Was ist Web-SSO und wie funktioniert es?
Veröffentlicht: 2019-08-12Der durchschnittliche Geschäftsanwender verwaltet laut Security Magazine 191 Passwörter für den beruflichen Gebrauch und Dutzende weitere für den privaten Gebrauch. Ein Unternehmen mit 50.000 Mitarbeitern kann bis zu 10 Millionen Passwörter von seinen Mitarbeitern verwenden. Bei so vielen Passwörtern stammen die Sicherheitsverletzungen, die sich durch Cyberangriffe ausbreiten, hauptsächlich von Schwachstellen, die durch Passwörter verursacht werden.
Die Risiken gehen von zu einfachen, leicht zu erratenden Passwörtern aus, die für mehr als ein System verwendet und nicht häufig genug geändert werden. Zu den Best Practices für die Sicherheit gehört, nicht dasselbe Kennwort auf mehreren Systemen zu verwenden. Die meisten Profis kennen diese Regel. Dennoch geben 61 % der durchschnittlichen Geschäftsanwender zu, überall dasselbe Passwort zu verwenden.
Ein weiteres Problem dieser Passwort-Aufblähung ist, dass Mitarbeiter enorm viel Zeit mit der Eingabe von Passwörtern verschwenden.
Eine Lösung für das Problem der Passwortverwaltung besteht darin, die Notwendigkeit zu beseitigen, so viele zu verwenden. Anstatt eine Gruppe von Passwörtern für den Zugriff auf verschiedene Online-Dienste zu verwenden, ist es möglich, eine zentralisierte Authentifizierungsmethode zu verwenden, die von einem „webbasierten Single-Sign-On“-System (Web SSO) stammt.
Was ist Web-SSO?
Ein Web-SSO-System ermöglicht es einem Benutzer, sich über den SSO-Webdienst mit einem Satz von Anmeldeinformationen für die Authentifizierung anzumelden, die aus einem eindeutigen Benutzernamen und einem Kennwort bestehen. Diese Authentifizierung ermöglicht ihnen dann den Zugriff auf viele andere webbasierte Anwendungen und passwortgeschützte Websites.
Online-Dienste und Websites, die SSO für die Authentifizierung zulassen, verlassen sich auf einen vertrauenswürdigen Drittanbieter, um die Identifizierung der Benutzer zu überprüfen.
Wie funktioniert Web-Single-Sign-On?
Ein Web-Single-Sign-On-System beruht auf einer Vertrauensbeziehung zwischen Online-Systemen und Websites.
Hier sind die Schritte, die von Web-SSO-Systemen zur Authentifizierung ausgeführt werden, wenn sich ein Benutzer bei einem Onlinedienst oder einer passwortgeschützten Website anmeldet:
- Verify Sign-In : Der erste Schritt besteht darin, zu überprüfen, ob der Benutzer bereits beim Authentifizierungssystem angemeldet ist. Wenn der Benutzer angemeldet ist, wird der Zugriff sofort gewährt. Ist dies nicht der Fall, wird der Benutzer zur Anmeldung an das Authentifizierungssystem weitergeleitet.
- Benutzeranmeldung : Für jede Sitzung muss sich der Benutzer zunächst mit einem eindeutigen Benutzernamen und Kennwort beim Authentifizierungssystem anmelden. Das Authentifizierungssystem verwendet ein Token für die Sitzung, das gültig bleibt, bis sich der Benutzer abmeldet.
- Authentifizierungsbestätigung : Nachdem der Authentifizierungsprozess durchgeführt wurde, werden die Authentifizierungsinformationen an den Webdienst oder die Website weitergeleitet, um eine Überprüfung des Benutzers anzufordern.
Web-SSO vs. Passwort-Vaulting
Web-SSO unterscheidet sich von einem sicheren Tresor mit verschiedenen Passwörtern für verschiedene Online-Dienste. Passwort-Vaulting schützt mehrere Passwörter durch einen einzigen Benutzernamen und ein einziges Passwort. Jedes Mal, wenn ein Benutzer zu einem neuen Onlinedienst geht, erfordert dies jedoch eine Anmeldung beim Dienst. Auch wenn die Formularfelder automatisch aus dem Passwort-Tresor ausgefüllt werden, ist dennoch ein Anmeldevorgang erforderlich.
