Unternehmen nutzen immer mehr Cloud-Dienste. Damit wächst die Menge an Accounts sowie auch die Menge an Logindaten. Wenn die Zahl an Benutzernamen und Passwörtern aber stetig zunimmt, erhöhen sich die Schnittstellen und damit die Sicherheitsrisiken. Single Sign-on mit privacyIDEA bietet deshalb die Möglichkeit, eine Identität zentral zu verwalten, um für mehr Sicherheit und Flexibilität zu sorgen.
Single Sign-on (kurz SSO) wird gerne missverstanden: Die Zuschreibung „Single” bedeutet nicht zwangsläufig, dass man sich als Nutzer nur noch ein einziges Passwort zu merken hätte – das gilt nur bedingt. Vielmehr meint SSO, dass sich ein User nur einmal anmelden muss, dann aber am selben Arbeitsplatz trotzdem Zugriff hat auf mehrere (Cloud-) Anwendungen – ohne weitere „Logins”.
Nicht zuletzt deshalb nutzen Unternehmen SSO gerne für die eigenen Webdienste. Ausschlaggebend ist aber eben nicht die Reduktion auf ein Passwort – dafür würde ein zentraler LDAP-Server ausreichen –, sondern der Umstand, dass sich Nutzer nur einmal anmelden. Mit SSO bieten Unternehmen ihren Angestellten so eine zentrale Anlaufstelle, wobei sie mit einem einzigen „Login” auf alle ERP-, Web- oder Cloud-Anwendungen zugreifen können, die sie für ihre (alltägliche) Arbeit benötigen.
Da laut Bitkom mittlerweile 44% aller Anwendungen und Arbeitsprozesse cloudbasiert ablaufen (bei Großunternehmen sogar 83 Prozent) und immer mehr Cloud-Services genutzt werden, wird der Bedarf an Single-Sign-on-Lösungen zunehmend wichtiger. Deshalb an dieser Stelle: ein Überblick, nicht über den Nutzen von SSO, sondern auch darüber, worauf Unternehmen achten müssen, wenn sie SSO sicher und effizient für ihre Organisation nutzen möchten.
Was ist Single Sign-on (SSO)?
Insbesondere der wachsende Bedarf an Cloud-Anwendungen führt zu einem vermehrten Einsatz von SSO. Der Grund dafür ist offensichtlich: Mehr Anwendungen (in der Cloud) bedeuten auch mehr Passwörter bzw. Logindaten für verschiedene Accounts. Single Sign-on bietet genau die Möglichkeit: sich nur einmal anmelden zu müssen, dann aber bei mehreren Anwendungen eingeloggt zu sein.
Welchen Nutzen kann ein Unternehmen aus SSO ziehen?
Unternehmen umschiffen damit „mehrere Problemfelder” auf einmal: So steigert ein Single-Sign-on-System den Wildwuchs an verschiedenen Accounts und Passwörtern, sodass der Bedienkomfort für die Mitarbeiter deutlich steigt. Diese merken sich bestimmt lieber einen „Master-Zugang” als viele, viele einzelne Zugänge.
Außerdem verschlechtern zu viele Account nachweislich die Passwort-Hygiene, das heißt: zu viele Nutzer verwenden dann oft dieselben Passwörter für unterschiedliche Portale, was der IT-Sicherheit nicht zugutekommen kann.
Verstreute „Account-Silos” über mehrere Lösungen hinweg – das möchten Unternehmen vermeiden, nicht nur weil es einfach unpraktisch, sondern auch unsicher ist. Mit SSO kann die IT-Abteilung neue User-Accounts einfach zentral erstellen und sogar einzelne Berechtigungen verwalten. Und wenn ein Mitarbeiter das Unternehmen verlässt, sind auch „Offboarding-Prozesse” zentral administrierbar.
Genau eben diese Reduzierung auf ein „Credential” – z.B. Passwort und Benutzername – minimiert das Risiko, dass Zugangsdaten verloren gehen oder aus leicht zu erratenden Passwörtern bestehen. Im Gegenteil: Richtig eingesetzt erhöht SSO die Produktivität, erleichtert ein effektives IT-Monitoring und sorgt unterm Strich für mehr Kontrolle und Sicherheit – während den Mitarbeitern mit einer Anmeldung Zugriff auf mehrere Systeme, Plattformen und andere unternehmensrelevante Ressourcen gewährt oder entzogen wird.
Wie kann man SSO im Unternehmen einsetzen?
Um aber reibungslos zu funktionieren, müssen Single-Sign-on-Dienste auf bestimmte Protokolle zugreifen. Davon gibt es nicht wenige – zum Beispiel SAML2, das intensiv bspw. von Salesforce eingesetzt wird, oder OpenID Connect (OIDC), das bspw. auch bei Google Anwendung findet.
