Seite wählen

Single Sign-On (SSO) – Einmal anmelden, alles nutzen

Zentrale Authentifizierung: Mehr Sicherheit, weniger Passwörter, bessere Nutzererfahrung

Jetzt Beratung anfragen

Single Sign-On (SSO) ermöglicht es Benutzern, sich einmal anzumelden und anschließend auf alle verbundenen Anwendungen und Dienste zuzugreifen — ohne sich für jedes System separat authentifizieren zu müssen. In Unternehmen, in denen Mitarbeiter täglich 10-20 verschiedene Anwendungen nutzen, reduziert SSO die Passwort-Frustration, erhöht die Sicherheit und spart IT-Support-Kosten.

SSO ist ein Kernelement des Identity and Access Managements (IAM) und wird von ISO 27001, BSI IT-Grundschutz und der NIS2-Richtlinie als Best Practice für die Zugangssteuerung empfohlen.

Was ist Single Sign-On?

Bei SSO authentifiziert sich der Benutzer einmalig bei einem zentralen Identity Provider (IdP). Dieser IdP stellt anschließend für jede verbundene Anwendung (Service Provider/SP) eine Bestätigung aus, dass der Benutzer authentifiziert ist — ohne dass der Benutzer sein Passwort erneut eingeben muss.

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen

Wie funktioniert SSO technisch?

Der typische SSO-Ablauf (am Beispiel SAML 2.0):

  1. Benutzer ruft eine Webanwendung auf (Service Provider)
  2. Service Provider erkennt: Benutzer ist nicht authentifiziert
  3. Redirect zum Identity Provider mit einer Authentication Request
  4. Identity Provider prüft: Ist der Benutzer bereits angemeldet?
  5. Falls nein: Login-Maske wird angezeigt (Benutzername, Passwort, MFA)
  6. Falls ja: Direkt weiter zu Schritt 7
  7. IdP erstellt eine signierte SAML Assertion (digitale Bestätigung der Identität)
  8. Redirect zurück zum Service Provider mit der Assertion
  9. Service Provider validiert die Signatur und gewährt Zugang

Bei weiteren Anwendungen entfällt der Login (Schritt 5), da der IdP den Benutzer bereits kennt.

Vorteile von Single Sign-On

  • Weniger Passwörter — Benutzer merken sich nur noch ein Passwort (das dafür stark sein kann)
  • Höhere Sicherheit — Ein starkes Passwort + MFA statt vieler schwacher Passwörter. Kein Passwort-Recycling mehr
  • Bessere Nutzererfahrung — Nahtloser Zugriff auf alle Anwendungen ohne wiederholte Anmeldung
  • Weniger IT-Support — Bis zu 40% weniger Passwort-Reset-Anfragen. Bei durchschnittlich $70 pro Reset ein erheblicher Kostenfaktor
  • Zentrale Kontrolle — Ein Punkt zum Sperren: Mitarbeiter-Account deaktiviert = sofort kein Zugang mehr zu allen Systemen
  • Compliance — Zentrale Audit-Logs aller Authentifizierungsereignisse
  • Schnelleres Onboarding — Neue Mitarbeiter erhalten über den IdP automatisch Zugang zu allen relevanten Anwendungen

Risiken und Nachteile

  • Single Point of Failure — Wenn der IdP ausfällt, können sich Benutzer nirgends anmelden. Hochverfügbarkeit ist Pflicht
  • Kompromittierung = Zugang zu allem — Ein gestohlenes SSO-Passwort gibt Zugang zu allen verbundenen Diensten. Daher: MFA ist bei SSO Pflicht!
  • Implementierungsaufwand — Nicht alle Anwendungen unterstützen SSO-Protokolle. Legacy-Systeme können problematisch sein
  • Vendor Lock-in — Die Migration von einem IdP zu einem anderen kann aufwändig sein, wenn viele Anwendungen angebunden sind

SSO-Protokolle

SAML 2.0 (Security Assertion Markup Language)

