Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

06.10.2017
von: Claudio Fuchs - IPG AG

Web Single Sign-On und Federation

Web Single Sign-On (Web SSO) und Federation sind wichtige Bausteine, um die unternehmensübergreifende Digitalisierung effizient umzusetzen. Web SSO beschreibt dabei die Technologie, dem Benutzer in browserbasierenden Applikationen weitere Logins zu ersparen. Die dafür notwendigen Identitäten und die relevanten Webseiten befinden sich aber «am gleichen Ort». Federation bricht dieses Schema auf, Identitäten sind beim jeweiligen Identitätsprovider (IdP) hinterlegt und die Webseiten beim Service Provider (SP). Mit einer technischen Vertrauensstellung können sich mehrere IdP und SP gegenseitig vertrauen und so einen Zugang ermöglichen.

Keine zwingende Abhängigkeit
Web SSO und Federation können unabhängig voneinander eingesetzt werden. In der Praxis werden reine Web SSO Architekturen angetroffen, in welcher jede Applikation einen eigenen Benutzerstamm führt und daher sein eigener IdP ist. Andererseits existieren auch reine Federation-Architekturen an, in welchen zum Beispiel ein zentraler IdP eine Vertrauensstellung mit mehreren SP benutzt, der Benutzer aber trotzdem bei der Applikation jeweils einloggen muss.

Die Kombination aus Web SSO und Federation erhöht die Benutzerfreundlichkeit und ermöglicht es dem Anwender sich nicht mehrmals einloggen zu müssen. Dadurch wird nicht nur der Benutzer sondern auch die Administration entlastet. Die Anbindung von «fremden» IdPs, wie zum Beispiel Facebook, sind besonders beliebt. Facebook kümmert sich um die aufwändigen Identitätsprozesse wie «Benutzer registrieren», «Passwort wechseln» etc. Damit lässt sich der Prozess der Identitätsverwaltung einfach auslagern, was zu Kosteneinsparungen innerhalb des Unternehmens führt.

Schematische Darstellung
Eine Vertrauensstellung und dadurch die Trennung von IdP, zuständig für die Authentisierung und SP, für die Autorisierung, kann mit mehreren Protokollen umgesetzt werden. Die beliebtesten sind SAML, OpenID und WS-Federation. Die marktführenden Federation Broker (FB) unterstützen mehrere Protokolle, um die Kommunikation zwischen verschiedenen IdP und SP sicherzustellen. Je nach Gegenüber wird dabei die passende Schnittstelle angeboten.



Ohne Federation-Technologie müssen die Benutzerinformationen der IdP zu jedem SP transportiert werden. Insbesondere die Übertragung des Passwortes ist dabei besonders sensitiv. Einige Service Provider unterstützen ein «Drive-By Provisioning». Damit kann man zur Echtzeit Benutzer anlegen oder ändern, nämlich bei deren Zugriff via Browser. Der SP vertraut den Informationen des IdPs und legt einen Benutzer beim ersten Besuch als Datensatz an. Der Benutzer merkt von all dem nichts. Er nutzt eine Applikation ohne Login, ohne dass er jemals darin bekannt gemacht wurde.

Alles nur «gecloud»?
Jetzt könnte der Verdacht entstehen, dass eine Federation-Architektur zum totalen Datenaustausch und damit zum Datenklau führt. Dies muss klar verneint werden. Der IdP kennt nur die Identitätsdaten und der SP kennt nur die Applikationsdaten. Zum Beispiel: Eine Person registriert sich mit ihrer Facebook Identität bei Netflix. Damit bestimmt sie, welche Daten an Netflix weitergegeben werden. Die restlichen Daten verbleiben bei Facebook und Facebook weiss aber im Gegenzug nicht, welche Filme sie sich bei Netflix angeschaut habt.

Nutzen und Voraussetzungen
Der Nutzen von Federation-Technologien in Kombination mit Web SSO sind:

  • Applikationen in- und ausserhalb des Unternehmens können innert kurzer Zeit föderieren, was die Einführung neuer Applikationen massiv beschleunigt.
  • Bei Fusionen oder Partnerschaften mit Unternehmen ist der gegenseitige Zugriff auf Geschäftsanwendungen innert kurzer Zeit möglich.
  • Die Datenhaltung der Identitäten ist bei einem (oder mehrerer) IDP konzentriert, dies verhindert die redundante Datenhaltung und erhöht die Datenhygiene.
  • In Kombination mit Web SSO reduzieren sich die Aufwände rund um die Passwortverwaltung.
  • Dank der Nachvollziehbarkeit im Verbund und nicht mehr notwendigen Übertragung der Passwörter sinken die operativen Risiken.

Voraussetzungen für ein Unternehmen:

  • Bestimmung eines internen IDP, z.B. Active Directory oder ein IAM System
  • Gute Datenqualität rund um die eigenen Mitarbeitenden
  • Implementierung eines Federation Brokers, welche mehrere Protokolle unterstützt und Daten aus mehrere Quellen aggregieren kann
  • Empfohlen ist weiter ein Berechtigungskonzept pro SP resp. Applikation

Wie unterstützt IPG?
IPG ist seit 2001 erfahrener Dienstleister im Identity & Access Management Umfeld. Im Rahmen der strategischen Beratung helfen wir, bestehende sowie künftige Aktivitäten so zu gestalten, dass Themen wie Compliance, Digital-Enabling, Kundenorientierung aber auch Kosteneinsparungen, Produktivität und Risikominderung umfassend gelöst werden. Nebst der strategischen Ausrichtung unterstützen wir bei der Gestaltung und Etablierung von IAM-Prozessen, bei der technischen Implementierung und im Betrieb der passenden IAM-Lösung.

Autor
Claudio Fuchs verantwortet und koordiniert das Projektgeschäft der IPG in der Schweiz und in Österreich. Mit einem Informatik Studium als Grundlage und dem Nachdiplomstudium MAS in Information Security verfügt er über ein breites Wissen. Seit rund 12 Jahren beschäftigt sich Claudio Fuchs mit dem Thema IAM. Er hatte dabei in verschiedenen Funktionen als IAM Experte gewirkt und hat Expertise von der Projektleitung bis zur Umsetzung. Claudio Fuchs ist in der Nebenbeschäftigung als Dozent für Projekt und Qualitätsmanagement in einer Schweizer Hochschule tätig.
Quelle: ipg-group.com
IPG AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter