Single Sign-On (SSO) optimiert die Benutzerauthentifizierung, indem es den Zugriff auf mehrere Anwendungen mit einem einzigen Satz von Anmeldeinformationen ermöglicht, was sowohl den Komfort als auch die Sicherheit erhöht. Es nutzt ein zentralisiertes Identitätsmanagementsystem, das aus Folgendem besteht:
Identitätsanbieter (IdP)
Ein Identitätsanbieter (IdP) authentifiziert und verifiziert die Identitäten der Benutzer und gewährt Zugriff auf Dienste. Es verwaltet Anmeldeinformationen und stellt Authentifizierungstoken aus. Dies ermöglicht sicheres Single Sign-On (SSO) über mehrere Anwendungen hinweg.
Dienstleister (SP)
Einzelne Anwendungen, die für die Benutzeranmeldung auf SSO angewiesen sind, z. B. Ihre geschäftliche E-Mail-Adresse, Ihr Projektmanagement-Tool und Ihr CRM, ähneln Büros im sicheren Gebäude.
SSO-Server
Der Vermittler, der die Kommunikation zwischen IdP und SPs erleichtert und Authentifizierungstoken sicher überträgt, ähnlich wie ein sicherer Flur, der den Eingang mit verschiedenen Büros verbindet.
Authentifizierungsprotokolle
Standards wie SAML, OAuth und OpenID Connect ermöglichen eine sichere Kommunikation zwischen IdP und SP und sorgen so für eine sichere Benutzerauthentifizierung und Zugriffskontrolle auf allen Plattformen.
Benutzerverzeichnis
Eine zentralisierte Datenbank (z. B. LDAP oder Active Directory) speichert Benutzeridentitäten, Rollen und Berechtigungen und bietet so einen zentralen Verwaltungspunkt für die Zugriffskontrolle. Es sorgt für eine konsistente Authentifizierung und Autorisierung über Systeme hinweg und vereinfacht die Benutzerverwaltung.
Authentifizierungstoken
Vom IdP ausgegebene sichere Token (wie JWT- oder SAML-Assertionen) überprüfen die Identität eines Benutzers beim Zugriff auf SPs und gewährleisten so eine sichere, tokenbasierte Authentifizierung. Diese Token sind digital signiert, um Manipulationen vorzubeugen, und enthalten Benutzerinformationen, die bei der Gewährung entsprechender Zugriffsberechtigungen helfen.
Einmaliges Abmelden (SLO)
Hierbei handelt es sich um einen Mechanismus, der es Benutzern ermöglicht, sich gleichzeitig von allen verbundenen Anwendungen abzumelden, was die Sicherheit und den Komfort erhöht und sicherstellt, dass Sitzungen über alle Dienste hinweg beendet werden, um unbefugten Zugriff zu verhindern.