Was ist Single Sign-On?
Single Sign-On (SSO) ist ein Tool zur Benutzerauthentifizierung, das es Benutzern ermöglicht, sich bei mehreren Anwendungen, Websites, Daten und Workstations anzumelden und darauf zuzugreifen, indem sie nur einen zentral verwalteten Satz von Anmeldeinformationen - einen Benutzernamen und ein Kennwort - verwenden. Unternehmen nutzen SSO, um den Identitätszugriff zu verwalten, die Datensicherheit und die Einhaltung von Richtlinien zu verbessern und die Benutzerfreundlichkeit zu erhöhen. Ohne SSO wird die Authentifizierung von jeder Website oder Anwendung einzeln durchgeführt, wobei jede Einheit über einen eigenen Satz von Anmeldeinformationen verfügt, die vom Benutzer oder der IT-Abteilung verwaltet werden müssen.
Warum Single Sign-On verwenden?
Leider sind Passwörter statisch, werden nicht oft genug geändert und häufig wiederverwendet (59 % der Benutzer verwenden dieselben oder ähnliche Passwörter für mehrere Ressourcen). Obwohl Passwörter häufig wiederverwendet werden, schätzt Gartner, dass 30 bis 50 % aller Helpdesk-Anrufe auf das Zurücksetzen von Passwörtern zurückzuführen sind. Die Verwendung von Passwörtern für die Benutzerauthentifizierung setzt Unternehmen einem unangemessenen Risiko aus und erhöht die Helpdesk-Kosten.
Infolgedessen haben viele Unternehmen SSO eingeführt, um die Notwendigkeit von Passwörtern für den Zugriff auf Anwendungen zu beseitigen. Identitätsanbieter (IdPs) wie Okta™, OneLogin®, PingIdentity® und andere verwenden Protokolle wie Security Assertion Markup Language (SAML) oder das modernere OpenID® Connect (OIDC) zur Implementierung von SSO. Diese Protokolle stellen eine Vertrauensbeziehung zwischen dem IdP des Unternehmens und den integrierten Anwendungen her, wobei die Benutzer mit einem eindeutigen, vom IdP generierten Zugriffstoken zu diesen Anwendungen geschickt werden, um den Zugriff zu gewähren. SSO macht Passwörter überflüssig, macht die Zugangsdaten für den Benutzer unsichtbar und verhindert, dass Zugangsdaten kompromittiert werden können.
Die Verwendung eines Identitätsanbieters für SSO hat auch mehrere Vorteile für die Benutzerfreundlichkeit. Mit SSO meldet sich ein Benutzer in der Regel einmal pro Tag mit einem Satz von Anmeldeinformationen bei seinem IdP an und erhält eine Portalwebseite, auf der die für ihn verfügbaren Anwendungen aufgelistet sind. Ein einfacher Klick auf eine Anwendung auf der IdP-Portalseite des Unternehmens ermöglicht es ihm, die Anwendung mit seinem vertrauenswürdigen Token zu öffnen.
Die Abschaffung von Anwendungsanmeldungen macht alle Beteiligten zufriedener. Die Benutzer können mit einer einzigen Anmeldung auf alle ihre Unternehmensanwendungen zugreifen. Die IT-Abteilung kann die Benutzer leichter kontrollieren und verwalten, z. B. den Zugriff auf Benutzerressourcen einrichten und aufheben. Sicherheitsteams können Sicherheitsrichtlinien definieren und durchsetzen und die Einhaltung von Vorschriften gewährleisten. Die IT-Abteilung muss weniger Helpdesk-Anfragen zum Zurücksetzen von Passwörtern beantworten, zumal viele SSO-Lösungen es den Benutzern ermöglichen, ihre Passwörter selbst zurückzusetzen.
Single Sign-On hat die Umstellung auf die Cloud für Unternehmen erheblich erleichtert, da es den sicheren Identitätszugriff zentralisiert und standardmäßig auch den Zugriff auf Webanwendungen für jeden Benutzer zentralisiert.
Die Herausforderung Single Sign-On
Es kommt jedoch häufig vor, dass ein Unternehmen von seinen Benutzern verlangt, dass sie Windows®- und nicht webbasierte Anwendungen verwenden. Und leider war SSO in der Vergangenheit nur für den sicheren Zugriff auf Webanwendungen verfügbar. Authentifizierungsereignisse innerhalb des Windows-Betriebssystems erfolgen über Winlogon, das Windows-Authentifizierungsmodul, das interaktive Anmeldungen für eine Sitzung durchführt, bei der sich ein Benutzer mit einem Benutzernamen und einem Kennwort direkt beim Betriebssystem anmeldet.
Da Windows für die Anmeldung einen Benutzernamen und ein Kennwort erfordert, kann die IT-Abteilung Windows-Anwendungen nicht ohne einen angepassten Credential Provider in Cloud-Implementierungen mit SSO einbeziehen. Für Windows-Anwendungen, die auf entfernten Arbeitsstationen installiert sind, auf die über das Microsoft Remote Desktop Protocol (RDP) zugegriffen wird, gelten dieselben Einschränkungen.
GO-Global ermöglicht Single Sign-On für Windows-Anwendungen
GO-Globals Unterstützung für OpenID Connect ermöglicht es Unternehmen, moderne Identitätsanbieter wie Okta, OneLogin, Microsoft Active Directory Federated Services (ADFS) und Microsoft® Azure® AD Seamless SSO für die einmalige Anmeldung bei GO-Global Windows-Hosts zu nutzen. Indem Benutzer sich einmalig bei ihrem Identitätsprovider mit den dort definierten Authentifizierungsrichtlinien und Anmeldedaten anmelden, können sie mit einem Mausklick auf die von GO-Global veröffentlichten Windows-Anwendungen zugreifen und so ein besseres Benutzererlebnis schaffen, während die von der Organisation gewünschte Benutzerauthentifizierung durchgesetzt wird.
GO-Global ermöglicht es Unternehmen, jeden IdP, der OpenID Connect unterstützt, direkt in ihre Hosts zu integrieren, so dass sie Windows-Hosts für Benutzer freigeben können, die sie mit ihrer IdP-Lösung authentifizieren. Die GO-Global-Unterstützung für OpenID Connect macht Domänencontroller im Netzwerk, benutzerdefinierte Credential-Provider für starke Authentifizierung und interaktive Anmeldungen überflüssig.
Unternehmen, die bisher nach dieser Art von Funktionalität suchten, mussten teure, komplexe und unhandliche Lösungen wie Citrix® NetScaler® Unified Gateway integriert mit Citrix Hypervisor® kaufen. GO-Global ermöglicht die Unterstützung von Single Sign-On für Windows-Anwendungen zu einem Preis, der für jede Organisation geeignet ist.