  • XML-basiertes Protokoll für den Austausch von Authentifizierungs- und Autorisierungsdaten
  • Etablierter Enterprise-Standard, unterstützt von allen großen IdPs und SaaS-Anwendungen
  • Browser-basiert (HTTP Redirect/POST), nicht für Mobile Apps oder APIs geeignet
  • Ideal für: Enterprise Web-Anwendungen, Legacy-SSO

OpenID Connect (OIDC)

  • Modernes Authentifizierungsprotokoll, aufgebaut auf OAuth 2.0
  • JSON/REST-basiert, leichtgewichtiger als SAML
  • Unterstützt Web, Mobile Apps und APIs gleichermaßen
  • ID Token (JWT) enthält Benutzerinformationen
  • Ideal für: Moderne Anwendungen, Mobile Apps, SPAs, APIs

OAuth 2.0

  • Autorisierungsprotokoll (nicht Authentifizierung!) — regelt, auf welche Ressourcen ein Benutzer zugreifen darf
  • Basis für OpenID Connect (OIDC ergänzt OAuth um Authentifizierung)
  • Access Tokens statt Passwörter für API-Zugriffe
  • Ideal für: API-Autorisierung, Third-Party-App-Zugriff (z.B. „Mit Google anmelden“)

Kerberos

  • Ticket-basiertes Authentifizierungsprotokoll, Standard in Windows Active Directory Umgebungen
  • Funktioniert im lokalen Netzwerk (kein Internet-SSO)
  • Schnell und effizient für on-premise Umgebungen
  • Ideal für: Windows-Netzwerke, Intranet-Anwendungen, Dateifreigaben

SAML vs. OIDC — Wann was?

Kriterium SAML 2.0 OpenID Connect
Format XML JSON (JWT)
Transport HTTP Redirect/POST REST/HTTPS
Mobile Support Eingeschränkt Exzellent
API-Zugriff Nein Ja (via OAuth)
Komplexität Höher Niedriger
Enterprise-Adoption Sehr hoch (Legacy) Wachsend (Modern)
Empfehlung Bestehende Enterprise-Apps Neue Anwendungen

SSO-Lösungen im Vergleich

Enterprise

  • Microsoft Entra ID (Azure AD) — Marktführer für Microsoft-Umgebungen. SSO für 3.600+ SaaS-Apps, Conditional Access, MFA. In M365 Business Premium enthalten
  • Okta — Cloud-nativer IdP mit 7.000+ App-Integrationen. Exzellente Benutzerfreundlichkeit, Universal Directory. Ab $2/User/Monat
  • Ping Identity — Enterprise-fokussiert mit starker SAML- und OIDC-Unterstützung. Hybrid-fähig (Cloud + On-Premise)
  • OneLogin — Benutzerfreundlich, schnelle Implementierung. Gutes Preis-Leistungs-Verhältnis für Mittelstand

Open Source

  • Keycloak — Red Hat Open Source IdP. SAML + OIDC, User Federation (LDAP, AD), umfangreiche Konfiguration. Der De-facto-Standard für Self-Hosted SSO
  • Authentik — Moderner Open-Source IdP mit intuitivem UI. SAML + OIDC + LDAP Provider. Einfacher als Keycloak
  • Authelia — Leichtgewichtiger Authentication Server. Gut für Reverse-Proxy-Integration (Traefik, Nginx)

SSO implementieren — Best Practices

  1. MFA ist Pflicht — SSO ohne Multi-Faktor-Authentifizierung ist gefährlicher als kein SSO. Empfehlung: FIDO2/WebAuthn oder Authenticator-App
  2. Conditional Access — Zusätzliche Prüfungen basierend auf Gerät, Standort, Risiko-Score. Beispiel: Zugriff aus unbekanntem Land erfordert zusätzliche Verifizierung
  3. Session-Timeouts — Angemessene Sitzungsdauer konfigurieren (nicht „für immer angemeldet“). Typisch: 8-12 Stunden für Büroumgebungen, kürzer für sensitive Anwendungen
  4. OIDC bevorzugen — Für neue Anwendungen OIDC statt SAML (moderner, flexibler, besser für Mobile)
  5. Offboarding-Prozess — Account-Deaktivierung im IdP = sofortiger Entzug aller Zugänge. Automatisierung über HR-System-Integration
  6. Monitoring — Fehlgeschlagene Anmeldungen, ungewöhnliche Muster, verdächtige Standorte überwachen und in SIEM einspeisen
  7. Passwort-Richtlinie — Das eine SSO-Passwort muss besonders stark sein (mindestens 16 Zeichen)

