Only-Once | Single Sign-on

Einfach erklärt

Das so genannte „Only-Once“ und das „Single Sign-on“ ist das gleiche Prinzip, bei dem sich ein Internet-Nutzer nur einmal anmeldet und dann viele verschiedene Angebote von unterschiedlichen Anbietern nutzen kann. Wenn man sich z.B. einmal bei Google oder Facebook angemeldet hat, kann man sich mit dieser Anmeldung auch bei vielen anderen Anbietern einloggen, was das Surfen im Internet sehr viel bequemer macht. So sind das „Only-Once“ bzw. das „Single Sign-on“ bekannt geworden. Das Beispiel der ID.BERLIN erläutert mehr.

 

Etwas komplizierter erklärt

Mit SSO meldet sich ein Benutzer einmalig an und erhält Zugriff auf verschiedene Anwendungen, ohne dass er die Anmeldeinformationen für jede Anwendung erneut eingeben muss. Die SSO-Authentifizierung ermöglicht eine nahtlose Nutzung der Netzwerkressourcen. Die SSO-Mechanismen variieren je nach Anwendungstyp.

SSO eignet sich nicht für Systeme, die einen garantierten Zugriff erfordern, da der Verlust von Anmeldeinformationen zu einer Verweigerung des Zugriffs auf alle Systeme führt. Im Idealfall wird SSO mit anderen Authentifizierungstechniken wie Smartcards und One-Time-Passwort-Token verwendet.

 

Sehr technisch erklärt

Single Sign-On (SSO) ist eine Eigenschaft der Zugriffskontrolle mehrerer verwandter, aber unabhängiger Softwaresysteme. Mit dieser Eigenschaft meldet sich ein Benutzer mit einer einzigen ID und einem einzigen Kennwort an, um Zugang zu einem oder mehreren angeschlossenen Systemen zu erhalten, ohne unterschiedliche Benutzernamen oder Kennwörter zu verwenden, oder sich in einigen Konfigurationen nahtlos an jedem System anzumelden. Dies geschieht typischerweise mit dem Lightweight Directory Access Protocol (LDAP) und gespeicherten LDAP-Datenbanken auf (Verzeichnis-)Servern. Eine einfache Version von Single Sign-On kann über IP-Netzwerke mit Hilfe von Cookies erreicht werden, aber nur, wenn die Websites eine gemeinsame DNS-Eltern-Domain teilen.

Aus Gründen der Übersichtlichkeit ist es am besten, sich auf Systeme zu beziehen, die für jede Anwendung eine Authentifizierung erfordern, aber dieselben Anmeldeinformationen von einem Verzeichnisserver wie Directory Server Authentication verwenden, und auf Systeme, bei denen eine einzige Authentifizierung den Zugriff auf mehrere Anwendungen ermöglicht, indem das Authentifizierungstoken nahtlos an konfigurierte Anwendungen als Single Sign-On weitergegeben wird.

Umgekehrt ist Single Sign-Off die Eigenschaft, dass eine einzige Aktion des Abmeldens den Zugriff auf mehrere Softwaresysteme beendet.

Da verschiedene Anwendungen und Ressourcen unterschiedliche Authentifizierungsmechanismen unterstützen, muss Single Sign-On intern die für die initiale Authentifizierung verwendeten Credentials speichern und in die für die verschiedenen Mechanismen erforderlichen Credentials übersetzen.

Andere gemeinsame Authentifizierungsschemata sind OAuth, OpenID, OpenID, OpenID Connect und Facebook Connect. Diese Authentifizierungsschemata erfordern jedoch, dass der Benutzer jedes Mal, wenn er auf eine andere Website oder Anwendung zugreift, seine Anmeldedaten eingibt, damit er nicht mit SSO verwechselt werden muss.

Um genau zu sein, ist OAuth kein striktes Authentifizierungsschema, sondern ein Autorisierungsprotokoll: Es bietet den Nutzern die Möglichkeit, anderen Websites oder Anwendungen mit Hilfe von Zugriffsschlüsseln im eigenen Namen Zugang zu gewähren. Der Hauptzweck des Protokolls besteht darin, die für die Autorisierung erforderlichen Zugangsdaten auszutauschen und nicht die Authentifizierung selbst.