netzwerk. Ein lokales Programm loggt ihn separat bei jedem Dienst, Portal oder Ticketing-System ein.

Medienlösung

Der Benutzer verwendet ein elektronisches Token, das die gesamte Passwortinformation oder mindestens einen Authentisierungsfaktor enthält und diese(n) automatisch an den Arbeitsplatz überträgt (elektronische Schlüsselanzeige mit manueller Tastatureingabe, elektronischer Schlüssel mit Kontaktübertragung (USB, 1wire etc.), drahtloser Schlüssel (Bluetooth-Token. Mobiltelefon mit Bluetooth-Funktion etc.)).

Portallösung

Der Benutzer kann sich auf einem Portal erstmals einloggen und wird dort authentifiziert und pauschal autorisiert. D. h. er bekommt ein Merkmal, das ihn gegenüber den innerhalb des Portals integrierten Anwendungen eindeutig ausweist. Bei Portalen, die auf Web-Technologien basieren, kann dies zum Beispiel in Form eines HTTP-Cookies erfolgen. Auf dem Portal erhält dann der Benutzer so Zugang zu mehreren Webanwendungen, bei denen er sich nicht mehr separat einloggen muss. Beispiele sind Yahoo! oder MSN (Passport).

Ticketing System

Alternativ kann auch ein Netz aus vertrauenswürdigen Diensten aufgebaut werden. Die Dienste haben eine gemeinsame Identifikation für den einen Benutzer, die sie gegenseitig austauschen resp. der eingeloggte Benutzer trägt ein virtuelles Ticket auf sich. Die erste Anmeldung erfolgt an einem System aus diesem 'Circle of Trust', der Zugriff auf die anderen vertrauenswürdigen Systeme wird vom zuerst angesprochenen System ermöglicht. Ein Beispiel dafür ist Kerberos, sowie das Liberty Alliance Project.

Lokale Lösung

Benutzer können auch auf ihrem regelmäßig benutzten Arbeitsplatz einen Client installieren, welcher erscheinende Loginmasken sofort mit dem richtigen Benutzernamen und dem richtigen Passwort automatisch ausfüllt. Damit wird die Authentisierung geschwächt, soweit keine weiteren Faktoren abgefragt werden.

Dazu muss die Maske vorher trainiert oder definiert worden sein. Beim Training der Maske muss darauf geachtet werden, dass diese auch zweifelsfrei zugeordnet wird. Es muss sichergestellt werden, dass eine nachgemachte bzw. ähnliche Maske nicht fälschlicherweise bedient wird, sonst könnten über diesen Weg sensible Anmeldedaten "abgegriffen" werden. Realisiert wird diese zweifelsfreie Erkennung heute oft über zusätzliche Merkmale wie Aufrufpfade, Erstelldatum einer Maske etc., die ein Fälschen einer Maske erschweren.

Die Benutzernamen und Passwörter können als Faktoren

• in einer verschlüsselten Datei lokal auf dem PC,
• auf einer Chipkarte,
• oder auf Single Sign-on Appliances oder auf Single Sign-on Servern im Netzwerk

aufbewahrt werden. Ebenfalls ist es möglich, diese Daten in einen Verzeichnisdienst oder eine Datenbank auszulagern. Beispiele sind die in viele modernen Browsern integrierten 'Passwort-Manager', Microsofts Identity Metasystem, sowie viele kommerzielle Produkte. Dieser Ansatz wird zumeist bei unternehmens- bzw. organisationsinternen Single-Sign-on-Lösungen verfolgt, da oft proprietäre Anwendungen nicht mit Ticketing oder Portal-Lösungen verwendet werden können.

PKI

Eine Public-Key-Infrastruktur ist nur in gewisser Hinsicht als Single-Sign-on-System zu betrachten, eine PKI stellt eine Basis zur Authentifizierung für alle PKI-fähigen Anwendungen dar. Damit ist der einmalige Anmeldeprozess, das eigentliche Single Sign-on, nicht abgedeckt, aber das digitale Zertifikat ist das "Single-Tool" zur Authentisierung an verschiedenen Stellen. Oftmals wird ein ebensolches Zertifikat zur Primärauthentisierung für Ticketing oder lokale SSO-Lösungen verwendet.

Siehe auch

• übergeordnet: Identitätsmanagement, Passwortverwaltung
• Anmeldedienste
  • Microsoft Passport (zentralisierte Lösung)
  • Liberty Alliance Project (dezentralisierte Lösung)
  • Shibboleth (Internet) (dezentralisierte Lösung)
  • OpenID, dezentrales Protokoll in der Informationstechnologie
• Kerberos, verteilter Authentifizierungsdienst (Netzwerkprotokoll)
• Central Authentication Service (CAS), eine auf Servlets basierende SSO-Lösung für Webapplikationen
• Lightweight Third-Party Authentication (LTPA) wird in IBM Websphere und Lotus Domino verwendet.

Weblinks

• Artikel über Einfache Lösungen zur Implementierung von Single Sign-on (SSO)
• Artikel: Single-Sign-On-Systeme - Eine Übersicht