027: Wie Single Sign On (SSO) die tägliche Anmeldung vereinfachen kann

00:00:08: Hallo und herzlich Willkommen zu Folge

00:00:10: 3 von Bluescreen wissen Ich bin Alex

00:00:12: und heute geht es um Single Sign on

00:00:15: oder abgekürzt SSOSSO habe ich bestimmt

00:00:17: schon in den Podcast Episoden oder in

00:00:19: meinen Webinaren das eine oder andere

00:00:20: mal erwähnt und ich erklär euch heute mal

00:00:23: was ist denn damit eigentlich auf sich hat?

00:00:25: Unter SO versteht man einen Mechanismus,

00:00:29: wo ich mich mit einer Anmeldung

00:00:31: an einem System anmelde einmalig.

00:00:34: Und diese Anmeldung,

00:00:36: die funktioniert dann für alle

00:00:38: darauffolgenden Dienste,

00:00:39: die daran zum Beispiel gekoppelt sind,

00:00:41: klingt irgendwie komplex.

00:00:43: Machen wir mal ein Beispiel dazu,

00:00:46: um es vielleicht besser darstellen zu können,

00:00:48: wenn ihr euch jetzt zum Beispiel

00:00:50: an eurem Windows Rechner mit eurem

00:00:52: Benutzernamen und ein Kennwort anmeldet,

00:00:53: dann werden diese Daten weiter verwendet.

00:00:56: Zum Beispiel wenn der Rechner dann

00:00:58: hochgefahren und angemeldet wurde,

00:00:59: um euch automatisch an Edge anzumelden

00:01:02: oder an Microsoft 365 Apps wie

00:01:05: zum Beispiel Outlook oder Word.

00:01:06: Das heißt diese Anmeldedaten von

00:01:09: der Initialen Anmeldung,

00:01:10: die werden durchgereicht und ihr

00:01:11: seid quasi für alle anderen Systeme,

00:01:14: die auch an dieser Identität hängen,

00:01:16: also in dem Fall.

00:01:17: Am Active Directory verwendet

00:01:19: damit man nicht sich extra noch mal

00:01:22: irgendwo weitere Seiten sonst was,

00:01:24: was man halt so braucht,

00:01:25: noch mal extra anmelden muss noch mein

00:01:27: Kennwort eingeben muss und vielleicht auch

00:01:29: nochmal multifaktor Authentifizierung

00:01:30: präsentieren muss ist ne super.

00:01:32: Praktische Geschichte gibt es aber nicht nur

00:01:34: bei lokalen PC Systemen oder Cloud Systemen,

00:01:37: sondern es gibt es zum

00:01:38: Beispiel auch bei Webseiten.

00:01:39: Das gibt es auch bei verschiedenen

00:01:41: anderen Diensten und das praktische

00:01:43: dabei ist halt ich bin halt als

00:01:46: Anwender einmal authentifiziert.

00:01:47: Und danach ist das Ganze auch sicher und

00:01:49: ich kann mich innerhalb dieser Sitzung

00:01:51: so lange die Sitzung Gültigkeit hat,

00:01:53: auch frei bewegen,

00:01:55: jetzt könnte man ja natürlich aber sagen ja,

00:01:58: wie wird denn das gespeichert,

00:02:00: dass ich mich hier schon mal angemeldet hab?

00:02:01: Und da gibt es 2 verschiedene

00:02:04: Methoden das eine ist ein Session

00:02:06: Cookie das kennt man von Webseiten,

00:02:08: wenn man jetzt zum Beispiel sich irgendwo

00:02:11: mal an seinem Gmail Account angemeldet

00:02:12: hat und wechselt jetzt im Browser in

00:02:15: ein Privates in ein anonymes Browserfenster.

00:02:17: Ist man dort halt nicht mehr angemeldet,

00:02:19: weil der private Browser zum Beispiel

00:02:21: hat keinen Zugriff auf die Session

00:02:23: Cookie aus der anderen Browser Sitzung hat?

00:02:25: In dem Fall heißt das also,

00:02:27: ich brauche dieses Cookie,

00:02:29: damit ich mich anmelden kann.

00:02:32: Jetzt könnte man aber natürlich

00:02:33: weiter denken und sagen ja,

00:02:34: aber wenn das Cookie jemand

00:02:36: in die Finger kriegt,

00:02:37: dann kann der sich ja im Prinzip

00:02:39: überall anmelden, ist richtig,

00:02:40: aber die Kombination aus dem Cookie und der

00:02:44: Gerätekennung also welches Gerät ist das?

00:02:46: Woher kommt das Gerät usw

00:02:48: sind alles auch Mechanismen,

00:02:50: die dann noch dabei eine Rolle spielen?

