Das Kefk Network Wiki befindet sich im Testbetrieb.

Single Sign-On

Aus Kefk.

Wechseln zu: Navigation, Suche

Single Sign-On (kurz SSO, mitunter als „Einmalanmeldung“ übersetzt) bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen.

Gerade im Hinblick auf heutige Portale wird diese Möglichkeit aus Anwendersicht vorausgesetzt. Innerhalb von Portalen ist es auch möglich, dass die Identität des angemeldeten Benutzers an die das Portal konstituierenden Sichten weitervererbt wird, ohne dass dies der Sicht des Anwenders selbst bekannt gemacht worden wäre. Ein Benutzer besitzt immer genau eine einzige Identität in der realen Welt. Innerhalb eines Systems kann er aber unter verschiedenen Benutzern gespeichert sein. Ziel des Single Sign-Ons ist es, dass sich der Benutzer nur einmal unter Zuhilfenahme eines Authentifizierungsverfahrens (z.B. durch Passworteingabe) identifiziert. Danach übernimmt der SSO-Mechanismus die Aufgabe, den Anwender zu identifizieren. Eine weitere Anforderung an das Single Sign-On ist, dass es nicht schwächer sein darf als das Authentifizierungsverfahren selbst.

Inhaltsverzeichnis

Vor- und Nachteile des Single Sign-Ons

Vorteile

  • Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können
  • Sicherheitsgewinn, da sich Benutzer nur noch ein Passwort merken müssen und nicht mehrere, die sie sich nicht merken können.
  • Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss

Nachteile

  • Kann ein Angreifer die Identität eines Benutzers entwenden, so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung.

(In Realität kann ein Angreifer nach dem Entwenden der UserID+Passwort aber auch ohne Single Sign On schon auf mehr als 80% der Anwendungen zugreifen, da eben ca. 80% der Anwendungen mit den gleichen UserID+Password-Paaren bedient werden, denn ein Mensch will/kann/wird sich nicht beliebig viele Anmeldedaten merken.)

Lösungsansätze

Bild:Single sign on aproaches.png
Drei Lösungsansätze für Single Sign On. Links: Benutzer loggt sich auf einem Portal ein und bekommt Zugriff auf alle eingebundenen Dienste. Rechts: Benutzer loggt sich bei einem der Dienste an und bekommt ein Ticket für den gesamten 'Kreis der Vertrauten'. Mitte: Der Benutzer speichert alle Logins auf einem Datenträger oder im Netzwerk. Ein lokales Programm loggt ihn separat bei jedem Dienst, Portal oder Ticketing-System ein.

Portallösung

Der Benutzer kann sich auf einem Portal erstmals einloggen und wird dort authentifiziert und grob autorisiert. D. h. er bekommt ein Merkmal, das ihn gegenüber den innerhalb des Portals integrierten Anwendungen eindeutig ausweist. Bei Portalen, die auf Web-Technologien basieren, kann dies zum Beispiel in Form eines Cookies erfolgen. Auf dem Portal erhält dann der Benutzer so Zugang zu mehreren Webanwendungen, bei denen er sich nicht mehr separat einloggen muss. Beispiele sind Yahoo! oder MSN (Passport).

Ticketing System

Alternativ kann auch ein Netz aus vertrauenswürdigen Diensten aufgebaut werden. Die Dienste haben eine gemeinsame Identifikation für den einen Benutzer, die sie gegenseitig austauschen resp. der eingeloggte Benutzer trägt ein virtuelles Ticket auf sich. Die erste Anmeldung erfolgt an einem System aus diesem 'Circle of Trust', der Zugriff auf die anderen vertrauenswürdigen Systeme wird vom zuerst angesprochenen System ermöglicht. Ein Beispiel dafür ist Kerberos, sowie das Liberty Alliance Project.

Lokale Lösung

Benutzer können auch auf ihrem Arbeitsplatz einen Client installieren, welcher erscheinende Loginmasken sofort mit dem richtigen Benutzernamen und dem richtigen Passwort automatisch ausfüllt.

Dazu muss die Maske vorher trainiert oder definiert worden sein. Beim Training der Maske muss darauf geachtet werden, dass diese auch zweifelsfrei erkannt wird. Es muss sichergestellt werden, dass eine nachgemachte/ ähnliche Maske nicht fälschlicherweise bedient wird, sonst könnten über diesen Weg sensible Anmeldedaten "abgegriffen" werden. Realisiert wird diese zweifelsfreie Erkennung heute oft über zusätzliche Merkmale wie Aufrufpfade, Erstelldatum einer Maske, etc. die ein Fälschen einer Maske erschweren.

Die Benutzernamen und Passworte können

  • in einer verschlüsselten Datei lokal auf dem PC,
  • auf einer Chipkarte,
  • oder auf Single-Sign-On Appliances oder auf Single-Sign-On Server im Netzwerk

aufbewahrt werden. Ebenfalls ist es möglich, diese Daten in einen Verzeichnisdienst oder eine Datenbank auszulagern. Beispiele sind die in viele modernen Browsern integrierten 'Passwort-Manager', Microsofts Identity Metasystem, sowie viele kommerzielle Produkte. Dieser Ansatz wird zumeist bei unternehmens- bzw. organisationsinternen Single Sign-On Lösungen verfolgt, da oft proprietäre Anwendungen nicht mit Ticketing oder Portal-Lösungen verwendet werden können.

PKI

Eine Public-Key-Infrastruktur ist nur in gewisser Hinsicht als Single Sign-On System zu betrachten, eine PKI stellt eine Basis zur Authentifizierung für alle PKI-fähigen Anwendungen dar. Damit ist der einmalige Anmeldeprozess, das eigentliche Single Sign-On, nicht abgedeckt, aber das digitale Zertifikat ist das "Single-Tool" zur Authentisierung an verschiedenen Stellen. Oftmals wird ein ebensolches Zertifikat zur Primärauthentisierung für Ticketing oder lokale SSO-Lösungen verwendet.

Siehe auch

Weblinks

Wikipedia
 Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort Single_Sign-On, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.
Von „http://www.kefk.org/wiki/Single_Sign-On
Persönliche Werkzeuge