SSO-Sicherheitsrisiken und Gegenmaßnahmen

Token-Diebstahl

SSO-Tokens (SAML Assertions, JWTs) können bei unsachgemäßer Implementierung gestohlen werden:

  • Gegenmaßnahme: Token-Binding, kurze Token-Gültigkeitsdauer, Audience-Restriction

Session Hijacking

Angreifer übernehmen eine bestehende SSO-Session:

  • Gegenmaßnahme: Secure und HttpOnly Cookies, Session-Binding an IP/Gerät, regelmäßige Re-Authentifizierung für sensitive Aktionen

IdP-Kompromittierung

Der Identity Provider selbst wird angegriffen (z.B. SolarWinds-Angriff nutzte gefälschte SAML-Tokens):

  • Gegenmaßnahme: Härtung des IdP, regelmäßige Key-Rotation, Monitoring der Signing-Zertifikate, Privileged Access Management für IdP-Admins

Consent Phishing

Angreifer erstellen bösartige OAuth-Apps, die Benutzer zur Erteilung weitreichender Berechtigungen verleiten:

  • Gegenmaßnahme: App-Registrierung nur durch IT, Consent-Policies, regelmäßige Überprüfung erteilter Berechtigungen

SSO und Zero Trust

SSO ist ein fundamentaler Baustein einer Zero Trust Architektur. In einem Zero-Trust-Modell wird jeder Zugriff verifiziert — SSO stellt die zentrale Authentifizierung bereit, die als Basis für alle weiteren Zugriffskontrollen dient:

  • Identität als neuer Perimeter — SSO macht die Identität zum zentralen Sicherheitsanker
  • Conditional Access — Kontextbasierte Zugriffsentscheidungen (Gerät, Standort, Risiko) ergänzen die Authentifizierung
  • Continuous Verification — Nicht nur beim Login, sondern während der gesamten Session wird die Berechtigung überprüft

SSO und Compliance

  • ISO 27001 — A.9 Zugangssteuerung: Zentrale Authentifizierung als Best Practice
  • NIS2 — Fordert angemessene Zugangssteuerung und Authentifizierung
  • BSI IT-Grundschutz — ORP.4 Identitäts- und Berechtigungsmanagement
  • DSGVO — Art. 32: SSO + MFA als angemessene technische Maßnahme

SSO-Implementierung — Schritt für Schritt

Die Einführung von SSO in einem Unternehmen ist ein strukturiertes Projekt, das typischerweise 2-6 Monate dauert:

Phase 1: Vorbereitung (2-4 Wochen)

  • Bestandsaufnahme — Alle Anwendungen und deren aktuelle Authentifizierungsmethoden inventarisieren
  • SSO-Fähigkeit prüfen — Welche Anwendungen unterstützen SAML oder OIDC? Welche benötigen Anpassungen? Welche sind nicht SSO-fähig?
  • IdP-Auswahl — Basierend auf bestehender Infrastruktur, Anwendungslandschaft und Budget. Microsoft-Umgebung: Entra ID. Multi-Cloud: Okta. Self-Hosted: Keycloak
  • Pilotgruppe — Technisch versierte Abteilung als erste Testgruppe auswählen

Phase 2: Implementierung (4-8 Wochen)

  • IdP einrichten — Identity Provider installieren/konfigurieren, Benutzerverzeichnis anbinden (Active Directory, LDAP)
  • MFA konfigurieren — Multi-Faktor-Authentifizierung für alle SSO-Benutzer einrichten. Empfehlung: FIDO2 Security Keys oder Authenticator-App
  • Anwendungen anbinden — Schrittweise: zuerst die wichtigsten und am einfachsten integrierbaren Anwendungen
  • Conditional Access — Regeln für standort- und gerätebasierte Zugriffssteuerung definieren

