Only-Once | Single Sign-on

Einfach erklärt

Das so genannte „Only-Once“ und das „Single Sign-on“ ist das gleiche Prinzip, bei dem sich ein Internet-Nutzer nur einmal anmeldet und dann viele verschiedene Angebote von unterschiedlichen Anbietern nutzen kann, wobei die Daten eben nur einmal und an einer Stelle gespeichtert sind und nicht wiederholt eingegeben werden müssen. Wenn man sich z.B. einmal bei Google oder Facebook angemeldet hat, kann man sich mit dieser Anmeldung auch bei vielen anderen Anbietern einloggen, was das Surfen im Internet sehr viel bequemer macht. So sind das „Only-Once“ bzw. das „Single Sign-on“ bekannt geworden. Das Beispiel der ID.BERLIN und der Wien.ID erläutert mehr. Das Single Sign-on wird auch SSO genannt und mitunter auch als „Einmalanmeldung“ bezeichnet. Die Vorteil des SSO sind:

  • Erhebliche Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Dienste zugreifen zu können.
  • Starker Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss.
  • Großer Sicherheitsgewinn, da sich der Nutzer anstelle einer Vielzahl meist unsicherer Passwörter nur noch eines merken muss, somit kann dieses eine Passwort dafür komplex und sicher gewählt werden.
  • Computer-Attacken werden erschwert, da Anwender ihren Benutzernamen und Passwort nur an einer einzigen Stelle eingeben müssen und nicht mehr an zahlreichen, verstreuten Stellen. Diese eine Stelle kann leichter auf Korrektheit (URL, SSL-Serverzertifikat etc.) überprüft werden.
  • Es wird Bewusstsein geschaffen, wo der Nutzer guten Gewissens Nutzername und Passwort eingeben kann. Benutzer eines Single-Sign-on-Systems werden seltener dazu verleitet, fremden Seiten ihr Passwort anzuvertrauen.

 

Etwas komplizierter erklärt

Mit SSO meldet sich ein Benutzer einmalig an und erhält Zugriff auf verschiedene Anwendungen, ohne dass er die Anmeldeinformationen für jede Anwendung erneut eingeben muss. Die SSO-Authentifizierung ermöglicht eine nahtlose Nutzung der Netzwerkressourcen. Die SSO-Mechanismen variieren je nach Anwendungstyp.

SSO eignet sich nicht für Systeme, die einen garantierten Zugriff erfordern, da der Verlust von Anmeldeinformationen zu einer Verweigerung des Zugriffs auf alle Systeme führt. Im Idealfall wird SSO mit anderen Authentifizierungstechniken wie Smartcards und One-Time-Passwort-Token verwendet.

Single Sign-on heißt, dass ein Nutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt (autorisiert) ist, zugreifen kann, ohne sich an den einzelnen Diensten jedes Mal erneut anmelden zu müssen. Wechselt der Nutzer den Ort, wird die Authentifizierung, wie auch die lokale Autorisierung, allerdings hinfällig.

Für den Nutzer bringt diese Möglichkeit insbesondere bei Diensteportalen gewisse Vorteile. Innerhalb von Portalen ist es auch möglich, dass die Identität des angemeldeten Benutzers an die das Portal konstituierenden Schichten weitervererbt wird, ohne dass dies der Sicht des Anwenders selbst bekannt gemacht worden wäre.

 

Sehr technisch erklärt

Single Sign-On (SSO) ist eine Eigenschaft der Zugriffskontrolle mehrerer verwandter, aber unabhängiger Softwaresysteme. Mit dieser Eigenschaft meldet sich ein Benutzer mit einer einzigen ID und einem einzigen Kennwort an, um Zugang zu einem oder mehreren angeschlossenen Systemen zu erhalten, ohne unterschiedliche Benutzernamen oder Kennwörter zu verwenden, oder sich in einigen Konfigurationen nahtlos an jedem System anzumelden. Dies geschieht typischerweise mit dem Lightweight Directory Access Protocol (LDAP) und gespeicherten LDAP-Datenbanken auf (Verzeichnis-)Servern. Eine einfache Version von Single Sign-On kann über IP-Netzwerke mit Hilfe von Cookies erreicht werden, aber nur, wenn die Websites eine gemeinsame DNS-Eltern-Domain teilen.

Aus Gründen der Übersichtlichkeit ist es am besten, sich auf Systeme zu beziehen, die für jede Anwendung eine Authentifizierung erfordern, aber dieselben Anmeldeinformationen von einem Verzeichnisserver wie Directory Server Authentication verwenden, und auf Systeme, bei denen eine einzige Authentifizierung den Zugriff auf mehrere Anwendungen ermöglicht, indem das Authentifizierungstoken nahtlos an konfigurierte Anwendungen als Single Sign-On weitergegeben wird.

Umgekehrt ist Single Sign-Off die Eigenschaft, dass eine einzige Aktion des Abmeldens den Zugriff auf mehrere Softwaresysteme beendet.

Da verschiedene Anwendungen und Ressourcen unterschiedliche Authentifizierungsmechanismen unterstützen, muss Single Sign-On intern die für die initiale Authentifizierung verwendeten Credentials speichern und in die für die verschiedenen Mechanismen erforderlichen Credentials übersetzen.

Andere gemeinsame Authentifizierungsschemata sind OAuth, OpenID, OpenID, OpenID Connect und Facebook Connect. Diese Authentifizierungsschemata erfordern jedoch, dass der Benutzer jedes Mal, wenn er auf eine andere Website oder Anwendung zugreift, seine Anmeldedaten eingibt, damit er nicht mit SSO verwechselt werden muss.

Um genau zu sein, ist OAuth kein striktes Authentifizierungsschema, sondern ein Autorisierungsprotokoll: Es bietet den Nutzern die Möglichkeit, anderen Websites oder Anwendungen mit Hilfe von Zugriffsschlüsseln im eigenen Namen Zugang zu gewähren. Der Hauptzweck des Protokolls besteht darin, die für die Autorisierung erforderlichen Zugangsdaten auszutauschen und nicht die Authentifizierung selbst.

Ein SSO-System setzt darauf, dass ein Nnutzer immer genau eine einzelne physische Identität besitzt. Innerhalb eines Systems kann der Benutzer als Individuum aber unter verschiedenen logischen Benutzernamen gespeichert sein. Im SSO-System werden diese zusammengeführt und verknüpft, auftreten unter Pseudonym wird somit unmöglich.

Ziel des Single Sign-on ist es, dass sich der Benutzer nur einmal unter Zuhilfenahme eines einzigen Authentifizierungsverfahrens identifizieren muss. Danach übernimmt der SSO-Mechanismus die Aufgabe, den Anwender zu authentifizieren. Die Nutzung von SSO verbietet sich, wenn ein Benutzer im Auftrag von verschiedenen Personen agiert, die nicht miteinander verknüpft werden sollen. Eine weitere Anforderung an das Single Sign-on ist, dass es nicht schwächer sein darf als das Authentifizierungsverfahren selbst.