Was ist SSO (Single Sign-On)?
Single Sign-On (SSO) bedeutet: Nutzer melden sich einmal an und erhalten Zugriff auf mehrere Anwendungen oder Dienste, ohne sich bei jeder Anwendung erneut mit Benutzername und Passwort anmelden zu müssen. Die Authentifizierung erfolgt zentral – typischerweise über einen Identity Provider (IdP), der die Identität gegenüber den angeschlossenen Diensten bestätigt (z. B. per SAML, OIDC).
Vorteile von SSO
- Weniger Passwörter: Ein zentraler Login reduziert Passwortmüdigkeit und die Versuchung, einfache oder wiederverwendete Passwörter zu nutzen.
- Zentrale Sicherheitsmaßnahmen: MFA wird einmal beim IdP konfiguriert und gilt für alle SSO-Anwendungen – konsistenter Schutz.
- Besseres Offboarding: Konto beim IdP deaktivieren entzieht sofort den Zugang zu allen angeschlossenen Diensten.
- Audit & Logging: Anmeldungen laufen über eine zentrale Stelle – bessere Nachvollziehbarkeit für Incident Response und Compliance.
Sicherheit: SSO + MFA
SSO allein schützt nicht vor gestohlenen Zugangsdaten – wer das zentrale Passwort kennt, kann alle Dienste nutzen. Daher sollte SSO immer mit MFA am IdP kombiniert werden; für sensible und Admin-Zugänge idealerweise phishing-resistente MFA. Dann bricht ein geleaktes Passwort nicht automatisch den Zugang zu allen Anwendungen.
Bezug zum Identity Provider
SSO wird in der Regel durch einen Identity Provider (IdP) bereitgestellt (z. B. Microsoft Entra ID, Okta, Keycloak). Der IdP verwaltet Identitäten, MFA und die Verbindung zu den einzelnen Anwendungen. Wer SSO einführt, etabliert damit meist auch einen zentralen IdP – und kann von dort aus Zugriffskontrolle, Least Privilege und Logging konsistent steuern.
Kurz gesagt
SSO bedeutet einmal anmelden, überall Zugriff – zentral über einen IdP. Immer mit MFA kombinieren; dann vereinfacht SSO das Anmeldemanagement und verbessert die Sicherheit.