Zum Single Sign-On in 30 Minuten
Durch die steigende Anzahl verschiedener digitaler Dienste im Unternehmen und auch im Kundenumfeld wird Single Sign-On immer wichtiger. Zum einen ist es ein wesentliches Element, um mehr Benutzerkomfort und eine reibungslose Nutzung zu ermöglichen, zum anderen dient es der Verbesserung der Sicherheit. Identitäts- und Zugriffsmanagement spielen eine zentrale Rolle bei der Realisierung von Single Sign-On.
Wo helfen Cloud-Identitäts- und Zugriffsmanagement?
Ein Cloud-Identitäts- und Zugriffsmanagement unterstützt das Management der verschiedenen Stakeholder. Das beginnt bei Mitarbeitern, Kunden und Partnern. Dabei geht es nicht nur um Einzelpersonen, sondern auch um Kunden und Partner, denn Stakeholder können natürlich auch Organisationen darstellen, die wiederum in Hierarchien strukturiert sein können. Ein Identity- und Access-Management-System muss in der Lage sein, all dies abzubilden.
Internes/Enterprise IAM: Das Management von Mitarbeitern wird durch die zahlreichen digitalen Kanäle immer komplexer. Unternehmen setzen daher seit langem ein sogenanntes IAM oder IDM ein. Insbesondere die Abbildung der Berechtigung spielt eine wesentliche Rolle bei der Umsetzung von Zugriffsbeschränkungen, der Funktionstrennung und damit des Berechtigungskonzepts. Sowohl das Onboarding als auch die weitere bedarfsgerechte Rechtevergabe müssen effizient, transparent und schnell umgesetzt werden. Je nach Branche, Organisation und Abteilung sind die Anforderungen und Prozesse sehr unterschiedlich. Ein IAM muss daher die individuellen Bedürfnisse eines Unternehmens abdecken können, um eine klare, sichere und effiziente Umsetzung des Berechtigungskonzepts zu ermöglichen.
Customer IAM: Vor allem im Endkundenumfeld schießen digitale Services geradezu aus dem Boden. In jeder Branche, sowohl im B2B- als auch im B2C-Umfeld, werden sie ein wesentlicher Bestandteil, ein Entscheidungskriterium werden, um Kunden besser kennenzulernen, einfacher zusammenzuarbeiten, Kunden und Partner zu begeistern und damit auch langfristig zu binden.
Die Kundensysteme lassen sich in der Regel gut von den internen Systemen trennen. Die Kundensysteme stellen die Kommunikationskanäle dar, die den Kunden zur Verfügung gestellt werden, um neue Dienstleistungen anzubieten. Dann gibt es die Systeme, die hauptsächlich intern, innerhalb des Unternehmens, genutzt werden, wie z.B. das CRM, das ERP-System, die Zeiterfassung etc. Auf diese Systeme haben nur die Mitarbeiter Zugriff. Während bei den Kundenkanälen oft Mitarbeiter Zugriff benötigen, sind Partner der Extremfall. Je nach Aufgabenstellung ist der Partner sowohl auf Kundenkanälen als auch auf den internen Systemen unterwegs. Ein Gruppenmanagement ist daher notwendig.
Mit Identity und Access Management, wie z.B. cidaas, schaffen Sie über die Anwendungen im Unternehmen, wie CRM, ERP, Office-Systeme etc. eine kanalübergreifende Identität des Benutzers und führen so Single Sign-On ein.
Und für den Kundenbereich erfolgt die Registrierung und Authentifizierung des Kunden über Identity und Access Management. So erkennen Sie Ihre Kunden über die verschiedenen digitalen Dienste wie Cloud-Services, Webservices, Shopsysteme etc. wieder, wissen, wo sie sich bewegen, welche Kanäle sie nutzen und können ihnen nicht nur Komfort, sondern auch außergewöhnliche, individuelle Kundenerlebnisse bieten.
Ablauf eines Single Sign-On:
Die De-facto-Standards im Identitätsumfeld sind OpenID Connect und OAuth2. Dies sind die neueren Standards. SAML, vor allem in der Version SAML2.0, ist der ältere Standard, der trotzdem noch von vielen Systemen, vor allem im internen Umfeld, befolgt wird. Diese Standards werden verwendet, um ein Identitätsmanagement-System zu integrieren und Single Sign-On zu implementieren.
- Aufruf der Domäne 1: Dies könnte z. B. ein Shopsystem sein.
- Domäne 1 sagt, dass hier ein Login erforderlich ist, was die Weiterleitung zu cidaas einleitet.
- Im dritten Schritt meldet sich der Benutzer an.
- Cidaas speichert die Informationen im Cookie, im Speicher des Browsers. Zusätzlich werden weitere Informationen gespeichert, um Bot-Attacken und Betrugsversuche zu verhindern.
- Danach werden die Informationen an das Shopsystem weitergeleitet.
- Das Shopsystem kann mit dem mit der Bestellung gesendeten Token arbeiten. Damit kann der Benutzer authentifiziert werden und die Nutzung des Shopsystems kann erfolgen.
- Das Shopsystem kann dann Informationen im Domain-1-Cookie speichern
- Der Benutzer wechselt auf die Website in Domäne 2.
- Auch hier ist eine Anmeldung erforderlich, damit die Weiterleitung zu cidaas erfolgt
- Daraufhin erfolgt die Weiterleitung auf die Webseite mit dem ausgegebenen Token.
- Die Webseite kann nun das Token verwenden und eine Authentifizierung durchführen. Informationen wie Vorname, Nachname etc. können dann in diesem Token verfügbar sein.
- Weitere Informationen können im Domain-2-Cookie gespeichert werden.
Erfahren Sie mehr über die Integration von Single Sign On auf Basis von OpenID Connect und OAuth2.
Hier können Sie sehen und testen, wie die Integration auf Basis des SAML-Standards erfolgt.