Wie Single Sign-on zu mehr Datensicherheit beiträgt

Ältere Anwendungen unterstützen keine modernen Identitätsprotokolle wie SAML und OpenID Connect. 

Wie kann Single Sign-on-Support für diese Anwendungen gewährleistet werden?

Eine Lösung kann sein, den gesamten eingehenden Datenverkehr zu diesen Anwendungen zuerst durch ein Zugangs-Gateway zu leiten (z.B. unseren nevisProxy). Dieses fordert den Benutzer zunächst auf, sich zu authentifizieren und erlaubt ihm erst dann den Zugriff auf die geschützte Anwendung. Ein guter Access-Gateway kommt mit vielen Backend-Anwendungen zurecht, sodass diese ohne Modifikation oder Neuprogrammierung hinter dem Access Gateway angeschlossen werden können. Das Access Gateway übersetzt sozusagen die Authentifizierungssprache in die der Backend-Anwendung:

• Der Benutzer versucht, auf eine ältere lokale Anwendung zuzugreifen.
• Das Nevis Access Gateway (on-premise) fängt die Anfrage ab, leitet den Benutzer zur Authentifizierung bei Nevis in der Cloud weiter (hier als Beispiel Nevis/Azure).
• Der authentifizierte Benutzer kann jetzt auf die Legacy-Anwendung vor Ort zugreifen

Nevis kann zudem Web-Anwendungen absichern, die weder SAML noch OpenID Connect nativ unterstützen. Dies ist häufig erforderlich, da Unternehmen, die in die Cloud wechseln, lokale Anwendungen und Legacy-Anwendungen unterstützen müssen, die alternative Mechanismen zur Authentifizierung benötigen. Hierzu gehören:

• HTTP-Header-basierte Authentifizierung
• Formularbasierte Authentifizierung
• URL-basierte Authentifizierung
• SAP-SSO-Anmeldetickets
• Dynamische X.509-Zertifikate

Federated SSO bezeichnet den Aufbau einer vertrauenswürdigen Verbindung zwischen diversen Unternehmen und Drittanbietern, die auf diesem Weg Identitäten austauschen und die Nutzer domänenübergreifend authentifizieren. Wenn zwei Domänen im Verbund sind, kann sich ein Benutzer bei einer Domäne authentifizieren und dann auf Ressourcen der anderen Domäne zugreifen, ohne sich gesondert anmelden zu müssen.

Wir sprechen von Federated SSO, wenn eines der drei wichtigsten Föderationsprotokolle verwendet wird, um die Single Sign-on-Funktionalität zu implementieren:

• SAML
• OpenID Connect
• WS-Federation (nicht mehr oft verwendet)

Wir bezeichnen Social Logins als Single Sign-on-Mechanismen, die von Unternehmen wie Google oder Facebook bereitgestellt werden. Dies sind technisch gesehen «Federated Login-Mechanismen».

Social Login ist eine spezielle Form von SSO, bei der soziale Netzwerkidentitäten als Authentifizierung genutzt werden. Die bekanntesten Social Logins sind:

• Facebook
• Google
• Apple-Anmeldung
• WeChat in China

Diese Funktion gibt dem Endanwender die Möglichkeit, sein Basiskonto mit mehreren zusätzlichen Identitätsanbietern zu verknüpfen. Dabei werden zwei vorhandene Benutzerprofile zu einem einzigen zusammengeführt. Beim Verknüpfen der Konten muss ein primäres Konto und ein sekundäres Konto angegeben werden. Dadurch kann sich ein Benutzer von jedem seiner Konten aus authentifizieren und wird trotzdem von allen verknüpften Apps erkannt.

So wird es möglich, sich bei jedem Identitätsanbieter anzumelden, ohne für jeden ein separates Profil zu erstellen. Benutzer können mit ihrem bestehenden Profil ferner ein passwortloses Login einrichten.