Im EsPresto Portfolio: Single Sign-On (SSO)

14. August 2013


Anna Werten, Mitarbeiterin bei EsPresto

Dieser Blogartikel ist Teil der Reihe EsPresto Portfolio. Hier stellen wir Projekte und Lösungen vor, die wir für unsere Kunden entwickelt haben, sowie Produkte, die wir mit ins Projekt eingebaut haben. Während dieser Projekte haben wir umfassende Erfahrungen gesammelt, von denen zukünftige Kunden profitieren werden. Machen Sie sich selbst ein Bild; vielleicht ist ja auch für Ihr Unternehmen etwas dabei, was die Arbeit Ihrer Mitarbeiter oder die Zufriedenheit Ihrer Kunden verbessern könnte

Single Sign-On (SSO)

Mit Hilfe von SSO wird es dem Nutzer verschiedener Anwendungen – für die er Zugriffsberechtigungen hat – ermöglicht, mit einer einzigen Authentifizierung auf alle zuzugreifen, ohne dass erneute Logins notwendig sind.

Wofür ist SSO nützlich?

Nach einer einmaligen Identifizierung übernimmt der SSO-Mechanismus die Aufgabe der Authentifizierung des Nutzers an den verschiedenen Systemen, auch wenn der Nutzer z.B. unterschiedliche Benutzernamen in den verschiedenen Systemen hat.

(Ein alternativer Ansatz ist Single Password. Hierbei erfolgt keine automatische Anmeldung, allerdings verwenden alle angebundenen Anwendungen das gleiche Passwort. mehr >>)

Wie wird das umgesetzt und wie wird die Sicherheit gewährleistet?

Das SSO kann realisiert werden, indem ein Netz aus vertrauenswürdigen Anwendungen aufgebaut wird, die eine gemeinsame Nutzeridentifikation haben. Bei der ersten Anmeldung an einer der Anwendungen erhält der Nutzer ein Ticket, welches an die anderen Anwendungen weitergegeben wird und hier für die Identifikation und Autorisierung des Nutzers verwendet werden kann.

Eine mögliche technische Umsetzung kann mit Hilfe von Kerberos erfolgen. Kerberos ist ein Netzwerkprotokoll, welches eine sichere und einheitliche Authentifizierung in Computernetzen ermöglicht. Das ticketbasierte „echte“ SSO ist betriebssystemabhängig.

Beim cookie-basierten „Web SSO“ nutzen mehrere Webanwendungen ein gemeinsames Login. Dieser Ansatz ist unabhängig vom Client-Betriebssystem und kann z.B. mit Hilfe von HTTP-Cookies realisiert werden. Durch die Verwendung von Cookies ist diese Lösung auf eine Domain beschränkt, da die Cookies browserseitig jeweils nur für eine Domain Gültigkeit haben. D.h. alle Webanwendungen, die den Authentifizierungsmechnismus nutzen, müssen sich innerhalb einer Domain befinden.

Haben wir Sie neugierig gemacht? Arbeiten auch Sie mit einer Vielzahl verschiedener Anwendungen und würden die Nutzung gerne vereinfachen?
Wenn Sie glauben, daß diese Lösung auch Ihnen weiterhelfen könnte, kontaktieren sie uns bitte.