FAKTENCHECK: SSO zu implementieren ist ein schwieriges Unterfangen
Wir bei Okta möchten Sie stets über die neuesten Ideen und Praktiken rund um Authentifizierung und Sicherheit auf dem Laufenden halten. Dafür müssen wir einige Mythen entlarven. Dieser Blogbeitrag ist der vierte in einer Reihe, die sich mit gängigen Missverständnissen und Mythen rund um Single Sign-On (SSO) befasst. Im Folgenden finden Sie eine vollständige Liste der Mythen, die wir im Zusammenhang mit SSO gesehen (und einem Faktencheck unterzogen!) haben.
Von SSO wird gesagt, es sei schwierig und zeitaufwendig zu implementieren. Dies gilt vielleicht für ältere Lösungen wie ADFS, aber modernes, cloudbasiertes SSO ist anders.
Es ist Dienstag, 11:15 Uhr, und Laura hat um 11:30 Uhr eine wichtige Präsentation. Aber sie kann sich nicht an ihrem Box-Konto anmelden, um eine wichtige Datei abzurufen! Welcher Benutzername und welches Passwort war das nur? An ihrem Gmail-Konto hat sie sich problemlos angemeldet. An Salesforce ist sie auch endlich herangekommen, aber dafür musste sie ein paar Passwörter ausprobieren. Mit Box hat sie jedoch kein Glück, und sie hat gerade eine Anfrage an den IT-Support geschickt. Wird sie die Folien rechtzeitig vor ihrem Meeting herunterladen können?
Leider passiert vielen Menschen häufig dasselbe wie Laura. Da Ihre Mitarbeiter immer mehr Anwendungen verwenden, wird es auch immer frustrierender für sie, alle ihre Anmeldedaten zu verwalten. IT-Teams wissen, wie sie mit SSO solche Schwierigkeiten vermeiden können, aber sie haben oft andere Vorbehalte. Vor allem befürchten sie eine schwierige Implementierung, die viel Zeit und Mühe kostet.
Warum ist die Implementierung älterer SSO-Lösungen so schwierig?
Die Implementierung älterer SSO-Lösungen wie ADFS war schon immer komplex. Heute kommt hinzu, dass ihre verschiedenen Komponenten mit neuen modernen Anwendungen und Konfigurationsänderungen integriert werden müssen. Wir bei Okta haben mit Kunden gesprochen, die innerhalb einer Woche mehr als 5.000 Dollar ausgegeben haben, nur um eine einzige moderne Anwendung mit einem herkömmlichen SSO-Produkt zu integrieren. Unsere internen Daten zeigen, dass ein durchschnittliches Unternehmen 60 Anwendungen nutzt. Zusammengenommen bedeuten diese Erkenntnisse, dass ein herkömmliches SSO schnell teuer werden kann.
Eine weitere Herausforderung bei der Implementierung eines älteren SSO-Produkts besteht darin, einen neuen Benutzerspeicher mit Daten zu füllen. Das ist nicht leicht. Oft sind bereits Profile in einem Benutzerverzeichnis wie Microsoft Active Directory (AD) vorhanden. Wenn ein Unternehmen über mehrere, nicht vertrauenswürdige AD-Gesamtstrukturen verfügt, muss die IT-Abteilung bei der Einführung einer SSO-Lösung wie ADFS manchmal Vertrauensbeziehungen manuell neu einrichten.
Und schließlich bedeutet die Einführung einer SSO-Lösung oft auch die Bereitstellung neuer Hardware. ADFS erfordert mindestens sechs Server und ein Lastenausgleichsmodul pro AD-Gesamtstruktur. Ein weiteres Thema sind Änderungen an der Firewall. Die IT-Abteilung verwendet viel Zeit und Energie darauf, sie passend zu konfigurieren. Bei einer herkömmlichen SSO-Lösung müssen außerdem möglicherweise Wege durch die Firewall geöffnet werden, um die Kommunikation mit Cloud-Anwendungen zu ermöglichen. Dies bedeutet mehr Arbeit für die IT-Abteilung und neue Risiken.
Benutzern über ältere SSO-Lösungen Zugriff auf Anwendungen zu geben, ist schwierig und erfordert Aktualisierungen der Benutzerspeicher, Änderungen der Firewall und zusätzliche Hardware.
Daher ist es verständlich, dass IT-Teams eine Implementierung von SSO für schwierig halten. Der Ansatz hat sich jedoch weiterentwickelt, und es gibt eine viel bessere Alternative. Mit cloudbasierten SSO-Lösungen können Unternehmen die Vorteile von SSO ohne die altbekannten Implementierungsschwierigkeiten nutzen.
Warum ist cloudbasiertes SSO einfacher?
