Single Sign On in der Cloud

Authentifizierung mit Tokens

Die Anmeldung an Webanwendungen in der Cloud läuft meistens ein wenig anders ab als bei den üblichen Anwendungen. Wenn Sie mit Anwendungen in der Cloud arbeiten und Ihre Anwender sich mit Diensten von Drittanbietern authentifizieren, zum Beispiel einer Windows Live ID oder an ADFS, melden sich Anwender am Authentifizierungsserver des Anbieters an und erhalten von diesem ein Token. Dieses übergibt der Anwender, beziehungsweise dessen Computer, in einfachen Umgebungen dann der Cloud-Anwendung, mit der er arbeiten will.

Der Entwickler der Anwendung muss zuvor festlegen, dass die Anwendung dem Token des Authentifizierungsanbieters vertraut und dass die Anwendung alle Benutzer akzeptiert, die ein Token vorweisen können. Das bedeutet, dass sich die Anwender nicht an der eigentlichen Anwendung in der Cloud authentifizieren, sondern nur besagtes Token übergeben. Das funktioniert recht einfach, wenn nur ein einzelner Anbieter im Einsatz ist. Sobald aber mehrere Anbieter zur Verfügung stehen und sich Anwender an diese anmelden, ist die Konfiguration nicht mehr so einfach.

Im erwähnten Szenario muss die Anwendung in der Cloud jedem Anbieter vertrauen, was die Anmeldung verzögert und die Anwendung unnötig belastet. Hier ist es sinnvoll, wenn die einzelnen Token-Anbieter an einen weiteren Dienst angebunden sind, dem wiederum die Webanwendung vertraut. Die Webanwendung vertraut dann aber nicht den Authentifizierungsanbietern, sondern nur dem zentralen Dienst, der wiederum den Authentifizierungsanbietern vertraut - eine "Vertrauensschleife" sozusagen. Das erleichtert die Authentifizierung und entlastet die Anwendung, die nur noch einem Dienst vertrauen muss.