Single Sign On in B2B e-Commerce und Webprojekten

Voraussetzungen für Single Sign On

In der Unternehmens IT ist Single Sign On (SSO) nahezu selbstverständlich geworden und fast alle größeren Unternehmen betreiben heute einen Verzeichnisdienst, wie z.B. Active Directory oder LDAP, und setzen Technologien, wie z.B. Kerberos, ein.

Eine einmalige Anmeldung reicht hier aus, um auf verschiedene Datenbanken, Netzwerkverzeichnisse und Applikation zuzugreifen.

Sofern eine e-Commerce Lösung nicht nur auf einem einzigen System, wie z.B. einem Webshop, basiert, sondern eine Vielzahl von Systemen, wie z.B. Content Management Systeme, Foren, Ticketsysteme und Dokumentenmanagementsysteme umfasst, gelten aber andere Voraussetzungen, die gemeistert werden müssen.

So handelt es sich i.d.R. um externe Benutzer die es bei B2B e-Commerce Lösungen einzubinden gilt, die wiederum weltweit verteilt mit unterschiedlichsten Infrastrukturen, Betriebssystemen und Browser agieren.

Darüber hinaus sind die Benutzerdaten zwischen den einzelnen Systemen häufig nicht konsolidiert. Dies ist natürlich für Single Sign On eine unabdingbare Voraussetzung. Dies gilt natürlich auch für den automatisierten Benutzerabgleich, der z.B. dafür sorgt, das neue Benutzer in allen Systemen bekannt gemacht werden und Benutzersperren sich auch in allen Systemen auswirken. Ohne das diese Voraussetzungen geschaffen sind, ist eine Single Sign On Lösung unserer Erfahrung nach nicht sinnvoll.

Sofern diese Basisvoraussetzungen gegeben sind, ist es aber i.d.R. noch ein erheblicher Weg bis zur SSO Lösung.

Lösungsmöglichkeiten für Single Sign On

Einfach gesagt geht es bei SSO darum, dass eine einmal erfolgte Benutzerauthentifizierung für alle Applikationen gelten soll. Doch so “einfach” ist es i.d.R. dann doch nicht.

So soll z.B. eine Benutzerabmeldung natürlich sofort für alle Systeme gelten, egal in welchem System sie erfolgt ist. Weiterhin muss auch das Abmelden und Neuanmelden mit einem anderen Benutzerkonto sicher funktionieren. Ergänzend gibt es häufig kein zentrales System an dem sich der Benutzer anmeldet, sondern er soll sich überall an jedem System anmelden können und anschließend an allen anderen Systemen angemeldet sein.

Hier kam man sich sicherlich etwas “bauen” oder “bauen lassen” und z.B. jedes System mit jedem anderen System individuell integrieren. Sessions, Cookies, Verschlüsselungstechnologien, Zertifikate etc. bieten hier Möglichkeiten und entsprechende Erfahrung vorausgesetzt, funktioniert das auch. Die Vielzahl der Testfälle, das benötigte Knowhow und die Komplexität sind aber nicht zu unterschätzen.

Wir empfehlen deshalb, alleine schon aus Sicherheitsüberlegungen, auf Standards und Standardtechnologie zu setzen.

Standard bedeutet für uns, dass eine zentrale, sogenannte Identify Management Lösung, für die Verwaltung der Logindaten zum Einsatz kommt und alle in der e-Commerce Lösung zu integrierende Applikationen mit Standardtechnologie nur einmal mit dieser Identify Management Lösung integriert werden. Sollte weitere Systeme zu integrieren sein, so entfällt bei diesem Ansatz die Integration mit allen bisherigen Systemen.

Für den Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen den Applikationen bietet sich der Standard SAML (Security Assertion Markup Language, siehe https://de.wikipedia.org/wiki/Security_Assertion_Markup_Language) an. Alle Applikationen, die bereits SAML fähige sind, lassen sich natürlich sehr einfach in die solche SSO Lösung integrieren. Für Applikationen, die noch nicht SAML fähig sind, stehen geeignete OpenSource Libraries und Toolkits für die verschiedensten Programmiersprachen, wie z.B. ASP.NET, Java, PHP, Python und Ruby, zur Verfügung, die eine schnelle Implementierung in jede moderne Applikation ermöglichen.

Single Sign On - SAML Ablauf

Copyright Wikipedia, Autor: Tom Scavo (siehe https://en.wikipedia.org/w/index.php?curid=10107100)

Fazit

Da der Identity Management Lösung eine besondere Bedeutung in Punkto Betrieb und Sicherheit zukommt, empfehlen wir, sofern keine geeigneten Lösungen im Projekt vorhanden sind, Cloudlösungen einzusetzen, die, je nach Benutzerzahl, z.T. schon für wenige Cent pro Benutzer und Jahr angeboten werden, gleichzeitig aber einen professionellen Betrieb sicherstellen.

Gerne helfen wir Ihnen auch bei Ihren Single Sign On Anforderungen.