Single Sign-on (SSO)
SSO ermöglicht zentrale Authentifizierung für mehrere Anwendungen, reduziert Anmeldeaufwand und vereinfacht Zugriffskontrolle.
Klassifikation
- KomplexitätMittel
- AuswirkungOrganisatorisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Single Point of Failure im Authentisierungsdienst
- Fehlkonfigurierte Token- oder Sessionverwaltung
- Unzureichende Berechtigungsabgrenzung bei Föderation
- Verwenden von bewährten Protokollen (OIDC, SAML) statt proprietärer Lösungen.
- Zentrale MFA-Richtlinien implementieren.
- Regelmäßige Audit- und Token-Lifecycle-Überprüfungen durchführen.
I/O & Ressourcen
- Verzeichnisdienst (z. B. LDAP, AD)
- Identity Provider mit SSO-Unterstützung
- Anwendungsseitige Integration (SAML/OIDC/OAuth)
- Zentralisierte Authentifizierungs- und Sitzungsverwaltung
- Einheitliche Zugangskontrollen und Audit-Logs
- Verringerte Anzahl lokaler Passwörter
Beschreibung
Single Sign-on (SSO) ermöglicht Nutzern, sich einmal zu authentifizieren und auf mehrere unabhängige Systeme oder Anwendungen zuzugreifen. Es reduziert Passwortmüdigkeit, vereinfacht Benutzerverwaltung und kann zentrale Zugriffskontrollen ermöglichen. SSO umfasst Protokolle wie SAML, OAuth und OpenID Connect sowie organisatorische Anforderungen an Identity Provider.
✔Vorteile
- Reduzierter Administrationsaufwand
- Besseres Nutzererlebnis durch weniger Logins
- Zentrale Audit- und Zugriffskontrolle
✖Limitationen
- Abhängigkeit von Verfügbarkeit des Identity Providers
- Komplexe Integration alter Systeme
- Erforderliche Koordination über Teams und Anwendungen
Trade-offs
Metriken
- Anzahl erfolgreicher SSO-Anmeldungen
Misst Nutzung und Adoption des SSO-Systems.
- MTTR des Identity Providers
Zeit bis zur Wiederherstellung nach Ausfall des Identity Providers.
- Anzahl fehlgeschlagener Token-Validierungen
Indikator für Konfigurations- oder Integrationsprobleme.
Beispiele & Implementierungen
Universelle Unternehmens-SSO-Lösung
Ein internationaler Konzern führt SSO via OpenID Connect und zentralem IdP ein, um Nutzerkomfort und Compliance zu verbessern.
Kundenzugang mit Social Login
Ein Portal erlaubt Kunden die Anmeldung über externe Identity Provider (z. B. Google), delegiert Authentifizierung und reduziert Passwortpflege.
Legacy-Anwendung über Proxy integrieren
Eine alte Anwendung wird über einen SSO-Proxy an das unternehmensweite SSO angebunden, ohne internen Code massiv zu ändern.
Implementierungsschritte
Evaluierung der aktuellen Authentifizierungslandschaft und Protokollunterstützung.
Auswahl eines Identity Providers und Definition von Policies.
Schrittweise Integration von Anwendungen und Monitoring einrichten.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Provisorische Adapter für Legacy-Systeme, die später ersetzt werden sollten.
- Alte Token-Handling-Implementierungen ohne RS256-Unterstützung.
- Unzureichend dokumentierte Integrationspfade zwischen Diensten.
Bekannte Engpässe
Beispiele für Missbrauch
- Einführung eines IdP ohne Hochverfügbarkeitskonzept, wodurch Ausfälle ganze Organisation betreffen.
- Weitergabe von überprivilegierten Rollen über Föderation ohne Mapping.
- Nutzung von SSO zur Autorisierung statt korrekter Trennung von Authn und Authz.
Typische Fallen
- Unterschätzung der notwendigen Governance für Identitätslebenszyklen.
- Fehlende Tests für Logout-Propagation über alle Dienste.
- Unklare Verantwortlichkeiten zwischen IdP- und Anwendungsteams.
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Einführung erfordert organisatorische Koordination
- • Regulatorische Anforderungen an Identitätsdaten
- • Technische Limitierungen nicht kompatibler Anwendungen