SSO

SSO (Single Sign-On) ist ein Authentifizierungsverfahren, das es dir ermoeglicht, dich einmalig anzumelden und anschliessend auf mehrere Anwendungen und Dienste zuzugreifen, ohne deine Zugangsdaten erneut eingeben zu muessen. Statt separate Passwoerter fuer jede Anwendung zu verwalten, authentifizierst du dich bei einem zentralen Identitaetsanbieter (Identity Provider), der deine Identitaet gegenueber anderen Systemen bestaetigt.

In Unternehmensnetzwerken ist SSO laengst Standard: Du meldest dich morgens einmal an deinem Arbeitsplatz an und kannst dann auf E-Mail, Intranet, Zeiterfassung und alle anderen Unternehmensanwendungen zugreifen. Active Directory mit Kerberos-Authentifizierung ist ein klassisches Beispiel fuer SSO in Windows-Netzwerken.

Funktionsweise von Single Sign-On

Das Grundprinzip von SSO basiert auf einem Vertrauensverhaeltnis zwischen mehreren Systemen. Ein zentraler Identitaetsanbieter (Identity Provider, IdP) uebernimmt die Authentifizierung der Benutzer. Die Dienstanbieter (Service Provider, SP) - also die Anwendungen, auf die du zugreifen moechtest - vertrauen diesem Identitaetsanbieter und akzeptieren seine Authentifizierungsbestaetigung.

Der typische SSO-Ablauf funktioniert so: Du versuchst, auf eine geschuetzte Anwendung zuzugreifen. Die Anwendung erkennt, dass du nicht angemeldet bist, und leitet dich zum Identitaetsanbieter weiter. Dort gibst du deine Zugangsdaten ein und erhaeltst nach erfolgreicher Authentifizierung ein digitales Token oder eine Assertion. Mit diesem Token wirst du zurueck zur Anwendung geleitet, die es validiert und dir Zugriff gewaehrt.

Die wichtigsten SSO-Protokolle

Fuer die technische Umsetzung von SSO haben sich verschiedene Protokolle und Standards etabliert. Die drei wichtigsten sind SAML, OAuth 2.0 und OpenID Connect. Jedes Protokoll hat seine Staerken und eignet sich fuer unterschiedliche Einsatzszenarien.

SAML (Security Assertion Markup Language)

SAML 2.0 ist ein XML-basierter Standard, der speziell fuer webbasiertes Single Sign-On in Unternehmensumgebungen entwickelt wurde. Das Protokoll funktioniert durch den Austausch von digital signierten XML-Dokumenten, sogenannten Assertions, zwischen Identitaetsanbieter und Dienstanbieter.

SAML wird haeufig fuer den Zugriff auf Unternehmensanwendungen wie Salesforce, SAP oder Microsoft 365 eingesetzt. Der grosse Vorteil: SAML ist ausgereift, weit verbreitet und bietet robuste Sicherheitsmechanismen durch XML-Signaturen und Verschluesselung. Der Nachteil ist die hohe Komplexitaet des XML-basierten Formats.

OAuth 2.0

OAuth 2.0 ist streng genommen ein Autorisierungs-Framework und kein Authentifizierungsprotokoll. Es wurde entwickelt, um Drittanwendungen kontrollierten Zugriff auf Benutzerressourcen zu ermoeglichen, ohne dass der Benutzer sein Passwort preisgeben muss.

Ein typisches Beispiel: Du meldest dich bei einer neuen App an und erlaubst ihr, auf deine Google-Kontakte zuzugreifen. Die App erhaelt ein Access Token, das ihr begrenzten Zugriff auf bestimmte Ressourcen gewaehrt - ohne dein Google-Passwort zu kennen. OAuth 2.0 beantwortet die Frage "Was darf diese Anwendung tun?", nicht "Wer ist der Benutzer?".

OpenID Connect (OIDC)

OpenID Connect baut auf OAuth 2.0 auf und ergaenzt es um eine Authentifizierungsschicht. Es verwendet JSON Web Tokens (JWT) als ID-Tokens, die Informationen ueber den authentifizierten Benutzer enthalten.

OIDC ist heute der bevorzugte Standard fuer moderne Webanwendungen und mobile Apps. Wenn du dich mit "Mit Google anmelden" oder "Mit Microsoft anmelden" bei einer Website authentifizierst, nutzt du in den meisten Faellen OpenID Connect. Der Standard kombiniert die Vorteile von OAuth 2.0 mit klaren Vorgaben fuer die Benutzerauthentifizierung.

Vergleich der SSO-Protokolle

Die Wahl des richtigen Protokolls haengt von deinem Einsatzszenario ab. Die folgende Tabelle gibt dir einen Ueberblick ueber die wichtigsten Unterschiede:

Fuer neue Projekte empfiehlt sich in den meisten Faellen OpenID Connect. SAML bleibt relevant fuer die Integration mit aelteren Unternehmensanwendungen, die OIDC noch nicht unterstuetzen. OAuth 2.0 allein genuegt, wenn du nur Autorisierung (API-Zugriff) benoetigst, nicht jedoch die Identitaet des Benutzers.

