Leistungen Produkte Opensource Themen Partner Presse Unternehmen Jobs Suche

SSO - Single Sign On

Hinter Single Sign On steckt in der Regel die einmalige Authentifizierung an einer zentralen Instanz. Danach ist keine weitere Authentifizierung an anderen Diensten mehr notwendig.

Dies erledigt der Höllenhund Kerberos, der mit scharfen Zähnen sein Totenreich bewacht. Soviel zur griechischen Mythologie.

Die Authentifizierunginstanz, die in der IT Einsatz findet, ist Kerboros Version 5, das im RFC 1510 beschrieben ist. Das bewachte Totenreich ist das REALM, das Gebiet, für die Kerberos die Authentifzierung vornimmt.

Kerberos stellt ein Key Distribution Center (KDC) zentral bereit. Wenn ein Benutzer einen Dienst im REALM nutzen möchte, dann wird er anhand eines vom KDC ausgestellten, zeitlich begrenztem und ihm zugewiesen Tickets identifiziert. Somit sind keine weiteren Passworteingaben des Benutzers notwendig und es werden keine Passworte unverschlüsselt oder auch verschlüsselt mehr über das Netzwerk geschickt.

Um das Kerberos-Protokoll aber nutzen zu können, müssen die beteiligten Applikationen alle kerberosiert sein.

Dies ist nicht immer der Fall und läßt sich auch nicht immer nachträglich umsetzen. Es bleiben viele Applikationen, die weiterhin, aufgrund bspw. einer eigenen Benutzerverwaltung, nicht immer quelloffen sind und mit Benutzername und Passwort bedient werden müssen. Auch bei externen Webseiten, wie bspw. Support-Portalen, ist dies oft der Fall.

Hier gibt es Produkte, die diese Credentials (Benutzername / Passwort) in einem persönlichen Tresor speichern, der mit einem einheitlichen Passwort aufgeschlossen werden kann, sodass hier eine weitere Authentifizierung mit einem neuen Benutzernamen und einem neuen Passwort entfällt. Aladdin's SSO speichert bspw. solche Credentials auf einer SmartCard. Hat sich der Benutzer einmal gegenüber der Smartcard authentisiert, kann er alle Applikationen ohne Eingabe von Benutzernamen und Passwörtern nutzen. Diese werden transparent an die Applikation durchgereicht.

Natürlich besteht hier weiterhin die Gefahr, dass Passworte im Netzwerk mitgelesen werden.

Mittelfristig muss man sich von Applikationen, die eine Authentifzierung nur mit Passworten zulassen, trennen und durch Applikationen die Kerberos- oder zertifikatsbasierte Authentifzierung ermöglichen- ersetzen.

Firmengruppe Max21 Firmengruppe
Login Kontakt Impressum Suche