00:02:51: Also alleine des Cookie reicht

00:02:54: nicht aus zumindest nicht,

00:02:55: solange der Anwender sich nicht auch auf

00:02:58: meinem Rechner gleichzeitig mit mir befindet,

00:03:00: also der Angreifer auf der

00:03:02: gleichen Instanz arbeitet,

00:03:03: wie auch ich?

00:03:04: So als Alternative zu den Cookies gibt es

00:03:07: zum Beispiel auch noch sogenannte Tokens,

00:03:09: auch die werden dann ausgestellt

00:03:11: und haben eine gewisse Gültigkeit.

00:03:13: Und nach Ablauf dieser Gültigkeit muss

00:03:15: ich mich daneben wiederum neu anmelden,

00:03:17: oder wenn ich zwischendurch den Cookie

00:03:20: Verlauf, den Browserverlauf lösche auch

00:03:22: dann muss ich mich wieder anmelden

00:03:23: oder wenn ich mein Gerät neu starte,

00:03:25: dann eben auch dann. Das heißt,

00:03:27: es ist eine komfortable Geschichte,

00:03:30: es macht die Anmeldung auf jeden

00:03:32: Fall einfacher und wir erleben das

00:03:34: gerade eben im Bereich, zum Beispiel,

00:03:36: wie vorhin erwähnt bei Microsoft.

00:03:37: Bei der Anmeldung im Betriebssystem und

00:03:39: dann der durch gereichten Anmeldungen

00:03:41: in Richtung der verschiedenen

00:03:43: Microsoft Cloud Dienste.

00:03:44: Das macht halt einfach praktikabel

00:03:47: und dank der Sicherheitsmechanismen,

00:03:49: die dahinter stecken,

00:03:50: sprich ich brauch halt nicht nur das

00:03:53: den Token oder des Session Cookie,

00:03:55: sondern auch noch das gleiche Gerät

00:03:56: die gleiche öffentliche IP Adresse und

00:03:58: so weiter und sofort haben wir einfach

00:04:00: hier den ganz großen Vorteil das ist

00:04:02: lernt auch dadurch sicher wird man

00:04:04: spricht an der Stelle über Zero Trust,

00:04:06: aber das wird das Thema von

00:04:08: der nächsten Folge.

00:04:08: Wie das funktioniert,

00:04:10: erklärt ich dann in Folge 4

00:04:12: sehr bekannte Mechanismen,

00:04:14: die mit solchen Vorgehensweisen arbeiten,

00:04:17: die mit dieser Methodik von

00:04:19: Singles sein und arbeiten.

00:04:20: Die sind natürlich auch

00:04:22: standardisiert wahrscheinlich

00:04:23: eines der bekanntesten ist sammel,

00:04:26: also Security Assertion Markup Language.

00:04:28: Ich musste das jetzt tatsächlich ablesen,

00:04:30: weil ich mir nie merken kann.

00:04:32: Das wäre zum Beispiel eine Methode

00:04:33: gibt es auch von anderen Anbietern,

00:04:36: wie zum Beispiel auch von Barracuda.

00:04:37: Wenn ihr von uns ein.

00:04:39: Barracuda Application Gateway habt

00:04:41: funktioniert das auch auf diesem Mechanismus?

00:04:44: Das heißt ihr meldet euch erst an

00:04:46: der Barracuda Lösung an mit euren

00:04:47: Microsoft Zugangsdaten und die werden

00:04:49: dann hinten dran an einer anderen

00:04:51: Stelle geprüft durchgereicht und

00:04:52: ihr arbeitet dann sozusagen auf

00:04:54: diese Session weiter ne Alternative?

00:04:56: Dazu würde Open ID auch darstellen.

00:04:59: Open ID ist auch sehr weit verbreitet,

00:05:01: gerade eben bei Web basierten Anwendungen.

00:05:03: Und auch das arbeitet so mit

00:05:06: dieser Vorgehensweise.

00:05:07: Ja, dass so viel zum Thema Single Sign on.

00:05:11: Ich hoffe,

00:05:11: das hat euch ein bisschen weitergeholfen bei

00:05:13: der Begriffserklärung und dann wie gesagt,

00:05:16: hören wir uns hoffentlich zur Folge 4

00:05:18: demnächst wieder da werde ich euch dann

00:05:20: mal so den technischen Hintergrund zu

00:05:22: diesem ganzen Thema Sero Trust erklären,

00:05:24: was es damit auf sich hat und wie das

00:05:26: dann im Detail genau funktioniert,

00:05:28: macht es gut bis zum nächsten Mal

00:05:30: und ich freu mich wenn ihr dann

00:05:33: auch wieder zuschaltet,

00:05:34: wenn es dann wieder heißt Hallo und

00:05:35: herzlich willkommen zu plus Green wissen,

00:05:37: bis dann tschüß.

00:05:42: Hallo.