Single Sign On: Mehr Sicherheit, weniger Aufwand!

evolutionID bietet für sein Web-basierendes ID-Management-System IDfunction jetzt ein Login via Single Sign On (SSO): Der Anwender braucht sich nur noch einmal zu authentisieren, und auch der Administrator spart viel unnötigen Aufwand.

Gerade bei Cloud-Applikationen, die ja prinzipiell von überall und jedem erreichbar sind, ist eine sichere Authentisierung besonders wichtig. Dabei gilt: je länger und kryptischer das Passwort, desto besser, am besten ist eine Mehrfaktor-Authentisierung. Doch in ihrer Nutzerfreundlichkeit lassen viele herkömmliche Systeme noch zu wünschen übrig. Der Anwender muss sich bei jeder Applikation neu einloggen – und entsprechend viele Buchstaben-Zahlen-Sonderzeichen-Kombinationen im Kopf behalten. Dies führt häufig zu Login-Problemen durch vergessene Passwörter – oder Sicherheitslücken durch notierte Zugangscodes, die auf Post-it-Etiketten den Bildschirm säumen. Aber auch bei der Administration verursachen die nebeneinander herlaufenden Protokolle viel unnötigen Aufwand.

Deutlich sicherer, einfacher und schneller geht es mit SSO: Man braucht sich nur einmal einzuloggen, und alle Applikationen leiten die erforderlichen Zugangsberechtigungen aus den einmal generierten Daten ab. Das geht so schnell, dass der Anwender gar nicht merkt, dass jedes Mal eine erneute Identitätsprüfung stattfindet.

Bei klassischer On-Premise-Software funktioniert SSO über das Kerberos-Protokoll. Für moderne, Web-basierende Programme wie IDfunction wurde die so genannte Federated-Authentication-Technologie entwickelt. Sie basiert auf dem offenen Authentisierungsstandard OAUTH2. In IDfunction kommt das Feature OIDC zum Einsatz, eine Erweiterung von OAUTH2. Es authentisiert den User über einen vertrauenswürdigen, externen Identity Provider und liefert ein kleines Datenpaket mit den jeweiligen Identitätsinformationen zurück. Dann profitieren Anwender und Administratoren von allen SSO-Vorteilen.

Authentisierungsverfahren und Identity Provider können unter IDfunction für jeden User getrennt definiert werden. So lässt sich das Verfahren an die individuellen Sicherheitsanforderungen anpassen: Dem Administrator wird ein sehr sicheres Zwei-Faktor-Authentisierungs-Protokoll zugewiesen, während der Anwender, der nur ein Ausweisbild übermitteln möchte, sich einfach per Google- oder facebook-Account einloggen kann. Auch den Applikationen können, je nach ihrer Sicherheitsrelevanz, verschiedene Authentisierungsverfahren zugewiesen werden.

So wird SSO, gerade in Zeiten zunehmender Bedrohung im Cyber-Raum, ein wichtiger Meilenstein in der Erfolgsgeschichte Cloud-basierender Software: ein Konzept, das so viel Schutz bietet wie möglich, aber dem Anwender nur so viel zumutet wie nötig.