SSO — IT-Definition
Single Sign-On: Mechanismus, der einem Benutzer ermöglicht, sich einmal anzumelden, um auf mehrere Anwendungen zuzugreifen.
Das SSO (Single Sign-On, einmalige Anmeldung) ist der Mechanismus, der einem Benutzer ermöglicht, sich einmal anzumelden, um auf eine Reihe von Anwendungen zuzugreifen, ohne sich bei jedem Service erneut authentifizieren zu müssen. Eine der wesentlichen Bausteine des modernen IAM und ein starker Hebel für Sicherheit, Produktivität und SI-Governance.
Ein durchschnittlicher Mitarbeiter nutzt heute mehr als 35 Anwendungen pro Woche (Okta Businesses at Work 2024), und laut LastPass verwaltet jeder Benutzer durchschnittlich 191 berufliche Passwörter. Ohne SSO ist dieses Volumen nicht zu bewältigen.
Wie SSO funktioniert
Das SSO stützt sich auf einen Identitäts-Anbieter (Identity Provider, IdP) — Microsoft Entra ID, Okta, Google Workspace, Ping Identity, ForgeRock — der den Benutzer authentifiziert und den Ziel-Anwendungen (Service Providers, SP) einen signierten Identitätsnachweis liefert.
Standard-SSO-Protokolle
- •SAML 2.0: historischer Enterprise-SSO-Standard, XML-basiert.
- •OpenID Connect (OIDC): moderne Version auf OAuth-2.0-Basis, JSON.
- •OAuth 2.0: Autorisierungs-Protokoll.
- •Kerberos: historischer Active-Directory-Standard.
- •CAS: Open-Source-Protokoll.
SSO-Vorteile
- •Erhöhte Sicherheit: weniger Passwörter = weniger Leck-Risiko.
- •Produktivität: laut Okta spart SSO 5 bis 15 Minuten pro Benutzer pro Tag.
- •Governance: ein einziger Widerrufpunkt.
- •Audit und Compliance: zentralisierte Authentifizierungs-Logs.
- •Kampf gegen [Schatten-IT](/de/glossary/shadow-it): .
SSO ≠ MFA ≠ Passwort-Manager
Drei komplementäre Mechanismen, oft verwechselt:
- •SSO: einmalige Anmeldung für mehrere Anwendungen.
- •MFA: zweiter Faktor bei der Authentifizierung.
- •Passwort-Manager: speichert und füllt automatisch aus.
Die Kombination SSO + MFA ist heute der Mindeststandard.
SSO und regulatorische Compliance
- •NIS2: , DORA, DSGVO, ISO 27001 (A.9 Zugangskontrolle), SOC 2.
Grenzen
- •Single Point of Failure: wenn der IdP ausfällt, ist das gesamte SI nicht erreichbar.
- •Teilabdeckung: nicht alle Apps unterstützen SAML/OIDC.
- •Propagationsrisiko: ein kompromittiertes IdP-Konto öffnet alles. MFA ist daher nicht verhandelbar (FIDO2 ideal).
Kabeen erkennt automatisch alle vom Mitarbeiter genutzten Anwendungen — auch außerhalb des SSO — und ermöglicht das priorisierte Anbinden an den zentralen IdP.
Häufig gestellte Fragen
Was ist SSO?
+
SSO (Single Sign-On) ist ein Authentifizierungsmechanismus, der einem Benutzer ermöglicht, sich einmal anzumelden, um auf eine Reihe von Anwendungen zuzugreifen, ohne sich bei jedem Service erneut authentifizieren zu müssen. Es stützt sich auf einen zentralen Identitäts-Anbieter (Microsoft Entra ID, Okta, Google Workspace), der den Benutzer authentifiziert und den Anwendungen einen signierten Identitätsnachweis liefert.
Unterschied zwischen SSO und MFA?
+
Das SSO ermöglicht die Nutzung eines einzigen Logins für mehrere Anwendungen. Die MFA (Multi-Faktor-Authentifizierung) verlangt einen zweiten Authentifizierungs-Faktor (TOTP-Code, FIDO2-Schlüssel, mobiles Push) zusätzlich zum Passwort. Die beiden sind komplementär: SSO ohne MFA ist riskant (ein einziges kompromittiertes Passwort öffnet alles); MFA ohne SSO lässt das Problem der Konten-Vermehrung bestehen. Die Kombination SSO + MFA ist der aktuelle Sicherheitsstandard.
Welche SSO-Protokolle existieren?
+
Die Hauptstandards sind SAML 2.0 (historisch, XML, dominant in Enterprise-Web-Apps), OpenID Connect / OAuth 2.0 (moderne Versionen, JSON, geeignet für mobile Apps und SPAs), Kerberos (Active Directory, dominant in internen Windows-Netzwerken) und CAS (Open Source, verbreitet im französischen Hochschulwesen). Die meisten modernen SaaS-Anbieter unterstützen SAML 2.0 und OIDC.
Was sind die Risiken von SSO?
+
Drei Hauptrisiken: (1) der Single Point of Failure — wenn der IdP ausfällt, sind alle Apps nicht erreichbar, daher die Bedeutung der Hochverfügbarkeit; (2) die Kompromittierungs-Propagation — ein kompromittiertes IdP-Konto öffnet alle verbundenen Apps, daher die obligatorische MFA; (3) die Teilabdeckung — die nicht an das SSO angebundenen Anwendungen bleiben tote Winkel. Eine gute SSO-Governance erzwingt eine phishing-resistente MFA (FIDO2).
Alle Begriffe
5R-Methode
Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.
8R-Methode
Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.
Anwendung
Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.
Architektur
Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.
Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?
Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.