Home | Funktionalität | Technologie | Community | News | Download | Vermittler

Technologie: Single SignOn

Die von den einzelnen Anbietern bereitgestellten Funktionalitäten erfordern in der Regel eine Authentifizierung des Anwenders. Um erstens dem Benutzer die mehrfache Authentifizierung bei den verschiedenen Anbietern soweit wie möglich zu ersparen und zweitens für die Anbieter Synergiepotenziale bei der Verwendung dedizierter Authentifizierungs-Hardware (z.B. Hardware-Tokens) nutzbar zu machen, ermöglicht Synergy.Net ein Single-SignOn ("SSO"). Dabei ist entscheidend, dass hierfür kein zentrales Indentitätsmanagement erforderlich ist; es wird also keine zentrale Benutzerdatenbank benötigt, in der sämtliche Benutzerdaten aller beteiligten Anbieter erfasst und gepflegt werden müssten.

Vielmehr verbleibt innerhalb der Synergy-Community die Hoheit über die Benutzerdaten beim jeweiligen Anbieter, wo diese Daten in der Regel innerhalb bestehender Systeme verwaltet werden. Auch der konkrete Authentifizierungsvorgang erfolgt ausschließlich beim Anbieter. Ist bei einem Anbieter noch keine entsprechende Infrastruktur vorhanden, so kann dazu optional auch eine Synergy.Net-Komponente verwendet werden.

Um trotz des dezentralen Identity-Managements ein Single SignOn realisieren zu können, wird das sog. "Account-Linking" verwendet: Es werden also - durch explizite Entscheidung des Anwenders - zunächst die verschiedenen Identitäten eines konkreten Benutzers so miteinander verknüpft, dass beim Übergang von einem Anbieter zum nächsten automatisch die für den neuen Anbieter "passende" Indentität gewählt wird. Dabei gelangen keine auswertbaren Informationen über diese Verknüpfung von einem zum anderen Anbieter. Keiner der beiden kann also erkennen, dass "sein" Benutzer auch Benutzer beim anderen Anbieter ist.

Arbeitet ein Anwender auf diese Weise mit mehreren Anbietern gleichzeitig, so bilden diese einzelnen Sessions zusammen mit der jeweils zugrundeliegenden Identität und dem jeweils zur Authentifizierung verwendeten Verfahren einen sog. Security-Context, also eine Art Meta-Session, die eine Klammer um die Sessions bei den einzelnen Anbietern darstellt.

Hat ein Anwender einmal eine Verknüpfung zweier Identititäten angelegt, indem er sich beim Übergang von einem Anbieter zum nächsten explizit bei diesem angemeldet hat, so können die zu dieser Anmeldung verwendeten Zugangsdaten (z.B. Benutzername und Kennwort, ggfs. aber auch andere Daten wie Client-Zertifikate oder Cookies) im Synergy.Net Password-Safe zwischengespeichert werden. Beim nächsten Mal kann beim Übergang zwischen den Anbietern anhand des Account-Linkings der zugehörige Satz von Zugangsdaten aufgefunden und transparent eingesteuert werden. Sofern ein Anbieter zur Authentifizierung zusätzliche dynamische Merkmale wie Transaktionsnummern (TAN) oder Einmalkennwörter ("one-time-password", OTP) heranzieht, so werden diese beim Übergang von einem Anbieter zum nächsten abgefragt.

Bilden mehrere Anbieter eine Föderation ("Identity-Federation" oder auch "Circle-Of-Trust"), so kann eine Authentifizierung, die für einen Anbieter vorgenommen wurde, auch zu einem anderen Mitglied der Föderation mitgenommen werden. In diesem Fall müssen dynamische Authentifizierungsmerkmale nicht neu erzeugt werden. So kommt ein Anwender z.B. auch zu einem echten Single-SignOn, wenn die Anbieter Hardware-Tokens (OTP) verwenden. Dazu fungiert Synergy.Net als Indentity-Provider, der ein sog. "Token" (SAML-basiert) an den jeweiligen Anbieter weitergibt. In den Tokens ist u.a. das Authentifizierungsverfahren hinterlegt, so dass jeder Provider im Einzelfall prüfen kann, ob in diesem konkreten Fall die Authentifizierung transparent übernommen werden soll, oder ob - z.B. weil für den konkreten Geschäftsprozess eine erhöhte Sicherheitsstufe erforderlich ist - zunächst noch weitere Aktionen notwendig sind. So ist SSO auch dann möglich, wenn Anbieter unterschiedliche Anforderungen bzgl. der notwendigen Authentifizierungsverfahren bzw. der daraus resultierenden Sicherheitsstufen haben: Jeder Anbieter kann anhand des Tokens erkennen, ob in diesem Security-Context ein hinreichend sicheres Authentifizierungsverfahren verwendet worden ist. Ist das der Fall, so wird er das Token akzeptieren. Wird aber ein stärkeres Verfahren gefordert, so erfolgt eine erweiterte Authentifizierung mit dem gewünschten, stärkeren Verfahren; es kommt also zu einem "Upgrade" des Security-Contexts.

Das Konzept der Föderation der Anbieter entspricht dem aktuell bei der BiPRO im Projekt "SSO/Authentifizierung" entstehenden Standard und wird im Rahmen dieses BiPRO-Projektes ggfs. angepasst werden, so dass eine Kompatibilität zu den relevanten BiPRO-Normen erreicht wird.

Weitere Informationen

Prozessintegration

Konzept

Synergy.Net Single SignOn

Clicken Sie auf die Abbildung, um sie vergrößert darzustellen

Schematische Darstellung des dezentralen Single SignOn Mechanismus