Cryptography Reference
In-Depth Information
spielsweise mit einem Passwort oder einer Smartcard. Lokales SSO bedeutet also,
dass sich Alice einmal (gegenüber dem SSO-Client) authentisiert und dass ihr dar-
aufhin alle Server-Anwendungen offen stehen.
Mit dem lokalen SSO hat sich - wie so oft in der IT-Sicherheit - ein besonders
pragmatischer Lösungsansatz durchgesetzt. Die großen Vorteile des lokalen SSO
liegen darin, dass es nicht auf irgendwelche Standards angewiesen ist und bei
allen wichtigen Client-Server-Lösungen funktioniert. Dafür wirkt es allerdings
reichlich hausbacken, über interne Mechanismen des Betriebssystems irgendwel-
che Fenster anzusprechen und mit Passwörtern zu füttern. Doch solche Überle-
gungen sind für die meisten IT-Abteilungen zweitrangig, solange die Sache funk-
tioniert.
22.2.2
Ticket-SSO
Deutlich eleganter als das lokale SSO ist das Ticket-SSO . Dieses sieht vor, dass es
neben den Servern, die Alice nutzen will, einen weiteren Server gibt ( Authentifi-
zierungsserver ), der nur für Authentifizierungszwecke benötigt wird. Alice
authentisiert sich einmal gegenüber dem Authentifizierungsserver, und anschlie-
ßend sorgt dieser dafür, dass Alice direkten Zugang zu den anderen Servern
erhält. Der Authentifizierungsserver ersetzt also den SSO-Client.
Die Methode, mit der der Authentifizierungsserver Alice Zugang zu den
anderen Servern verschafft, basiert auf sogenannten Tickets . Ein Ticket ist ein
Datensatz, der Alices Name und die Zugangsberechtigung zum jeweiligen Server
enthält. Ein Ticket wird vom Authentifizierungsserver entweder digital signiert
oder so verschlüsselt, dass nur der jeweilige Server es lesen kann. Im Gegensatz
zum lokalen SSO kann Ticket-SSO nur funktionieren, wenn die beteiligten Par-
teien (Alice, Server, Authentifizierungsserver) ein standardisiertes Protokoll ver-
wenden. Da Standards immer ihre Zeit brauchen, hat sich lokales SSO viel
schneller verbreitet als Ticket-SSO. Dank Standards wie SAML und Kerberos ist
jedoch auch Ticket-SSO inzwischen durchaus populär.
22.2.3
Web-SSO
Viele Server-Anwendungen sind heutzutage als webbasierte Lösung realisiert.
Dies bedeutet, dass Alice über ihren Webbrowser und eine geeignete WWW-
Adresse auf den entsprechenden Dienst zugreifen kann. Wenn die drei Server der
Firma Krypt & Co., auf die Alice zugreifen will, ebenfalls WWW-Lösungen sind,
dann bietet es sich an, Web-SSO zu nutzen. Hierbei loggt sich Alice auf einem
Portal ein, wobei sie zur Authentifizierung ihr Passwort eingibt oder ihre Smart-
card einsteckt. Auf dem Portal erhält Alice dann Zugang zu mehreren Weban-
wendungen, bei denen sie sich nicht mehr separat einloggen muss. Natürlich müs-
sen sich auch Web-SSO-fähige Server untereinander verständigen, damit Alice sich
nicht mehrfach einloggen muss. Deshalb arbeiten auch viele Webanwendungen mit
Search WWH ::




Custom Search