Zum Single Sign On in 30 Minuten

Zum Single Sign On in 30 Minuten

Durch die gestiegene Anzahl an verschiedenen digitalen Services im Enterprise wie auch im Customer Umfeld wurde Single Sign On zunehmend kritisch. Auf der einen Seite ist es ein wesentliches Element um mehr Nutzerkomfort zu bieten, eine reibungslose Journey zu ermöglichen und auf der anderen Seite dient es zur Verbesserung der Sicherheit. Dabei spielt Identity und Access Management die zentrale Rolle, um einen Single Sign On zu realisieren.

Wo hilft ein Cloud identity und Access Management?

Ein Cloud Identity und Access Management unterstützt beim Management der unterschiedlichen Stakeholder. Das beginnt bei Mitarbeitern über Kunden und Partner. Hierbei dreht es sich nicht nur um Einzelpersonen, sondern mit Blick auf Kunden und Partner ist offensichtlich, dass Stakeholder auch Organisationen darstellen können, die wiederum in Hierarchien gegliedert sein können. All das muss ein Identity und Access Management Sysem abbilden können.

Intern/Enterprise IAM: Das Management der Mitarbeiter wird aufgrund der zahlreichen digitalen Kanäle immer komplexer. Seit langem setzen Unternehmen daher ein sogenanntes IAM oder IDM. Hierbei spielt insbesondere die Abbildung der Berechtigung eine wesentliche Rolle, um Zugriffseinschränkungen, Segregation of Duty und damit das Berechtigungskonzept umzusetzen. Sowohl das Onboarding wie auch die weitere bedarfsgerechte Zuteilung von Rechten muss dabei effizient, transparent und schnell umgesetzt sein. Hierbei unterscheiden sich die Anforderungen und Prozesse je nach Branche, Organisation und auch Abteilung sehr stark. Ein IAM muss daher die individuellen Bedürfnisse eines Unternehmens abdecken können, um eine klare, sichere und effiziente Realisierung des Berechtigungskonzeptes zu ermöglichen.

Customer IAM: Digitale Services sprießen insbesondere im Endkundenumfeld geradezu aus dem Boden. In jeder Branche, im B2B, wie auch B2C Umfeld werden sie ein wesentlicher Bestandteil, ein Entscheidungskriterium werden, um Kunden besser kennenzulernen, leichter zusammenzuarbeiten, Kunden und Partner zu begeistern und damit auch langfristig zu binden.

Bei Kunden lassen sich meist die Systeme sehr gut von den internen Systemen separieren. Die Kundenkanäle repräsentieren die Kommunikationskanäle, die Kunden bereitgestellt werden, um neue Services anbieten zu können. Dann gibt es die Systeme, die vor allem intern, im Unternehmen genutzt werden, wie das CRM, das ERP System, die Zeiterfassung usw. Hier bekommen lediglich Mitarbeiter Zugriff. Während bei Kundenkanälen häufig auch schon Mitarbeiter Zugriff benötigen, sind Partner die Extremfälle. Je nach Aufgabe ist der Partner sowohl auf Kundekanälen wie auch auf den internen Systemen unterwegs. Ein Gruppenmanagement ist hiermit zwingend notwendig.

Zum Single Sign On in 30 Minuten

Mit einem Identity und Access Management, wie cidaas, schaffen Sie über die Applikationen in einem Unternehmen, wie CRM, ERP, Office-Systeme usw. eine Identität des Nutzers über alle Kanäle und damit Single SIgn On einzuführen.

Und auch für den Kundenbereich wird über ein Identity und Access Management die Registrierung und Authentifizierung des Kunden durchgeführt. Damit erkennen Sie Ihre Kunden über die verschiedenen digitalen Services wie Cloud-Services, Web-Services, Shop-Systeme usw., wissen wo er sich bewegt, welche Kanäle er verwendet und können ihm neben Komfort auch außergewöhnliche, individuelle Kundenerlebnisse bieten.

Ablauf eines Single Sign Ons:

Die Defacto-Standards im Identity Umfeld sind OpenID Connect und OAuth2. Dabei handelt es sich um die neueren Standards. SAML, insbesondere in der Ausbaustufe SAML2.0, ist der ältere Standard, dem dennoch gerade im internen Umfeld noch viele Systeme folgen. Über diese Standards erfolgt die Integration eines Identity Management Systems und die Umsetzung von Single Sign On.

    1. Aufruf der Domain 1: Das könnte zum Beispiel ein Shopsystem sein.
    2. Die Domain 1 sagt, hier wird ein Login benötigt, damit wird die Weiterleitung zu cidaas initiiert.
    3. Im dritten Schritt logged sich der Nutzer ein.
    4. Cidaas speichert die Information im Cookie ab, im Browser-Storage. Gegenfalls werden noch weitere Informationen gespeichert um Bot Angriffe und Betrugsversuche zu verhindern.
    5. Woraufhin die Weiterleitung an das Shopsystem erfolgt.
    6. Mit dem mitgesendeten Token kann das Shopsystem arbeiten. Damit kann der Nutzer authentifiziert werden und die Nutzung des Shopsystems stattfinden.
    7. Das Shopsystem kann dann Informationen im Domain 1 Cookie hinterlegen
Single Sign On zeichnet sich dadurch aus, dass zum einen mit dem gleichen Authentifizierungsmechanismus auf den verschiedenen Domainen gearbeitet werden kann, aber auch dadurch, dass der Nutzer eingeloggt bleibt kanalübergreifend.
  1. Nutzer wechselt auf die Webseite in Domain 2.
  2. Hier wird ebenfalls ein Login benötigt, sodass die Weiterleitung an cidaas geschieht
  3. Woraufhin die Weiterleitung auf die Webseite mit dem ausgestellten Token erfolgt.
  4. Die Webseite kann nun den Token verwenden und die Authentifizierung durchführen. In diesem Token können dann bspw. auch Informationen wie Vorname, Nachname etc. verfügbar sein.
  5. Dort kann dann im Domain 2 Cookie wiederum weitere Informationen gespeichert werden.

 

Single Sign On - Process

Um diese Möglichkeiten und Single Sign On praxisnah zu zeigen, können Sie die Integration basieren auf OpenID Connect ganz einfach nach diesen Schritten durchführen.

Wie basierend auf dem SAML Standard die Integration erfolgt, können Sie hier sehen und selbst testen.

Please follow and like us: