Ratgeber Single-Sign-On (SSO)

Worauf es bei Single-Sign-On-Lösungen ankommt

1. Kriterium: Schnittstellen

Grundlegend für jedes SSO-Verfahren ist dessen Integrierbarkeit - oder anders ausgedrückt die Vielfalt an Schnittstellen -, die darüber entscheidet, ob man wirklich von einer einheitlichen, zentralen Anmeldung sprechen kann, oder ob gleich mehrere Anwendungen, die das Unternehmen einsetzt, nicht unterstützt werden.

Ein SSO-Verfahren, das tatsächlich alle eingesetzten Anwendungen einbinden kann, ist kaum zu finden. Doch die entscheidenden Anwendungen eines Unternehmens sollten durch die SSO-Lösung der Wahl unterstützt werden.

Zu beachten sind dabei insbesondere die von der jeweiligen SSO-Lösung unterstützten Standards, Verzeichnisdienste (wie Active Directory oder OpenLDAP), Identitätsdienste und Anwendungen im Netzwerk und in der Cloud, zudem mobile Anwendungen und Social-Media-Plattformen.

Unterstützte Standards und Identitätsdienste

Einer der führenden Identitätsdienste im Internet ist OpenID.
Einer der führenden Identitätsdienste im Internet ist OpenID.
Foto: Screenshot ClaimID / Oliver Schonschek

Lösungen wie CA CloudMinder, SurePassID oder IBM Tivoli Federated Identity Manager unterstützen Autorisierungsstandards für Web-, Desktop- und mobile Applikationen wie OAuth, die Web-Spezifikation WS-Federation und das SAML-Framework (Security Assertion Markup Language). Damit sind wichtige technische Voraussetzungen für den standardisierten Austausch von Zugangsdaten mit zahlreichen Applikationen gegeben. Die Vielfalt an unterstützten Anwendungen ist bei solchen SSO-Lösungen in der Regel groß.

Verschiedene SSO-Plattformen berücksichtigen auch Identitätsdienste wie OpenID, CloudMinder zum Beispiel auch die Verwendung der Facebook- oder Google-Zugangsdaten bei Websites, die diese Art der Anmeldung unterstützen. SSO-Plattformen, die zum Beispiel OpenID als Identitätsanbieter und Anmeldeverfahren vorsehen, können nach einmaligem Login des Nutzers die Anmeldung an allen Webseiten vornehmen, die den Identitätsdienst OpenID integriert haben. Welche dies sind, findet man unter anderem in einem OpenID-Verzeichnis.

Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an.
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an.
Foto: Screenshot Twitter.com / Oliver Schonschek

Soziale Netzwerke wie Facebook, Twitter und Google+ bieten sich inzwischen ebenfalls als Identitätsdienst an. Man spricht auch von Social-Log-In-Diensten. Die Lösung NetIQ Social Access zum Beispiel ermöglicht es Unternehmen, ihren Kunden oder Partnern eine Anmeldung mit einem der Social Log-Ins anzubieten, also für die Anmeldung die Zugangsdaten eines bestimmten sozialen Netzwerkes zu verwenden.

Unternehmensanwendungen, Mobile und Cloud

Neben Anwendungen, die im internen Netzwerk betrieben oder aus einer Cloud bezogen werden, sind es die mobilen Apps, die für den betrieblichen Einsatz zunehmend wichtig werden. IBM Security Access Manager for Cloud and Mobile zum Beispiel vereinheitlicht den Zugang zu verschiedenen Cloud-Diensten und die Anmeldung für bestimmte mobile Apps.

Lösungen wie SecureAuth IdP bieten für mehrere mobile Plattformen spezielle Apps an, die die Nutzer auf ihr Smartphone oder Tablet laden, um das Single-Sign-On mobil nutzen zu können. CloudAccess SaaS SSO, Symplified, Symantec O3 oder PingOne bieten eine zentrale Nutzeranmeldung für zahlreiche, unterstützte Cloud-Dienste, darunter Google Apps, Salesforce.com oder SharePoint.