Der Blick auf eine High-Level-SSO-Architektur.
Foto: Foundry / Matthew Tyson
In jedem Fall erfordert Federated Identity Management eine zentrale Institution, die die gemeinsamen Anmeldeinformationen zwischen den verschiedenen Diensten vermittelt. Dabei kann es sich um einen Identity Manager handeln, der:
-
von der Organisation selbst erstellt wurde (etwa unter Verwendung von Active Directory), oder
-
ĂŒber einen IdentitĂ€tsanbieter in unterschiedlichem Umfang bereitgestellt wird.
Enterprise Single Sign-on deckt oft Situationen ab, in denen sich Mitarbeiter mehrfach bei internen Systemen anmelden mĂŒssen, beispielsweise an HR-Portal und IT-Ticketsystem. Dieses Konzept birgt offensichtliche UX-, aber auch systemische Probleme, weil IdentitĂ€tsinformationen ĂŒber heterogene Systeme verteilt werden. Dieser Umstand beeintrĂ€chtigt die Sicherheit und erschwert es, Richtlinien durchzusetzen. So mĂŒssen etwa bei On- und Off-Boarding eines Mitarbeiters gleich zwei verschiedene Datenspeicher geĂ€ndert werden.
Federated Single Sign-on ermöglicht die gemeinsame Nutzung von Anmeldeinformationen ĂŒber Unternehmensgrenzen hinweg. Als solches stĂŒtzt es sich in der Regel auf eine groĂe, gut etablierte Einheit mit weitreichendem Trust â beispielsweise Google, Microsoft oder Amazon. Selbst eine kleine Applikation kann relativ einfach um die Option âAnmelden bei Googleâ ergĂ€nzt werden und den Nutzern eine einfache Anmeldemöglichkeit bieten, bei der sensible Informationen in den HĂ€nden der groĂen Organisation bleiben.