Mit Web-SSO muss sich ein Benutzer nach der Authentifizierung nicht bei einem Webdienst anmelden, der dieses Authentifizierungssystem verwendet. Dies wird als Authentifizierungsprozess „Einmal anmelden/alle verwenden“ bezeichnet.
Erstellen einer Single-Log-in-Lösung von Grund auf neu
Für einige Anwendungen ist es möglich, von Grund auf eine einfache Single-Log-in-Lösung zu erstellen. Ein Beispiel für den Quellcode mit Java finden Sie auf codeburst.io für diejenigen, die diese Methode ausprobieren möchten. Es funktioniert mit Tokens. Ein Token ist eine Reihe zufälliger und einzigartiger Zeichen, die für die einmalige Verwendung erstellt wurden und schwer zu erraten sind.
Die Anmeldung eines Benutzers im Web-SSO-System erstellt eine neue Sitzung und ein globales Authentifizierungstoken. Dieses Token wird dem Benutzer gegeben. Wenn dieser Benutzer zu einem Webdienst geht, der eine Anmeldung erfordert, erhält der Webdienst eine Kopie des globalen Tokens vom Benutzer und prüft dann mit dem SSO-Server, ob der Benutzer authentifiziert ist.
Wenn sich der Benutzer bereits beim SSO-System angemeldet hat, wird das Token vom SSO-Server als authentisch verifiziert, der ein weiteres Token mit den Informationen des Benutzers an den Webdienst zurücksendet. Dies wird als lokales Token bezeichnet. Der Token-Austausch erfolgt automatisch im Hintergrund ohne Zutun des Benutzers.
Beliebte Website-Single-Sign-On-Lösungen
Für fortgeschrittenere Anwendungen gibt es viele robuste Single-Log-in-Lösungen. Die Authentifizierung mit Website-Single-Sign-On-Lösungen umfasst diese beliebten webbasierten SSO-Systeme, die von Capterra überprüft wurden:
- LastPass
- ADSelfService Plus
- Zugriffscloud der nächsten Generation
- SAP-Single-Sign-On
- JumpCloud-DaaS
- OneSign
- Bluink Enterprise
- SecureAuth
- SAML-Webbrowser-SSO-Profil
- OpenID
Vorteile von Web-SSO
Webbasiertes Single Sign-On ist nützlich, weil es praktisch ist. Es ist einfacher, schneller und die Passwort-Hilfeanfragen werden reduziert. Benutzer müssen sich nicht mehrere Passwörter merken und müssen sich nicht mehr bei jedem webbasierten Dienst einzeln anmelden.
Ein beliebtes Beispiel für Web-SSO ist für jeden Inhaber eines Google Gmail-Kontos verfügbar. Mit einer einzigen Anmeldung bei Google Mail erhalten diese Benutzer Zugriff auf alle Google-Produkte, die dem Benutzer zur Verfügung gestellt werden, ohne dass er sich erneut anmelden muss, bis er sich von seinem Google Mail-Konto abmeldet. Durch das Öffnen von Google Mail haben diese Nutzer sofortigen Zugriff auf ihr Google Drive, Google Fotos, Google Apps und ihre personalisierte Version von YouTube.
Mit Web-SSO wird die Zeit zurückgewonnen, die sonst für die Anmeldung bei den verschiedenen Diensten verschwendet würde. Beschwerden über Passwortprobleme sind bei Webservices praktisch ausgeschlossen. Der Prozess der Verbindung zu Online-Diensten funktioniert effizient auf allen Geräten, einschließlich Mobilgeräten, was die Produktivität verbessert.
Unternehmensweites Identitätszugriffsmanagement
Webbasiertes SSO kann von großen Organisationen zur Authentifizierung verwendet werden. Das Web-SSO ermöglicht dem Benutzer eine einmalige Anmeldung für den Zugriff auf private Unternehmensdaten und vernetzte Systeme sowie die Nutzung von Online-Ressourcen, die von anderen Entitäten bereitgestellt werden, die dieselben Authentifizierungsprotokolle akzeptieren.
