Cryptography Reference
In-Depth Information
der IT-Sicherheit eine wichtige Rolle spielt. Viele SSO-Projekte werden ohnehin
nicht in erster Linie aus Sicherheitsgründen durgeführt - stattdessen lautet die
Überlegung, dass durch Single Sign-On vergessene Passwörter und verlorene
Smartcards seltener werden, was Kosten spart. Unabhängig davon gilt: Wenn
SSO eingeführt wird, dann sollte die eine Hürde, die Mallory in den Weg gestellt
wird, möglichst hoch sein. Es lohnt sich also, Smartcards anstatt den deutlich
weniger sicheren Passwörtern zu verwenden.
Es gibt mehrere unterschiedliche Ansätze zur Realisierung von Single Sign-
On. Wenn wir diese im Folgenden anschauen, gehen wir weiterhin davon aus,
dass Alice als Mitarbeiterin von Krypt & Co. Zugriff auf drei Server hat, wobei
vor der SSO-Einführung unterschiedliche Authentifizierungsmethoden zum Ein-
satz kommen.
Server
Server
SSO-Client/
Authentifizierungs-
server/
Webportal
Alice
Server
Abb. 22-1
Single Sign-On ermöglicht es Alice, sich mit einem Login-Vorgang an mehreren Servern
anzumelden.
22.2.1
Lokales SSO
Die derzeit bedeutendste Form des Single Sign-On ist das lokale SSO . Dieses erfor-
dert in seiner gängigen Form, dass alle von Alice genutzten Server ein Passwort zur
Authentifizierung vorsehen. Alice hat auf ihrem PC einen speziellen Client (SSO-
Client) installiert, der alle erscheinenden Login-Fenster automatisch abgreift und
mit Alices Benutzernamen sowie dem Passwort ausfüllt. Um dies leisten zu kön-
nen, muss der SSO-Client den Benutzernamen und alle Passwörter gespeichert
haben. Auch die Einbeziehung eines zusätzlichen Servers, auf dem die Passwörter
gespeichert sind und der vom SSO-Client angesprochen wird, ist möglich.
Bevor der SSO-Client eine Anmeldung an einem Server vornimmt, muss sich
Alice ihm gegenüber authentisieren. Wenn der SSO-Client einen Server für das
Speichern der Passwörter nutzt, dann erfolgt die Authentisierung gegenüber die-
sem. Das Authentisieren kann mit einer beliebigen Methode geschehen, also bei-
Search WWH ::




Custom Search