Phase 3: Rollout (2-4 Wochen)

  • Pilotgruppe — Erste Benutzergruppe auf SSO umstellen, Feedback sammeln, Probleme beheben
  • Stufenweiser Rollout — Abteilung für Abteilung umstellen, nicht alle gleichzeitig
  • Schulung — Benutzer über den neuen Anmeldeprozess informieren. FAQ und Anleitungen bereitstellen
  • Helpdesk vorbereiten — IT-Support auf häufige Fragen und Probleme vorbereiten

Phase 4: Betrieb und Optimierung (laufend)

  • Weitere Anwendungen anbinden
  • Conditional-Access-Regeln verfeinern basierend auf Erfahrungen
  • Monitoring und Alerting für verdächtige Anmeldeaktivitäten
  • Regelmäßige Überprüfung der SSO-Konfiguration und Zertifikate

SSO für KMU — pragmatischer Ansatz

Auch für kleine und mittlere Unternehmen ist SSO realisierbar und sinnvoll:

  • Microsoft 365 — Wer bereits M365 Business Premium nutzt, hat mit Entra ID bereits einen leistungsfähigen IdP inklusive. SSO für alle Microsoft-Dienste und tausende SaaS-Anwendungen ohne Zusatzkosten
  • Google Workspace — Ähnlich wie Microsoft bietet Google Workspace SSO für Google-Dienste und Drittanbieter-Apps über SAML und OIDC
  • Keycloak — Für technisch versierte Teams eine kostenlose Open-Source-Alternative mit vollem Funktionsumfang. Docker-basiert, schnell aufgesetzt

Der pragmatische Ansatz für KMU: Starten Sie mit den Anwendungen, die Ihre Mitarbeiter am häufigsten nutzen (E-Mail, CRM, ERP, Collaboration-Tools). Bereits die Integration der Top-5-Anwendungen bringt einen spürbaren Sicherheits- und Komfortgewinn.

SSO und Offboarding — Sicherheitskritischer Prozess

Einer der wichtigsten Sicherheitsvorteile von SSO zeigt sich beim Offboarding von Mitarbeitern:

Ohne SSO

  • IT muss manuell den Zugang zu jedem einzelnen System sperren — oft 10-20 verschiedene Anwendungen
  • Erfahrungsgemäß werden 30-40% der Konten vergessen und bleiben nach dem Ausscheiden aktiv
  • Ehemalige Mitarbeiter können wochen- oder monatelang auf Unternehmensdaten zugreifen

Mit SSO

  • Ein einziger Klick im IdP deaktiviert den Zugang zu allen verbundenen Anwendungen sofort
  • Automatisierung über HR-System-Integration: Vertragsenddatum löst automatische Deaktivierung aus
  • Lückenlose Audit-Trails: Nachweisbar, wann der Zugang gesperrt wurde

Dies ist besonders relevant für die ISO 27001 Compliance (A.9.2.6 Entzug von Zugangsrechten) und die DSGVO (Datenminimierung, Need-to-know-Prinzip).

Die Kombination aus SSO, MFA und Conditional Access bildet das Fundament einer modernen, sicheren und benutzerfreundlichen Authentifizierungsarchitektur — und ist eine Investition, die sich durch reduzierte IT-Support-Kosten, höhere Mitarbeiterproduktivität und verbesserte Sicherheit schnell amortisiert.

DATUREX GmbH — SSO-Implementierung

  • SSO-Strategie — Welcher IdP passt zu Ihrer Umgebung? Cloud vs. Self-Hosted?
  • Keycloak/Authentik — Open-Source SSO implementieren und konfigurieren
  • Entra ID/Okta — Cloud-SSO einrichten und Anwendungen anbinden
  • App-Integration — Bestehende Anwendungen über SAML/OIDC anbinden
  • MFA-Rollout — Multi-Faktor-Authentifizierung für alle SSO-Benutzer
  • IAM-Integration — SSO als Teil Ihres Identity and Access Managements
  • Sicherheitsberatung — SSO im Kontext Ihrer Gesamtsicherheitsstrategie
📞 0351 / 79 59 35 13 Angebot anfragen