Midrange MAGAZIN – Juli 2007
Midrange MAGAZIN – Juli 2007
Midrange MAGAZIN – Juli 2007
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
2<br />
SCHWERPUNKT<br />
Abbildung 1: Architektur eines ESSO-Systems<br />
nächst vor einer verwirrenden Vielfalt<br />
von Single Sign-On-Techniken (SSO):<br />
Web Single Sign-On (Web SSO) etwa<br />
ermöglicht die Web-Server-basierte<br />
einheitliche Anmeldung an verschiedene<br />
Web-Applikationen; Enterprise<br />
Single Sign-On (ESSO) bietet Single<br />
Sign-On über einen Desktop-basierten<br />
Anmeldeservice; das vom Microsoft-<br />
Anmeldeverfahren unterstützte Kerberos<br />
bietet eine Ticket-basierte SSO-Variante;<br />
die Security Assertion Markup<br />
Language (SAML) kann sogar eine Anmeldung<br />
und Authentifizierung über<br />
das Internet-Protokoll über Unternehmensgrenzen<br />
hinweg durchführen („föderierte<br />
Authentifizierung“).<br />
Web SSO und die noch neue SAML-<br />
Technik sind auf für Browser-basierte<br />
Anwendungen beschränkt und zielen<br />
nicht auf SSO in inhomogenen Umgebungen.<br />
Manches Unternehmenüberlegt<br />
daher, eine<br />
einheitliche Kerberos-Strategie<br />
einzuschlagen.<br />
Doch wenn die IT-<br />
Umgebung nicht<br />
ausschließlich aus<br />
Systemen besteht,<br />
die Kerberos „outof-the-box“unterstützen,<br />
dann ist<br />
MIDRANGE MAgAZIN · 07/<strong>2007</strong><br />
HOCHVERFÜgBARKEIT / IT-SICHERHEIT<br />
dieser Weg ein aufwändiges und kostspieliges<br />
Projekt: Die Kerberos-Unterstützung<br />
muss programmiert werden.<br />
Bleibt Enterprise Single Sign-On als<br />
Lösung, die sich in den letzten Jahren<br />
zu einer einfach zu implementierenden<br />
und ausgereiften Technik entwickelt<br />
hat. ESSO-Lösungen bestehen meist<br />
aus einer Desktop-Komponente, die<br />
Anmeldevorgänge ausführt, sowie einer<br />
Backend-Komponente, die UserID/<br />
Kennwort-Kombinationen („Credentials“)<br />
sicher verwaltet (s. Abbildung 1).<br />
ESSO-Lösungen nutzen die bestehenden<br />
Anmeldedialoge der aufgerufenen<br />
Anwendungen und nehmen im<br />
Prinzip dem Benutzer das Ausfüllen<br />
dieser Dialoge ab. Der Benutzer wird<br />
direkt in die Anwendung weitergeführt.<br />
Mit diesem Verfahren lassen sich<br />
erstens alle möglichen Systeme unab-<br />
Abbildung 2: Integration von ESSO mit anderen Anmeldetechniken<br />
hängig von ihrer<br />
Basistechnologie<br />
einbinden, und<br />
zweitens müssen<br />
die Anmeldeverfahren<br />
dieser Anwendungen<br />
nicht<br />
verändert werden.<br />
Damit sind<br />
ESSO-Lösungen<br />
universell, schnell<br />
und kostengünstig<br />
einsetzbar.<br />
Außerdem kann<br />
man sie ideal mit<br />
anderen Anmeldetechniken<br />
und einer primären Mehrfaktor-Authentifizierung<br />
am Windows-<br />
Desktop kombinieren (s. Abbildung 2).<br />
ESSO kann sowohl strategische Lösung<br />
sein als auch taktischer Ansatz, bei<br />
dem anschließend Systeme langfristig<br />
Schritt für Schritt auf Kerberos oder<br />
SAML umgestellt werden. Schließlich<br />
ermöglicht ESSO die Kontrolle, welcher<br />
Benutzer sich wann an welcher Anwendung<br />
angemeldet hat <strong>–</strong> ein wichtiger<br />
Sicherheits- und Compliance-Aspekt!<br />
Worauf sollte man bei der Einführung<br />
von ESSO-Lösungen achten?<br />
Zunächst ist es wichtig, auf einfache<br />
Weise neue Anwendungen integrieren<br />
zu können. ESSO-Produkte bieten meist<br />
„Wizards“, mit denen man einfache Applikationen<br />
in wenigen Stunden anbindet.<br />
Für Fälle mit komplexen Anmelde-