Denys Rudyi - Fotolia

Single Sign-On: Die Herausforderungen in hybriden Umgebungen

Wenn traditionelles Single Sign-On auf Cloud-Dienste trifft, können IDaaS-Lösungen sowohl Anwenderkomfort wie Unternehmenssicherheit gewährleisten.

Wie der Name schon sagt, soll Single Sign-On alle Authentifizierungen des Nutzers in eine einzige integrieren. Der Anwender erhält üblicherweise mit seinem Standard-Login Zugang auf eine Vielzahl von Diensten. Mit der stetig wachsenden Anzahl von Diensten und unterschiedlichsten Anwendungen ist dieses Wunschziel allerdings immer schwieriger zu erreichen.

Längst geht es nicht mehr nur darum, die Netzwerkanmeldung des Anwenders mit den lokalen Applikationen im Unternehmen zu verknüpfen. Mobile Anwendungen wollen inzwischen genauso berücksichtigt werden wie Cloud-Dienste, sprich SaaS-Lösungen. Wenn eine Single-Sign-On-Lösung nicht alle Dienste, die genutzt werden, integrieren kann, dann ist es eben kein Single-Sign-On-Ansatz im eigentlichen Sinn.

Traditionelles Enterprise-Single-Sign-On funktioniert folgendermaßen: In Microsoft-Domänen-Umgebungen meldet sich der Nutzer einmal am Netzwerk an und hat dann Zugriff auf unterschiedliche Ressourcen, ohne erneut sein Passwort eingeben zu müssen. Dabei werden die Zugangsdaten verschlüsselt gespeichert. Der Administrator kann dann in der Regel festlegen, für welche Anwendungen diese Zugangsdaten gleichfalls gelten, um dem User einen komfortablen und sicheren Zugang einzurichten.

Sowohl die Zugangsdaten selbst als auch die Information der verknüpften Anwendungen werden in einer zentralen SQL-Datenbank abgelegt. Die Single-Sign-On-Server können dann auf diese Anmeldeinformationen zugreifen, um die Authentifizierung des Anwenders durchzuführen. In besagten Microsoft-Umgebungen wird diese Infrastruktur durch den so genannten Master Secret Server vervollständigt. Dieser Server speichert den zentralen Schlüssel, mit dem sich die Anmeldeinformationen entschlüsseln lassen.

Single-Sign-On-Herausforderung Cloud-Dienste

Für heutige Unternehmensstrukturen mit mobilen Anwendungen und Cloud-basierten SaaS-Lösungen reicht dieser traditionelle Single-Sign-On-Ansatz jedoch nicht mehr aus. Die Notwendigkeit, weitere Dienste nahtlos anzubinden, hat zu neuen Lösungen geführt, wie beispielsweise IDaaS (Identity as a Service). Diese Dienste schließen die Lücke zwischen traditionellem Enterprise-SSO und Cloud-Angeboten. Zu den Anbietern gehören unter anderem Microsoft mit Azure Active Directory, aber auch Centrify oder Capgemini. Dabei kommen Technologien und Standards wie SAML (Security Assertion Markup Language), OpenID oder WS-Federation zum Einsatz. Die Konten der Anwender lassen sich in der Regel aus dem Active Directory importieren. Die Lösungen können so konfiguriert werden, dass sie nahtlosen Zugriff auf alle unterstützten SaaS-Produkte erlauben. Das geschieht dann entweder durch das Senden eines Tokens über einen Federation-Service oder die Übermittelung der verschlüsselten Anmeldeinformationen an die jeweilige Anmeldung des Dienstes.

Die IDaaS-Produkte unterstützen bekannte Anwendungen wie Microsoft Office 365, Dropbox oder die unterschiedlichen Google-Applikationen. Hilfreich: Der Zugriff kann auch für Anwender außerhalb des Active Directory eingerichtet werden. Wenn beispielsweise Kunden oder Lieferanten nur temporär Zugriff auf einen bestimmten Dienst haben sollen, kann der Benutzer nur innerhalb des IDaaS-Tools erstellt werden. Dort lässt sich dann der Zugriff auf die notwendigen Anwendungen einrichten. Die Lösungen bieten oft vielfältige Optionen. So lässt sich beispielsweise Multifaktor-Authentifizierung erzwingen. Oder der Admin kann den Zugriff auf bestimmte Anwendungen auf bestimmte IP-Adressbereiche begrenzen – etwa, wenn sensible Anwendungen nur vom Firmenbüro aus zugänglich sein sollen.

IDaaS für mehr Sicherheit

Da die Grenzen heutiger Unternehmensstrukturen im Hinblick auf SSO nicht an der eigenen Organisationsumgebung enden, müssen Single-Sign-On-Lösungen unterschiedlichste Anwendungsszenarien berücksichtigen können. In Sachen Kontrolle und zentrales Management sind IDaaS-Produkte da eine empfehlenswerte Lösung, wenn Unternehmen alle ihre genutzten Dienste unter einen Hut bekommen wollen.

Aber die Nutzung von IDaaS setzt natürlich eines voraus: IT-Abteilungen müssen wissen, welche Cloud-Dienste von wem im Unternehmen genutzt werden. Das ist ja aus Sicherheitsgesichtspunkten ohnehin sinnvoll. Daher kann die Einrichtung einer IDaaS-Lösung dazu beitragen, die Schatten-IT zu integrieren beziehungsweise zu reduzieren. Die Einführung eines Enterprise-SSO in Verbindung mit IDaaS kann daher die Informationssicherheit eines Unternehmens in der Gesamtheit deutlich erhöhen. Etwaige Sicherheitsrichtlinien lassen sich so leichter durchsetzen. Damit kann man beispielsweise Multifaktor-Authentifizierung erzwingen und hat eine bessere Kontrolle darüber, welche Daten das eigene Netzwerk wohin verlassen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Risiko Zugangsdaten: IAM für Cloud-Anwendungen

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen

Cloud-Sicherheit in bestehende Infrastrukturen integrieren

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close