Vorteile von Single Sign-On

SSO bietet sowohl fuer Benutzer als auch fuer IT-Abteilungen erhebliche Vorteile. Die einmalige Anmeldung verbessert die Benutzerfreundlichkeit deutlich - niemand moechte sich zehn verschiedene Passwoerter merken muessen.

• Verbesserte Benutzerfreundlichkeit: Eine Anmeldung fuer alle Anwendungen
• Hoehere Sicherheit: Weniger Passwoerter bedeuten weniger Schwachstellen fuer Passwort-Kompromittierung
• Zentrale Zugriffskontrolle: Administratoren verwalten Benutzerrechte an einer Stelle
• Weniger Support-Aufwand: Deutlich weniger Anfragen zu vergessenen Passwoertern
• Vereinfachtes Onboarding und Offboarding: Neue Mitarbeiter erhalten schnell Zugriff, ausscheidende Mitarbeiter werden zentral gesperrt
• Bessere Audit-Moeglichkeiten: Alle Anmeldungen werden zentral protokolliert

Sicherheitsaspekte und Risiken

Trotz der vielen Vorteile birgt SSO auch Risiken, die du bei der Implementierung beruecksichtigen musst. Der Identitaetsanbieter wird zum Single Point of Failure: Faellt er aus, koennen Benutzer auf keine der verbundenen Anwendungen zugreifen. Ebenso gefaehrdet ein kompromittierter SSO-Account alle verbundenen Systeme.

Deshalb ist Multi-Faktor-Authentifizierung (MFA) bei SSO-Systemen besonders wichtig. Wenn ein Angreifer deine SSO-Zugangsdaten erbeuten wuerde, haette er ohne den zweiten Faktor keinen Zugriff. Moderne Identity Provider wie Microsoft Entra ID oder Okta bieten zusaetzlich risikobasierte Authentifizierung: Bei ungewoehnlichen Anmeldeversuchen (neues Geraet, anderer Standort) werden zusaetzliche Verifizierungsschritte angefordert.

Gaengige SSO-Loesungen

Der Markt fuer Identity-Management-Loesungen bietet verschiedene Optionen - von Cloud-Diensten bis hin zu selbst gehosteten Open-Source-Loesungen.

Microsoft Entra ID

Microsoft Entra ID (frueher Azure Active Directory) ist die bevorzugte Loesung fuer Unternehmen mit Microsoft-Infrastruktur. Es integriert sich nahtlos mit Microsoft 365, unterstuetzt sowohl SAML als auch OpenID Connect und bietet umfangreiche Conditional-Access-Richtlinien.

Okta

Okta ist ein fuehrender Identity-as-a-Service-Anbieter (IDaaS) mit umfangreichen Integrationmoeglichkeiten. Die Plattform unterstuetzt hunderte von Anwendungen out-of-the-box und ist besonders in groesseren Unternehmen verbreitet, die eine herstellerunabhaengige Loesung suchen.

Keycloak

Keycloak ist eine Open-Source-Loesung von Red Hat, die sich fuer Unternehmen eignet, die ihre Identitaetsverwaltung selbst hosten moechten. Es unterstuetzt SAML, OpenID Connect und LDAP-Integration vollstaendig und laesst sich in Kubernetes-Umgebungen gut betreiben.

SSO in der Praxis

Als Fachinformatiker fuer Systemintegration wirst du haeufig mit SSO-Konfigurationen zu tun haben - sei es beim Einrichten von SAML-Verbindungen zwischen Unternehmensanwendungen oder bei der Anbindung neuer Cloud-Dienste an Microsoft Entra ID. Das Verstaendnis der verschiedenen Protokolle und ihrer Flows hilft dir bei der Fehlersuche, wenn Authentifizierungsprobleme auftreten.

Auch Fachinformatiker fuer Anwendungsentwicklung benoetigen SSO-Kenntnisse: Moderne Webanwendungen muessen sich in bestehende Identitaetsinfrastrukturen integrieren. Bibliotheken wie Passport.js (Node.js) oder Spring Security (Java) vereinfachen die Implementierung von OIDC in eigenen Anwendungen erheblich.

Quellen und weiterfuehrende Links

• Microsoft Learn: Single Sign-On - Offizielle Microsoft-Dokumentation zu SSO
• OpenID Connect Spezifikationen - Offizielle OIDC-Standards
• RFC 6749: OAuth 2.0 Authorization Framework - OAuth 2.0 Spezifikation
• RFC 7519: JSON Web Token (JWT) - JWT-Standard
• OASIS SAML 2.0 Dokumentation - SAML 2.0 Spezifikation
• oauth.net: OAuth 2.0 - Uebersicht und Ressourcen zu OAuth 2.0