1. Vorgefertigte Konnektoren zu allen Anwendungen
Modernes SSO umfasst vorgefertigte Konnektoren zu gängigen Anwendungen, sodass die IT-Abteilung Anwendungsintegrationen nicht mehr von Grund auf neu erstellen muss. Beispielsweise bietet das Okta Integration Network mehr als 6.000 Integrationen für die gängigsten cloudbasierten und lokalen Technologien. Somit können Sie schnell Benutzer anbinden, Konten bereitstellen und verwalten sowie Daten system- und anwendungsübergreifend synchronisieren. Früher konnte es die IT-Abteilung Monate kosten, Verbindungen zwischen Anwendungen und einer SSO-Lösung herzustellen und zu pflegen. Vordefinierte Integrationen erhöhen die Geschwindigkeit und Effizienz enorm.
2. Kompatibilität mit vorhandenen Verzeichnissen
Eine moderne SSO-Lösung kann leicht mit Ihren vorhandenen Verzeichnissen verknüpft werden. Wenn bereits Benutzer in einem AD- oder LDAP-Verzeichnis vorhanden sind, kann die SSO-Lösung automatisch Konten, Attribute und Gruppen importieren, sodass der neue Benutzerspeicher nicht manuell gefüllt werden muss. Beispielsweise bietet Okta delegierte AD-Authentifizierung, Erteilung und Entzug von Berechtigungen, Verzeichnissynchronisierung und AD-Passwortmanagement. Kurz gesagt werden alle Änderungen zwischen Active Directory und Okta synchronisiert.
3. Keine Änderungen an Hardware oder Firewall erforderlich
Cloudbasiertes SSO bedeutet, dass Sie Hardware nicht selbst beschaffen, installieren, konfigurieren oder unterstützen müssen. Für ein gutes SSO-Produkt sind auch keine Änderungen an der Firewall erforderlich. Okta SSO verwaltet Ihre AD-Anbindung mit einem einfachen Agenten, der sich mit mehreren AD-Domänen und -Gesamtstrukturen (auch nicht vertrauenswürdigen) verbindet – ohne zusätzliche Server oder Änderungen an Ihrer Firewall. Der Agent kommuniziert mit Okta über einen standardmäßigen ausgehenden Internetport (z. B. Port 443).
Eine moderne cloudbasierte SSO-Lösung ist nicht nur einfacher zu implementieren, sondern auch weitaus kostengünstiger. Die Gesamtbetriebskosten für Okta können die Hälfte der Kosten für ADFS oder andere Lösungen wie Oracle, IBM, CA und Ping betragen.
4. Unterstützung lokaler Webanwendungen
Ein weiterer verbreiteter Mythos besagt, dass Cloud-SSO keine lokalen Webanwendungen wie WebLogic, E-Business Suite oder PeopleSoft unterstützen kann, die eine Header-basierte Authentifizierung, Kerberos, IWA oder andere proprietäre Protokolle verwenden. Diese Einschränkung galt früher. Heute jedoch kann cloudbasiertes SSO lokale Webanwendungen sichern und die Schwierigkeiten älterer SSO-Lösungen gehören der Vergangenheit an. Daher empfehlen Analysten die Verwendung von cloudbasiertem SSO (auch bekannt als Identity-as-a-Service (IDaaS)) statt älteren SSO-Lösungen: „Im Jahr 2022 wird IDaaS weltweit mehr als 80 % der implementierten Zugriffsverwaltungen ausmachen.“ – Gartner's Access Management Magic Quadrant 2018.
Fakt: Modernes SSO ist nicht schwer zu implementieren
Moderne, cloudbasierte Single Sign-On -Implementierungen sind weder schwierig noch komplex. Vorgefertigte Integrationen und automatische Benutzerverzeichnis-Konnektoren machen es einfach, neue Benutzer einzubinden und neue Anwendungen zu nutzen, ohne dass zusätzliche Hardware oder Wartungsarbeiten erforderlich sind. Außerdem ist der Service leicht zu skalieren, hochverfügbar und kostensparend. Vor allem aber wird die Sicherheit an Experten delegiert, die sich darauf spezialisiert haben, den Benutzern einen möglichst einfachen und sicheren Zugang zu ermöglichen.
Möchten Sie mehr über SSO erfahren?
Hören Sie sich das Webinar Things You Don’t Know About Single Sign-On (Was Sie nicht über Single Sign-On wissen) an, besuchen Sie unsere SSO-Seite, und sehen Sie sich unsere gesamte Serie mit Faktenchecks zu Mythen an, die folgende Themen behandelt:
Faktencheck: SSO ist das Gleiche wie ein Passwortmanager
Faktencheck: SSO schafft einen Single Point of Failure, ist also weniger sicher
Faktencheck: SSO verlangsamt die IT