Single Sign-On

Single Sign-On (SSO): Authentifizierungs-Verfahren, bei dem sich ein Nutzer einmal mit einem Konto an einer zentralen Stelle anmeldet und anschließend auf mehrere voneinander unabhängige Anwendungen zugreifen kann, ohne sich erneut anmelden zu müssen.

Technisch basieren SSO-Systeme auf Vertrauensbeziehungen zwischen einem Identitäts-Anbieter (Identity Provider, IdP) und mehreren Diensten (Service Provider, SP). Nach erfolgreicher Anmeldung beim IdP stellt dieser ein signiertes Sicherheits-Token aus, das die nachgelagerten Dienste prüfen und akzeptieren. Verbreitete offene Standards sind SAML 2.0 (klassisch im Unternehmens-Umfeld), OpenID Connect (auf OAuth 2.0 aufbauend, populär für Web- und Mobil-Anwendungen) sowie das ältere Kerberos-Protokoll, das vor allem in Windows-Active-Directory-Umgebungen zum Einsatz kommt.

Im Web-Umfeld kennen viele Nutzer SSO als „Mit Google anmelden”, „Mit Apple anmelden” oder „Mit Microsoft anmelden”. Im Unternehmens-Umfeld bündeln Identity-Provider wie Microsoft Entra ID (vormals Azure Active Directory), Okta, Ping Identity, Auth0 oder Keycloak die Anmeldung an Cloud- und On-Premises-Anwendungen.

Vorteilig sind eine deutlich vereinfachte Nutzer-Erfahrung, der zentral durchsetzbare Schutz durch starke Authentifizierung und Zwei-Faktor-Authentifizierung sowie die zentrale Verwaltung von Berechtigungen. Risiken liegen in der Konzentration: wird das SSO-Konto kompromittiert, sind alle damit verbundenen Dienste potenziell offen. Aus diesem Grund gehören SSO und 2FA praktisch immer zusammen.