3 Minuten Lesezeit (572 Worte)

I have a dream - Single Sign-on

News

Montag, 18. April 2016

Im Zuge der immer intensiver werdenden Diskussionen und Probleme um das Thema Sicherheit, ist für mich auch mal wieder der Zeitpunkt gekommen, über Single Sign-on (SSO) nachzudenken. Zumal Single Sign-on zu den wenigen Umsetzungen im Bereich Security gehört, die nicht nur in der IT mehr Sicherheit verspricht, sondern auch für den Benutzer ganz praktische Vorteile hat: Das lästige Anmelden bei den unterschiedlichen Anwendungen entfällt.

Auch die Firma ORDIX hat in den mehr als 25 Jahren ihres Bestehens aus unterschiedlichen (meist nur historisch zu verstehenden ;-)) Gründen, eine Vielzahl unterschiedlicher Applikationen. Bei den meisten müssen wir uns mit einem Benutzernamen und Passwort anmelden. Bei Vielen ist das die im zentralen LDAP-Server hinterlegte Benutzer-Passwort-Kombination. Es gibt aber auch einige Legacy-Systeme, die noch direkt eine Datenbank-Kennung erwarten. Aber es wäre im ersten Schritt doch schon gut, wenn wenigstens die Systeme, die sich gegenüber dem LDAP-System authentifizieren, eine einheitliche und einmalige Anmeldung haben.

Vorweg aber die Frage, bringt SSO wirklich Sicherheitsvorteile? Dieser Fragestellung widmet sich auch schon Wikipedia mit den Vor- und Nachteile des SSO. Dem ist eigentlich nichts hinzuzufügen, außer vielleicht, dass je nach Ausgangssituation und geplanter IT-Architektur sowohl bestimmte Vor- aber auch Nachteile nicht mehr so relevant sind. So entfällt der Sicherheitsgewinn, dass sich Benutzer nicht mehr mehrere Passwörter merken muss, wenn es bereits eine zentrale Stelle (wie z. B. ein LDAP- oder Active Directory-Server) gibt, bei der sich die Benutzer anmelden. Sofern das SSO-Verfahren nur für die Authentifizierung genutzt wird und die Autorisierung in der jeweiligen Anwendung erfolgt, ist es auch – ohne Nachteil - möglich, Zugriffsberechtigungen im Kontext durchzuführen.

Unabhängig davon gibt es rein zahlenmäßig ungefähr gleich viele Vor- und Nachteile. Es kommt also auf die Gewichtung an. Hierbei hilft zu erkennen, wo Vor- bzw. Nachteile die Schwerpunkte haben. Bei den Vorteilen ist dies klar die Benutzerseite: Bekannte Sicherheitsrisiken beim Anwender werden minimiert. Die Nachteile haben keinen eindeutigen Schwerpunkt, aber ein Schwerpunkt ist – quasi per Definition – der zentrale Ansatz einer SSO-Lösung. Es gibt Studien, die den Mitarbeiter als schwächstes Glied in der Kette einstufen. In diesen Studien wird nach böswillig und fahrlässig unterschieden. Gegen böswillige Benutzer hilft SSO vermutlich nur wenig, aber wenn man das Risiko, das durch die Fahrlässigkeit und Unkenntnis der Benutzer entsteht, deutlich reduzieren kann, hat das ein großes Gewicht. Die Nachteile des zentralen Ansatzes einer SSO-Lösung wiederum lassen sich durch besondere Aufmerksamkeit und Sorgfalt auf den jeweiligen Systemen ein wenig entkräften.

Somit komme ich also nach meiner subjektiven Gewichtung der Vor- und Nachteile erstmal zu dem Ergebnis, dass die Vorteile des SSO überwiegen. Somit stellt sich mir die Frage, welche konkreten Ansätze es hier gibt. Auch hier hilft ein kurzer Blick in Wikipedia: Lösungsansätze

Aus unterschiedlichen Gründen (Kosten, technische Machbarkeit, Sicherheitsaspekte etc.) konzentriere ich mich auf den Lösungsansatz Ticketing System. Bei Wikipedia wird auch bereits Kerberos erwähnt, allerdings tut sich dies etwas schwer mit der direkten Anbindung von Web-Applikationen, die bei ORDIX deutlich überwiegen. Somit werfe ich einen genaueren Blick auf die Enterprise Single Sign-On Lösung Central Authentication Service - CAS. Mit ihren unterschiedlichen Clients (Java, PHP, Apache, .NET, REST) und der Integration verschiedener Authentifizierungsverfahren wie z. B. OAuth, SAML stellt es eine gute Basis für ein SSO-System dar; zumal es auch auch Open Source und in Java implementiert ist. Zwei Themen, die im ORDIX Portfolio eine große Bedeutung haben.

Fortsetzung folgt ...

Ausblick