a good thing!
SSO wird von Unternehmen eingesetzt, um den Nutzern den Zugriff auf ihre eigenen gehosteten Anwendungen und auf von Partnern oder Anbietern gehostete Dienste zu erleichtern. Auf diese Weise brauchen sich die Nutzer nicht länger mit der Verwaltung der einzelnen Passwörter für jede der benötigten Anwendungen oder Dienste abmühen. Außerdem nimmt es den IT-Teams die Last der Passwort-Rücksetzungen für ebendiese lange Reihe von Anwendungen und Services ab, auf die ihre Nutzer ständig zugreifen müssen. Weitere Informationen über das SSO finden Sie unter Single Sign-on.
Unternehmen verwenden Verzeichnisse, um Informationen über ihre Nutzer zu speichern. Da diese Funktion für die meisten Firmen unentbehrlich ist, dienen Verzeichnisse auch als zentrale Datenquelle für die Authentifizierung, Autorisierung und weitere richtlinienbasierte Entscheidungen sowie für die Speicherung von zusätzlichen geschäftsrelevanten Nutzerdaten.
Da ein Verzeichnis die Daten der Nutzer aufbewahrt, wird es auch für die Speicherung der Informationen für die Authentifizierung von Nutzern verwendet. Dabei kann es sich um ein sicheres Passwort handeln, das für diesen Nutzer zum Zeitpunkt der Registrierung erfasst wird, oder um ein Zertifikat bzw. einen Nachweis zur Verifizierung der tatsächlichen Identität des Nutzers.
In diesem Fall ist der SSO-Dienst mit dem Verzeichnis gekoppelt, um:
nach dem Nutzer zu suchen, damit festgestellt wird, ob das Benutzerkonto existiert.
Anmeldeinformationen des Benutzers (Passwörter, Zertifikate je nach Richtlinie) zu validieren, die im Verzeichnis hinterlegt sind.
In einigen Fällen kann der SSO-Dienst angefordert werden, um festzustellen, ob ein bestimmter Nutzer zu einer Anfrage berechtigt ist. Dann sucht er im Verzeichnis ein oder mehr nutzerrelevante Attribute zusammen und gleicht sie mit seiner Autorisierungsrichtlinie ab, die vorschreibt, welche Attribute der Benutzer vorweisen muss, um auf einen bestimmten Dienst zugreifen zu können. Dies kann so einfach sein wie die Zugehörigkeit zu einer bestimmten Gruppe oder die Zuweisung einer Rolle, die den Zugriff auf die angeforderte Ressource ermöglicht.
In vielen Fällen benötigt die Zielanwendung (also die Anwendung, für die der SSO-Dienst Token bereitstellt, um das SSO zuzulassen) zusätzliche Informationen über die Attribute des Nutzers, um:
den Nutzer für den Dienst zu identifizieren.
den Zugriff für bestimmte Aspekte der Anwendung zu limitieren.
das Nutzererlebnis für den jeweiligen Nutzer in dieser Anwendung anzupassen.
Sofern Teile dieser Art von Informationen im Verzeichnisdienst gespeichert wurden, kann der SSO-Dienst die betreffenden Attribute während des SSO dort abrufen, um sie als Anforderungen an das Token anzuhängen, die so an den Zieldienst oder die Zielanwendung weitergegeben werden.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern