Verschluesselung Single Sign On

From Bitbull Wiki
Revision as of 11:46, 25 February 2020 by Chris (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

1 Generell

Single Sign On (auch SSO genannt) dient dazu um die Identität bestimmung eines Benutzers und dessen Validierung an einer zentralen Stelle (SSO Dienst) zusammen zu fassen.

Im Web Applikations Bereich ist dies ein Standard geworden, denn wenn jede Applikation ihr eigenes Benutzer und Rechte System mitbringt entstehen oft mehr Nach- als Vorteile, vor allem im Security Bereich. Es werden immer wieder unzählige Benutzerdaten gestohlen oder aus versehen öffentlich ins Internet gestellt.

2 SSO Service

Dies ist ein Web-Service der aus einem oder mehreren Servern/Containern besteht.
Bekannte OpenSource Produkte sind gluu, Keycloak oder privacyIDEA.
Es besitzt idealerweise viele Backends wie:

  • Google
  • Github
  • GitLab
  • Facebook
  • Microsoft IDP (Azure)
  • PayPal
  • LinkedIn
  • SAML
  • Twitter
  • OpenID Connect via Oauth2

Somit muss selbst der User welcher keinen SSO Account auf unserer Lösung besitzt keine neue Identität anlegen und pflegen sondern kann auf eine andere "SSO Fähige" Lösung referenzieren.
Nun bietet die SSO Lösung die Identitäten Ihrer User in möglichst vielen standardisierten und sicheren Protokollen für Applikationen an welche diese dann nutzen und darauf referenzieren. Zum Beispiel:

  • SAML
  • OpenID Connect mit Oauth2


3 SSO Login Ablauf (Central Authentication)

  1. User greift auf eine Applikation zu welche eine SSO Authentisierung konfiguriert hat
  2. Die Applikation fragt bei der SSO Appliance an ob der User bekannt ist (cookie)
  3. Der User ist unbekannt und die Applikation leitet den Browser auf die Login Seite des SSO Portals um
  4. Nach erfolgreicher Anmeldung wird der User zurück an die Applikation umgeleitet
  5. Die Applikation prüft den User erneut (wie bei Punkt 1)
  6. Diesmal wird der User vom SSO Portal bestätigt und die Applikation gibt den Zugriff frei

Cauth.png


4 Vorteile

  • Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können
  • Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss
  • Sicherheitsgewinn, da sich der Nutzer anstelle einer Vielzahl meist unsicherer Passwörter nur noch eines merken muss
  • Phishing-Attacken werden erschwert, da Anwender ihren Benutzernamen und Passwort nur an einer einzigen Stelle eingeben müssen
  • Es wird Bewusstsein geschaffen, wo man guten Gewissens Nutzername und Passwort eingeben kann.
Benutzer eines Single-Sign-on-Systems werden schwerer dazu verleitet, fremden Seiten ihr (möglicherweise mehrfach benutztes) Passwort anzuvertrauen.

5 Nachteile

  • Die Verfügbarkeit des Dienstes hängt nicht nur von der eigenen Verfügbarkeit, sondern auch von der Verfügbarkeit des Single-Sign-on-Systems ab.
  • Ist eine gleichwertige Sign-off-Lösung nicht definiert, dann bleibt der Zugang bis zur Überschreitung einer Time-out-Zeit offen.