Unterstützte Standards und Identitätsdienste
Lösungen wie CA Secure Cloud, SurePassID oder IBM Tivoli Federated Identity Manager unterstützen Autorisierungsstandards für Web-, Desktop- und mobile Applikationen wie OAuth, die Web-Spezifikation WS-Federation und das SAML-Framework (Security Assertion Markup Language). Damit sind wichtige technische Voraussetzungen für den standardisierten Austausch von Zugangsdaten mit zahlreichen Applikationen gegeben. Die Vielfalt an unterstützten Anwendungen ist bei solchen SSO-Lösungen in der Regel groß.
Foto: OpenID
Verschiedene SSO-Plattformen berücksichtigen auch Identitätsdienste wie OpenID, CA Secure Cloud zum Beispiel auch die Verwendung der Facebook- oder Google-Zugangsdaten bei Websites, die diese Art der Anmeldung unterstützen. SSO-Plattformen, die zum Beispiel OpenID als Identitätsanbieter und Anmeldeverfahren vorsehen, können nach einmaligem Login des Nutzers die Anmeldung an allen Webseiten vornehmen, die den Identitätsdienst OpenID integriert haben. Welche dies sind, findet man unter anderem auf der OpenID-Webseite.
Foto: Screenshot Twitter.com / Oliver Schonschek
Soziale Netzwerke wie Facebook, Twitter und Google+ bieten sich inzwischen ebenfalls als Identitätsdienst an. Man spricht auch von Social-Log-In-Diensten. Die Lösung NetIQ Social Access zum Beispiel ermöglicht es Unternehmen, ihren Kunden oder Partnern eine Anmeldung mit einem der Social Log-Ins anzubieten, also für die Anmeldung die Zugangsdaten eines bestimmten sozialen Netzwerkes zu verwenden.
Unternehmensanwendungen, Mobile und Cloud
Neben Anwendungen, die im internen Netzwerk betrieben oder aus einer Cloud bezogen werden, sind es die mobilen Apps, die für den betrieblichen Einsatz zunehmend wichtig werden. IBM Security Access Manager for Cloud and Mobile zum Beispiel vereinheitlicht den Zugang zu verschiedenen Cloud-Diensten und die Anmeldung für bestimmte mobile Apps.
Lösungen wie SecureAuth IdP bieten für mehrere mobile Plattformen spezielle Apps an, die die Nutzer auf ihr Smartphone oder Tablet laden, um das Single-Sign-On mobil nutzen zu können. CloudAccess SaaS SSO, Symantec Identity Access Manager oder PingOne bieten eine zentrale Nutzeranmeldung für zahlreiche, unterstützte Cloud-Dienste, darunter Google Apps, Salesforce.com oder SharePoint.
- One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID. - Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter. - Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen. - One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können. - ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen. - CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können. - SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen. - Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.
2. Kriterium: Sicherheit
Bei einem SSO-Verfahren sollten Vorgaben für komplexe Passwörter und verschlüsselte Anmeldeverfahren Standard sein. Gelänge es einem Unbefugten, den zentralen Zugang zu knacken, hätte er in der Regel Zugang zu allen angebundenen Anwendungen.
Abhängig vom jeweiligen Schutzbedarf, den internen Richtlinien und den für das Unternehmen geltenden Compliance-Vorgaben sollten deshalb auch Mehr-Faktor-Authentifizierungen möglich sein. Bei Identity and Management Plattformen (IAM) wie SecureAuth IdP zum Beispiel kann das SSO-Passwort richtlinienabhängig um weitere Faktoren wie einem Einmal-Passwort (OTP) ergänzt werden.
Ob eine einfache Passwortanmeldung für die SSO-Anmeldung reicht oder nicht, entscheidet beispielsweise CA Secure Cloud auf Basis des aktuellen Risk Score. Dieser hängt unter anderem davon ab, wo sich der Nutzer aktuell befindet, welches Gerät für die Anmeldung genutzt wird, welche Aktionen der Nutzer vornehmen möchte und ob die geplanten Aktionen des Nutzers mit seinen Aktivitäten in der Vergangenheit zusammen passen.
3. Kriterium: Nutzerfreundlichkeit
Eine SSO-Lösung sollte sich auch durch ihre Nutzerfreundlichkeit auszeichnen - sowohl für Standardanwender als auch für Administratoren.
Bei Cloud-basierten Lösungen wie CloudAccess SaaS SSO, OneLogin oder PingOne entfallen Installationsaufwände; die zentrale Administration und die SSO-Anmeldung durch die Nutzer erfolgen über den Webbrowser. Allerdings ist bei Cloud-basierten SSO-Lösungen die hohe Verfügbarkeit des Dienstes von zentraler Bedeutung, ebenso die Betreibersicherheit, da die Identitätsdaten vor Unbefugten geschützt sein müssen.
CA Secure Cloud, SecureAuth IdP oder IBM Tivoli Federated Identity Manager ermöglichen unter anderem das Zurücksetzen des Nutzerpasswortes als Self-Service. Solche Funktionen, mit denen Nutzer bestimmte Zugangsprobleme wie ein vergessenes Passwort selbst lösen können, erhöhen die Nutzerakzeptanz und entlasten die Administratoren.