SAML-Protokoll
Bei einem SAML-Protokoll erhält der User einen verschlüsselten Session-Cookie, mit dem sich der Nutzer über einen festgelegten Zeitraum bei bestimmten (Cloud-) Diensten authentifizieren kann. Der große Vorteil dabei ist, dass der externe Dienst keine Verbindung zum internen Authentifizierungsdienst (Identity Provider – IdP) aufbauen muss – es genügt die Verbindung zum Browser des Users.
OAuth2 mit OpenID Connect
Das OAuth2-Protokoll wird u.a. bei Google-Diensten wie Gmail oder Google Drive zur Autorisierung verwendet. Bei OpenID Connect handelt es sich um eine Weiterentwicklung gängiger Protokolle wie OpenID oder SAML. Da es allgemein als einfach und sicher gilt, entwickelt sich OAuth2 mit OpenID Connect immer mehr zum Standard für die Autorisierung von API-Zugriffen im Web (und auch bei Apps).
Dabei erhalten Nutzer einen singulären Zugangsschlüssel der in Verbindung mit dem OAuth2-Protokoll den Login ermöglicht. So werden Informationen über die Identität des Users sowie die erbrachte Authentifizierung über einen OpenID-spezifischen Token, auch ID Token genannt, an einen Client zurückgegeben. Das Login gilt dann nur für diesen einen Client.
Individuelle Autorisierungsprozesse – mit Keycloak
Da Unternehmen aber oft unterschiedliche IT-Security- und Compliance-Vorgaben zu erfüllen haben, nutzen sie sog. Identitäts- oder Zugriffsmanagement-Systeme – wie z.B. die Open-Source-Lösung Keycloak, die übrigens die beiden oben genannten Protokolle nutzt und von JBoss unter der Leitung von RedHat entwickelt wird. Wenn die rollenbasierte Autorisierung also nicht den betriebsinternen Bedürfnissen entspricht, so bietet Keycloak justierbare Autorisierungsdienste an.
Auf diese Weise können Unternehmen die Berechtigungen für alle Ihre Dienste über die Keycloak-Verwaltungskonsole verwalten und haben die Möglichkeit, genau die Richtlinien zu definieren, die sie gerade benötigen.
Das Thema Sicherheit – Chance und Hürde zugleich
Dass Single-Sign-on-Systeme die Sicherheit grundsätzlich erhöhen ist unbestritten: sie reduzieren den Passwort-Dschungel, verhindern die Entstehung von (Account-) Silos, erhöhen die Produktivität und erleichtern Offboarding-Prozesse. Doch ein großes Restrisiko bleibt: Ein erfolgreicher Angriff würde immer dazu führen, dass mit einem Schlag mehrere Anwendungen betroffen sind.
Diese Hürde lässt sich aber überwinden, indem man zusätzlich eine 2-Faktor-Authentifizierungslösung für SSO integriert. Mit privacyIDEA als authproc-Filter (in simpleSAMLphp) können Anwender beispielsweise den Authentifizierungsprozess auf vielfältige Weise erweitern und individualisieren. Der erste Faktor wird dabei gegen die Authentifizierungsquelle (z.B. LDAP) und der zweite gegen privacyIDEA authentifiziert.
Funktionen, die Keycloak und privacyIDEA bieten
Seit kurzem kann man sich auch bei Keycloak mit einem zweiten Faktor von privacyIDEA anmelden. Dabei ermöglichen folgende Funktionen ein sicheres und benutzerfreundliches Einloggen:
- Sicheres Anmelden mit SSO
- Ausschluss bestimmter Gruppen
- Automatisches Token Enrollment (falls ein Nutzer noch keinen Token hat)
- Seit privacyIDEA 3.0: Unterstützung von Pushtoken
- Keine Eingabe notwendig: Benutzerbestätigung via Smartphone
Fazit
Das Konzept Single Sign-on war in vielen Organisationen immer schon ein großes Thema. Wenn Unternehmen heute gängige Software- und Cloud-Lösungen wie Office 365, Box oder Slack nutzen, bedeutet das nicht, dass sie für diese Services auch unterschiedliche Passwörter und Login-Daten benötigen bzw. haben möchten.
Insbesondere mit Blick auf kulturelle Themen wie Bring your own device (BYOD) oder die Zunahme dezentraler Arbeitsplätze, die von der internen IT nicht mehr kontrolliert werden können, wird der Einsatz von SSO immer mehr zu einer Grundvoraussetzung, um nachvollziehbare Authentifizierungsprozesse sicher und flexibel zu gestalten.