SSO-Integration mit gängigen webbasierten Diensten
Externe Single-Sign-up-/Log-in-Dienste bieten die Integration mit vielen beliebten webbasierten Anwendungen wie Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk und vielen mehr.
Facebook und Google bieten SSO-Integration mit Tausenden von webbasierten Systemen. Jedes Mal, wenn sich ein Benutzer für einen neuen Dienst anmelden möchte, der über diese SSO-Integrationsfunktion verfügt, bietet der Anmelde-/Anmeldebildschirm einen Anmeldevorgang unter Verwendung von Informationen von Facebook SSO, Google SSO oder einem Nicht-SSO Option, indem das E-Mail-Konto eines Benutzers als Benutzername und ein vom Benutzer gewähltes Passwort verwendet werden.
Web-SSO-Integration mit Cloud-Diensten
Cloud-Dienste haben ihre Methoden zur Verwaltung des Cloud-Benutzerzugriffs und können auch die Authentifizierung von Drittsystemen akzeptieren. Beispielsweise bietet Amazon Web Services (AWS), der größte Anbieter von Cloud-Diensten der Welt, sein System der Identitätszugriffsverwaltung innerhalb von AWS an und ermöglicht die Benutzerauthentifizierung durch Drittsysteme.
Die Verbindung mit den Drittsystemen wird über den AWS IAM Authenticator Connector hergestellt. Mit dieser Funktion können Systemadministratoren aus vielen Diensten auswählen, die Web-SSO bereitstellen, wie z. B. die Verbindung mit Amazon EKS zu Open-Source-Kubernetes oder Github.
Sicherheitsrisiken von webbasiertem Single Sign-On
Es gibt Tools zur Verbesserung der IAM-Sicherheit, die Unternehmen beim Risikomanagement unterstützen. Web-SSO reduziert einige Risiken, während andere Risiken erhöht werden.
Beispielsweise sind Phishing-Angriffe weniger effektiv, da sich ein Benutzer, wenn er durch eine gefälschte Kopie einer Website getäuscht wird, nicht mit Benutzername und Passwort anmeldet. Wenn die Website gefälscht ist, wird ihr vom SSO-Server nicht vertraut und sie erhält kein lokales Sitzungstoken, wenn sie versucht, ein globales Benutzertoken zu übermitteln, um es anzufordern. In diesem Fall schlägt die Anmeldung von der gefälschten Seite automatisch fehl, was den Benutzer davor schützt, durch den Versuch getäuscht zu werden.
Das erhöhte Risiko kann durch einen einzigen Benutzernamen und ein einziges Passwort für das SSO-Authentifizierungssystem entstehen. Diese vertraulichen Daten müssen sehr gut geschützt werden, denn wenn sie gestohlen werden, können sie zum Einloggen in viele Online-Dienste verwendet werden.
Sicherheitsstrategien, die auf einer Zero-Trust-Richtlinie basieren, wie z. B. Multi-Faktor-Authentifizierung, automatische Kennwortrücksetzungen, die komplexe Kennwörter erfordern, die bei jeder Kennwortrücksetzung unterschiedlich sind, und Gerätezugriffskontrollen sind hilfreich, um die SSO-Systemsicherheit zu erhöhen
Fazit
Web-SSO ist sehr bequem und weit verbreitet. Allerdings werden nicht alle Web-SSO-Systeme gleichermaßen erstellt. Die sorgfältige Auswahl des SSO-Authentifizierungsanbieters ist die erste Regel für die Verwendung dieser Art der Authentifizierung. Jede Datenschutzverletzung dieses Drittanbieters könnte Anmeldeinformationen offenlegen, die auf viele Online-Systeme zugreifen können und möglicherweise ernsthaften Schaden anrichten können.
CTOs und IT-Administratoren werden ermutigt, regelmäßige IT-Sicherheitsüberprüfungen ihrer SSO-Authentifizierungsverfahren durchzuführen und eine Zero-Trust-Strategie zu verfolgen. Eine umfassende Sicherheitsüberprüfung umfasst eine eingehende Sicherheitsbewertung aller Drittanbieter, die Authentifizierungsdienste anbieten.