Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Wie Single Sign On durch SAML den Login vereinfacht
Der Wildwuchs an Accounts und Passwörtern ist in vielen Unternehmen noch ungebrochen. Mit komfortablen Single-Sign On-Diensten erleichtern Sie nicht nur das Leben Ihrer Kollegen, sondern machen auch die Arbeit der IT-Abteilung erheblich einfacher und zugleich sicherer.
Typische Anwender sammeln im Laufe der Jahre meist Dutzende, wenn nicht gar Hunderte Benutzerkonten an. Für jedes dieser Konten benötigen sie Zugangsdaten und Passwörter. Das ist schon mit einem guten Passwort-Manager keine leichte Aufgabe. Erschwerend kommt noch hinzu, dass viele Menschen ihre Passwörter sehr einfach gestalten, beziehungsweise mehrfach verwenden – oder gar beides. Deshalb ist es oft nur eine Frage der Zeit, bis es zu einem schweren Vorfall kommt, bei dem Angreifer wichtige Daten manipulieren, stehlen oder verschlüsseln.
Wie einfach die einmalige Anmeldung per Single Sign On (SSO) funktioniert
Aber diese Probleme lassen sich lösen, zu den besonders vielversprechenden Ansätzen zählt Single Sign On. Dabei handelt es sich um einen zentralen Service, der sich zur einmaligen Anmeldung bei gleich mehreren unterschiedlichen Diensten nutzen lässt. Auf diese Weise benötigen User dann auch nur noch eine Form der Authentifizierung.
Ein bekanntes Beispiel für einen SSO-Anbieter ist Google. Wer sich einmal auf der Webseite des Internetgiganten eingeloggt hat, greift anschließend auf Dienste wie Gmail, Google Docs, Google Analytics oder Google Meet zu, ohne sich dort jeweils erneut anmelden zu müssen. Auch deutlich kleinere Unternehmen als Google nutzen bereits SSO, um ihren Mitarbeitern einen einfachen und zugleich sicheren Zugriff auf geschäftlich benötigte Anwendungen zu bieten. Dabei spielt es dann meist auch keine Rolle, ob diese Programme und Dienste On-Premise, remote oder via Cloud bereitgestellt werden.
Was sich hinter der Security Assertion Markup Language (SAML) verbirgt
Es gibt zahlreiche Standards und Protokolle, um SSO in der Praxis umzusetzen. Zu den wichtigsten für das Single Sign On genutzten Techniken zählt die Security Assertion Markup Language (SAML). Bei SAML handelt es sich um eine offene, auf XML basierende Technik zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen zwei und mehren Akteuren. Einer von ihnen kümmert sich um die Verwaltung der Identitäten, während der andere oder die anderen die gewünschten Dienste bereitstellen.
Die ersten Entwürfe der Security Assertion Markup Language sind über 20 Jahre alt. 2005 wurde die Version 2.0 veröffentlicht, die bis heute eine maßgebliche Rolle bei der Umsetzung von Single-Sign-On-Lösungen spielt. Im Kern arbeitet SAML mit drei Komponenten: dem User, dem Identity-Provider und dem Service-Provider. In der Regel möchte ein User mit dem Service-Provider Kontakt aufnehmen und dort einen oder mehrere Dienste nutzen. Bevor der Service-Provider diese Anfrage gewährt, nimmt er seinerseits Kontakt mit dem Identity-Provider (IdP). Der IdP prüft die Identität und Berechtigungen des Users und erteilt diesem die entsprechenden Zugangsberechtigungen. Diese werden an den Service-Provider geschickt, woraufhin dieser dem User Zugang gewährt.
Der Identity-Provider wird auch als „Single Source of Truth“ bezeichnet, da nur er allein Zugriffe gewähren kann. Zur Überprüfung der Identität des Nutzers verwendet er zum Beispiel Benutzername und Passwort. Nachdem er die Identität validiert hat, meldet der Identity-Provider dem Service-Provider, dass der Zugriff berechtigt ist. Dieser gibt ihn anschließend frei.
Warum sich Single Sign On mit SAML leicht implementieren lässt
Das Magische an SSO ist, dass sich dieser Mechanismus auf mehrere Service-Provider ausweiten lässt. Möchte der User also die Dienste eines zweiten Service-Providers nutzen, dann kann dieser ebenfalls den Identity-Provider kontaktieren und die Berechtigungen prüfen. Der Nutzer erspart sich dadurch den mehrfachen Aufwand des Einloggens bei verschiedenen Diensten. Auch das Umgekehrte funktioniert: Ein Service-Provider kann mehrere Identity-Provider einbinden. Solchen Lösungen begegnen Sie gelegentlich auf größeren Webseiten, auf denen sich Menschen via Google, Facebook oder Apple anmelden.
SAML feiert auch deswegen so viele Erfolge, weil das Protokoll sehr flexibel ist. Zum Beispiel will SAML keinen Einfluss darauf nehmen, wie eine Authentifizierung erfolgen soll. Die Auszeichnungssprache kümmert sich allein um die Kommunikation zwischen dem Identity- und dem Service-Provider. Es ist zudem möglich, eine im Unternehmen bereits existierende Datenbank mit Nutzerdaten einzubinden. Dadurch lässt sich SAML leicht in allen möglichen Umgebungen implementieren, ohne dass dafür aufwendige Anpassungen nötig wären. Das grundsätzliche Schema muss auch nicht geändert werden, wenn sich eine Firma zum Beispiel nachträglich für die Einführung einer Multi-Faktor-Authentifizierung (MFA) entscheidet.
Wie OpenID und OAuth Identitäten und Berechtigungen prüfen
Neben SAML ist oft von OpenID und OAuth die Rede. Die Techniken weisen durchaus Gemeinsamkeiten auf, aber auch eine Reihe von Unterschieden. Bei OpenID handelt es sich um einen Standard zur Authentifizierung. Damit lässt sich also prüfen, ob ein Anwender tatsächlich der ist, der er zu sein vorgibt. Wurde damit die Echtheit einer Person oder einer Entität bestätigt, kommt die Autorisierung ins Spiel. Sie wird für das Gewähren bestimmter Rechte des Nutzers benötigt. Meist ist eine Person nach der Anmeldung bereits autorisiert und kann zum Beispiel auf bestimmte Anwendungen oder Daten zugreifen. Dafür lässt sich OAuth 2.0 nutzen. Diese Technik erlaubt zum Beispiel den Zugriff auf die Personaldaten eines Unternehmens, aber nicht auf seine Finanzdaten, weil dafür andere (nicht zugeteilte) Berechtigungen nötig wären.
Wie SSO und SAML im modernen VPN und in der Cloud funktionieren
Ein Beispiel für eine auf SAML basierende SSO-Lösung hat der Sicherheitsanbieter NCP entwickelt. Das NCP-Gateway und der NCP Management Server arbeiten mit Identity-Providern (z.B. Okta oder Microsoft Azure AD) zusammen, die sämtliche Login-Anfragen der Anwender am SSO-Portal prüfen und gegebenenfalls genehmigen. Somit genügt ein einziger Login-Datensatz, um sich bei mehreren webbasierten Anwendungen einfach und zugleich sicher anzumelden.
Jetzt mehr zu modernen VPN-Lösungen mit Single Sign-on erfahren
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.