Single Sign-On

Was ist Single Sign-On (SSO)?

Single Sign-On (SSO) ist ein Authentifizierungsverfahren, das es Benutzern ermöglicht, sich einmalig anzumelden, um anschließend auf mehrere Systeme oder Anwendungen zugreifen zu können – ohne sich erneut authentifizieren zu müssen.

SSO basiert auf standardisierten Identitätsprotokollen wie SAML, OAuth 2.0 oder OpenID Connect und wird von einem zentralen Identity Provider (IdP) verwaltet, der die Authentifizierung durchführt und Sitzungstokens an verschiedene Service Provider (SP) überträgt.

SSO steigert die Benutzerfreundlichkeit, reduziert Passwortmüdigkeit und senkt Sicherheitsrisiken durch übermäßige Passwortverwendung.

Wichtige SSO-Ressourcen

• SAML (Security Assertion Markup Language)
  → XML-basiertes Protokoll für Authentifizierungsdaten zwischen IdP und SP.

• OAuth 2.0 / OpenID Connect
  → Moderne, REST-basierte Frameworks zur sicheren Autorisierung und Authentifizierung.

• Identity Provider (IdP)
  → Führt die eigentliche Authentifizierung durch (z. B. Azure AD, Okta).

• Session-Management & Token-Lifecycle
  → Verwaltung von Zugriffsdauern, Reauthentifizierung und Token-Erneuerung.

• Multi-Factor Authentication (MFA)
  → Ergänzt SSO, um zusätzlichen Schutz durch zweite Faktoren zu gewährleisten.

Anwendung in der Praxis

• Enterprise-Umgebungen: Zugriff auf E-Mail, CRM, Filesharing und HR-Systeme über eine Anmeldung.

• Cloud/SaaS: SSO-Integration in Plattformen wie Salesforce, Microsoft 365 oder Google Workspace.

• Konsolidierte Verwaltung: Rollen- und Rechtevergabe über zentrale IdM-Systeme.

• Sicherheit & Komfort: SSO reduziert Angriffsflächen durch weniger gespeicherte Passwörter.

• Compliance: Dokumentierte Login-Prozesse unterstützen Datenschutz- und Auditvorgaben.

Verwandte Begriffe

• Multi-Factor Authentication

• Authentication Protocol

• Authorization Server

• Identity Federation

• Access Control

Beispiel aus der Praxis

Ein Unternehmen setzt Microsoft Azure AD als zentralen Identity Provider ein. Über SAML-SSO sind Salesforce, Microsoft Teams, Jira und das interne Intranet angebunden. Mitarbeitende melden sich einmal am Morgen über einen Laptop-Login mit MFA an – danach erhalten sie automatisch Zugriff auf alle autorisierten Anwendungen. Durch Session Timeouts und regelmäßige Token-Erneuerung bleibt die Sicherheitslage auch bei längerer Nutzung stabil. Die zentrale Administration ermöglicht zudem rasche Sperrung aller Zugänge bei Austritt eines Mitarbeiters.