Single Sign-On (SSO) und Federation

Stell dir vor, du meldest dich morgens an deinem Arbeitsrechner an – und hast damit sofort Zugriff auf E-Mail, das ERP-System, das Ticketing-Tool und die Cloud-Ablage, ohne dich irgendwo separat einloggen zu müssen. Das ist Single Sign-On (SSO): Eine einzige Authentifizierung öffnet den Zugang zu allen autorisierten Diensten.

SSO löst ein reales Usability- und Sicherheitsproblem. Ohne SSO haben Mitarbeitende für jede Anwendung eigene Zugangsdaten, verlieren sie, schreiben sie auf Zetteln auf oder verwenden überall dasselbe Passwort. Mit SSO gibt es nur noch eine zentrale Authentifizierung – idealerweise mit MFA gesichert – und alle anderen Dienste vertrauen ihr. Das ist nicht nur komfortabler, sondern auch sicherer.

1) Wie SSO funktioniert: Identity Provider und Service Provider

SSO basiert auf dem Zusammenspiel zweier Rollen: Der Identity Provider (IdP) ist das zentrale System, das die Identität verifiziert und bestätigt. Die Service Provider (SP) sind die einzelnen Anwendungen, die dem IdP vertrauen und keine eigene Authentifizierung durchführen. Der Nutzer authentifiziert sich nur beim IdP – der IdP stellt dann Token oder Assertions aus, die bei den Service Providern als Identitätsnachweis akzeptiert werden.

SSO-Anmeldeablauf – Identity Provider → Service Provider

👤Nutzer öffnet Firmen-App (Service Provider) – ist noch nicht eingeloggtSP

↩️Service Provider leitet weiter zum Identity Provider (Redirect zu login.firma.de)IdP

🔐Nutzer authentifiziert sich beim IdP: Passwort + MFAAuthN

🎫IdP stellt signierten Token aus (JWT oder SAML-Assertion): „anna@firma.de, Rolle: Entwickler, gültig 8h"Token

✅Service Provider prüft Token-Signatur, akzeptiert Identität – Nutzer ist eingeloggtALLOW

🔗Zweite App (gleicher SP-Verbund) – Token noch gültig → automatisch eingeloggt, keine erneute Passwort-EingabeSSO

Drücke „Flow zeigen" für den Ablauf.

Der Token enthält Claims – Behauptungen über den Nutzer (Name, E-Mail, Rolle, Ablaufzeit). Diese Claims sind kryptografisch signiert, sodass der Service Provider ihre Echtheit prüfen kann, ohne den IdP nochmals anfragen zu müssen. Bei JWT (JSON Web Token) kann man den Token Base64-dekodieren und die Claims direkt lesen – die Signatur verhindert Manipulation.

2) Protokolle: SAML, OAuth 2.0 und OpenID Connect

SSO ist kein einzelnes Protokoll, sondern wird durch verschiedene Standards umgesetzt. Die wichtigsten sind SAML 2.0 (klassisches Enterprise-SSO), OAuth 2.0 (Delegation von Zugriffsrechten) und OpenID Connect (Identitätsschicht über OAuth 2.0). In der Praxis begegnen dir alle drei.

SSO-Protokolle – Klicke für Details

Wichtige Unterscheidung für die IHK: OAuth 2.0 ist kein Authentifizierungsprotokoll – es delegiert Zugriffsrechte (Authorization). Wenn du „Mit Google anmelden" verwendest, ist das OpenID Connect (Identität) über OAuth 2.0 (Delegation). SAML ist XML-basiert und wird in Enterprise-Umgebungen (z.B. zwischen Firmen-AD und Cloud-Apps) verwendet.

3) Federation: SSO über Organisationsgrenzen

Federation erweitert SSO auf mehrere Organisationen oder Domänen. Ein Beispiel: Du meldest dich mit deinem Firmen-Account bei einer externen SaaS-Anwendung an – ohne dort ein eigenes Konto zu erstellen. Die externe Anwendung vertraut dem Identity Provider deiner Organisation. Das ist Federation.

Identity Federation – ein IdP, viele Service Provider

🏛️ Identity Provider
Microsoft Entra ID / Okta / AD FS

Zentrale Identitätsverwaltung der Organisation

↓ Vertrauensbeziehung (Trust) · signierte SAML/OIDC-Tokens ↓

📧 Microsoft 365

☁️ Salesforce

💻 GitHub Enterprise

🟠 AWS Console

🟦 Jira / Confluence

🏢 Eigene Intranet-Apps

Klicke auf einen Service Provider für Details zur Vertrauensbeziehung.

Wenn ein Mitarbeiter das Unternehmen verlässt, genügt es, sein Konto im IdP zu deaktivieren – er verliert sofort den Zugang zu allen verbundenen Service Providern. Das ist ein enormer Sicherheitsvorteil gegenüber einzeln verwalteten Konten in dutzenden Anwendungen.

Zusammenfassung

SSO ermöglicht eine einzige Anmeldung für viele Dienste. Kern: Identity Provider (IdP) authentifiziert, Service Provider (SP) vertrauen dem Token. Protokolle: SAML 2.0 (Enterprise, XML-basiert), OpenID Connect (modern, JSON/JWT, baut auf OAuth 2.0), Kerberos (Windows-Domänennetz). Federation erweitert SSO über Organisationsgrenzen. Sicherheitsvorteil: Zentrales Offboarding, MFA an einer Stelle durchsetzbar. Kombiniert mit MFA und RBAC bildet SSO das Fundament moderner IAM-Architekturen und Zero Trust.

Single Sign-On (SSO) und Federation

1) Wie SSO funktioniert: Identity Provider und Service Provider

2) Protokolle: SAML, OAuth 2.0 und OpenID Connect

3) Federation: SSO über Organisationsgrenzen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title