Was ist Single Sign-on (SSO)?

Password-protected digital applications have long been part of everyday private and professional life for most people. Single sign-on (SSO) offers a secure way to reduce the complexity of identity and access management (IAM). On the one hand, many different access data for the entire workforce and all applications means a corresponding administrative effort for the IT department. On the other hand, SSO can significantly improve the user experience for employees via single sign-on with a single set of access data for all applications. Find out here how single sign-on works and what types of authentication procedures there are.  

Definition: Single Sign-on

SSO stands for Single Sign-on and is a special authentication method : users only need one set of login data to log in to multiple applications for the duration of the session. SSO therefore enables access to multiple applications that are associated with each other via Single Sign-on but operate independently of each other. Instead of entering the login data for each software individually, a one-time login is sufficient.  

IT departments can use single sign-on to simplify user authentication , increase user experience , and improve security . Single sign-on is suitable for applications, intranets, portals, and platforms used within the company, among others. The process is also used for customer-facing websites and apps that use third-party applications, where it ensures a seamless user experience without interruptions.  

How does single sign-on work?

Single sign-on works through the collaboration between an application as a service provider and an identity provider that authenticates data on user identities. Various authentication and authorization systems are used for this purpose.  

A digital certificate often provides the necessary trust between the service and the identity provider. When user data is signed with the identity provider’s certificate, the service provider knows that it comes from a trusted source.  

SSO-Tokens

SSO uses so-called tokens for the necessary authentication and authorization. An SSO token consists of a collection of data or information about the user, such as the email address or user name, as well as the system that sends the token. During the SSO process, the service provider and the identity provider exchange the SSO tokens and check their validity.  

A digital signature allows the recipient of the token to verify whether it comes from a trusted source or not. To be able to send and decrypt digital signatures, the service provider and the identity provider exchange a digital certificate during the initial configuration process. 

Login via SSO

Single sign-on via SSO usually involves the following steps:  

  1. Accessing the service provider’s application or website 
  2. Request for the necessary token by the service provider 
  3. Sending the token to the identity provider with a request for user authentication 
  4. Check for prior login with user authentication. If already present, immediate access to the application is granted. If not, the procedure continues with step 5. 
  5. If registration is still pending, the identity provider requests the necessary login information from the user, such as a user name and password.  
  6. After validating the login information, the identity provider sends a token to the service provider via the user’s browser, thereby confirming successful authentication . 
  7. The service provider also validates the token using the digital certificate that was set up during the initial configuration with the identity provider. Access permission is then granted. 

What types of SSO are there?

Various protocols, standards and frameworks are used in the SSO process. They can be used to handle the authentication and authorization required for single sign-on.  

SAML

The Security Assertion Markup Language – SAML for short – uses an XML framework for exchanging information for authentication and authorization and is therefore a fundamental technology for single sign-on. With SAML, an identity provider (IdP) securely transmits the authorization data to the service provider (SP). The website then makes an identification request and sends it to the identity provider as an XML message.  

The latter responds with a so-called SAML assertion with the requested login information . Attributes such as email addresses and telephone numbers uniquely identify the user, similar to an identity card. 

LDAP

The Lightweight Directory Access Protocol, or LDAP for short, can be used in various ways for identity and access management. Firstly, it serves as a directory for storing and managing general user information, similar to a telephone book . On this basis, it also offers the option of authenticating users and is therefore suitable for SSO. Many use LDAP for their SSO solutions because this protocol allows access rights to be controlled at a detailed level . 

OAuth

Unlike LDAP, OAuth is primarily a standard for authorizing and authenticating users. OAuth uses a client for authentication instead of handling it directly via the website or application. This client uses a token from the identity provider for login. This means that users do not have to transfer their data to the respective website. 

OpenID

The open authentication standard OpenID secures access to over a billion accounts in applications such as Google, WordPress and PayPal. For single sign-on via OpenID, users need an account with one of the services that support the system. They can then use the data for this account to log in to other OpenID websites 

To do this, a trusted identity provider transmits a token to the respective website, which validates the user. Many people are familiar with the principle from the „Sign in with Google“ buttons on many websites.  

Why is SSO important?

The importance of SSO for a company also focuses on the fact that users only need one set of login credentials. This brings the aforementioned improvement in user experience while reducing the administrative burden and the number of help tickets for the IT department. With most SSO solutions, users can also manage and reset their passwords themselves.  

Single Sign-on macht die Authentifizierungs- und Autorisierungsprozesse aber nicht nur bequemer, sondern auch sicherer. Denn de facto birgt jeder Anmeldevorgang ein potenzielles Cyberrisiko: Zum einen sind Log-in-Daten eine beliebte Angriffsfläche für Cyber-Angriffe. Je seltener sich Nutzer und Nutzerinnen also bei Anwendungen anmelden müssen, desto seltener öffnet sich auch das Tor für mögliche Angriffe.  

Zum anderen können viele Passwörter für verschiedene Anwendungen dazu führen, dass Mitarbeitende leicht merkbare Versionen wählen, diese wiederholen oder nur leicht abwandeln oder sie sogar schriftlich notieren. Ein einziger Satz von sicheren Anmeldedaten über Single Sign-on kann die kognitive Belastung und das Diebstahlrisiko verringern 

Welche Sicherheitsrisiken sind mit SSO verbunden?

Wie jede Lösung hat auch SSO gewisse Sicherheitsrisiken. Und auch bei Single Sign-on gilt – wer das jeweilige Risiko kennt, kann es vermeiden oder eindämmen:  

  1. Diebstahl der zentralen Zugriffsdaten: Das Hauptrisiko von SSO ist die Kehrseite seines größten Vorteils – das einzelne Set von Anmeldedaten. Geraten diese in unbefugte Hände, können diese potenziell alle Ressourcen kompromittieren, auf die der Log-in Zugriff gewährt. Die Lösung: möglichst komplexe Passwörter und Mehr-Faktor-Authentifizierung nach den Prinzipien von Zero Trust 
  2. Größere Datenmengen im Umlauf: Egal, welches Verfahren Sie genau nutzen, grundsätzlich sorgt Single Sign-on dafür, dass Service- und Identitätsanbieter mehr Daten austauschen, verwalten und speichern. Auch hier besteht die Gefahr darin, dass Unbefugte auf diese Informationen zugreifen können. Dieses Risiko lässt sich mindern, indem Sie die Datenschutzbestimmungen und sonstigen Sicherheitsstandards der Anbieter genau prüfen.  

Die Anmeldung über Drittanbieter mit Single Sign-on hat also ihre Risiken. SSO-Accounts lassen sich aber über starke Passwörter und eine solide Zwei-Faktor- oder Mehr-Faktor-Authentifizierung gut absichern. Wenn Sie bestimmte Anwendungen besonders gut sichern möchten, können Sie auf SSO-Lösungen zurückgreifen, die in diesem Fall eine zusätzliche Authentifizierungsstufe oder den Log-in über ein sicheres Netzwerk ermöglichen.  

Vorteile und Nachteile von SSO

Insgesamt bietet Single Sign-on folgende Vorteile:  

  1. Bessere User Experience und Zeitersparnis bei der Anmeldung  
  2. Geringerer Verwaltungsaufwand für IT-Abteilungen 
  3. Erhöhte Produktivität durch die Zeitersparnis und den minimierten Verwaltungsaufwand 
  4. Mehr Sicherheit dank der geringeren Anzahl von Passwörtern und Anmeldungen 
  5. Vermindertes Risiko von Phishing-Angriffen durch die einzige und gleichbleibende Anmeldeoberfläche 

Dem stehen folgende Nachteile von SSO gegenüber:  

  1. Der Diebstahl einer SSO-Identität ermöglicht den Zugriff auf viele Anwendungen und Systeme 
  2. Stärkere Abhängigkeit von zuverlässiger Funktionsweise des SSO-Systems –bei Ausfällen haben User und Userinnen keinen Zugriff auf diverse Systeme  
  3. Datenschutz-Fragen durch extensive Datenspeicherung der SSO-Anbieter 

Wie Nexus helfen kann

Die Produkte und Services von Nexus zielen auf eine sichere und effiziente Kommunikation zwischen Usern und Geräten im Internet ab. Deshalb bauen unsere Smart ID-Lösungen für digitale Identitäten, Mitarbeiter- und IoT-Plattformen nicht nur auf eine sichere Public-Key-Infrastruktur, sondern auch auf ein zuverlässiges Single-Sign-on-Verfahren. Kontaktieren Sie uns für weitere Informationen über unsere spezifischen Lösungen für Ihr Unternehmen.  

Zusammenfassung

Wer sich aufmacht, mehr über Single Sign-On zu erfahren, findet in der Regel wenig Negatives. Das Verfahren gilt seit einigen Jahren als großer Fortschritt für eine sichere und effiziente Verwaltung von digitalen Arbeitsplätzen: Kurz gesagt verringert SSO die Belastung für IT-Abteilungen, verbessert die User Experience und erhöht dadurch die Produktivität. Wie so häufig stellt aber auch bei SSO die größte Stärke gleichzeitig die größte Schwäche dar: Die zentrale Schnittstelle für die Anmeldung bedeutet auch, dass ein einziger erfolgreicher Cyberangriff großen Schaden anrichten kann. Deshalb ist es so wichtig, diesen Schritt über ein sicheres SSO-System mit Zwei-Faktor- oder Mehr-Faktor-Authentifizierung ausreichend zu schützen. Gelingt das, bietet Single Sign-on viele praktische Vorteile.  

FAQ über Single Sign-on (SSO)

 

Ist SSO sicher?

SSO gilt als sehr sicher, birgt aber auch gewisse Risiken: Da die Einmalanmeldung über Single Sign-on mit einem einzelnen Satz von Anmeldedaten erfolgt und den Zugriff auf verschiedene Systeme und Anwendungen ermöglicht, sollten diese über eine Zwei-Faktor- oder Multi-Faktor-Authentifizierung besonders gut geschützt sein. Durch die vermehrte Nutzung, Speicherung und den erhöhten Austausch von Daten durch SSO-Anbieter können diese Informationen potenziell auch an andere Anbieter weitergeleitet werden oder Cyber-Angriffen zum Opfer fallen.  

Kann SSO in bestehende Systeme integriert werden?

Ja, SSO lässt sich in bestehende Systeme für die Identitäts- und Zugriffsverwaltung integrieren. Welches SSO-Verfahren sich dafür am besten eignet, hängt von der vorhandenen IT- und Verwaltungslandschaft ab.  

Welche Rolle spielt SSO bei der Multi-Faktor-Authentifizierung?

SSO and multi-factor authentication (MFA) are basically two different login procedures. Those who use SSO and MFA together usually combine the best of both worlds: While SSO offers a straightforward single login and thus a positive user experience, MFA ensures the necessary level of security.  

How does SSO support the user experience?

SSO improves the user experience in several ways: It simplifies the login process by enabling quick and easy access to multiple applications for the duration of a session. This not only reduces the number of login credentials that users have to remember and manage, but also the number of logins that are necessary.  

How is SSO implemented?

How exactly a company or application implements single sign-on depends on both the system in place and the specific SSO solution. Typically, implementation is done through the use of an SSO service that the company first integrates into its existing applications or services and configures accordingly.