Worin unterscheiden sich föderierte Identitätsverwaltung (FIM) und Single Sign-On (SSO)?

Jedes Mal, wenn ein Unternehmen eine neue Anwendung bereitstellt, müssen deren Benutzer dafür neue Anmeldedaten festlegen und sich merken. Das führt dazu, dass Mitarbeiter zu viele Passwörter verwenden müssen. Tatsache ist: Im Schnitt muss sich jeder Benutzer jeden Tag mindestens zehn Passwörter merken – und jeden Monat vergisst er bis zu drei davon.

Fast 40 % aller Mitarbeiter verwenden dieselben zwei bis vier Passwörter für diverse Konten – und 10 % sogar lediglich eines für alle Anwendungen. Durch diese Nachlässigkeit bei Passwörtern haben es Hacker inzwischen so leicht wie nie, mit gestohlenen Anmeldedaten an kritische Daten zu gelangen. Davon sind Einzelpersonen ebenso betroffen wie Unternehmen. Aber das alles ändert natürlich nichts daran, dass Unternehmen ihren Benutzern einfachen Zugriff auf all ihren Anwendungen bieten müssen. Dazu setzen sie Tools wie föderierte Identitätsverwaltung (Federated Identity Management, FIM) und einmalige Anmeldung (Single Sign-On, SSO) ein.

Zunächst einmal ist es jedoch wichtig, die Unterschiede zwischen diesen Lösungen zu verstehen. Wie unterscheiden sich FIM und SSO? Und wie sieht der ideale Anwendungsfall für den jeweiligen Ansatz aus? Dieser Artikel soll Ihnen helfen, das und mehr zu verstehen.

Was ist Single Sign-On (SSO)?

Die Funktion SSO ermöglicht es Benutzern, sich in einem Schritt mit nur einem Satz Anmeldedaten bei mehreren Webanwendungen anzumelden und diese dann zeitgleich zu nutzen. Wenn Unternehmen also etwa verschiedene Anwendungen für Personalwesen, Lohn- und Gehaltsabrechnung und Kommunikation einsetzen, können die Mitarbeiter mit einer SSO-Lösung mit nur einer Anmeldung auf all diese Dienste zugreifen. Da sich Benutzer nicht mehr etliche Passwörter merken müssen, können sie sich stärker auf ihre Arbeit konzentrieren. Darüber hinaus muss die IT nicht mehr so oft Passwörter zurücksetzen.

Von SSO profitiert aber nicht nur das Personal; auch Kunden können mit Hilfe von SSO Zugriff auf diverse Kontobereiche erhalten. So können beispielsweise Vertriebsnetze mit vielen Marken SSO nutzen, damit Kunden über ein zentrales Dashboard auf ihre Konten bei den einzelnen Filialen zugreifen können, was das Benutzererlebnis verbessert. Wenn die Benutzer zwischen den Filialen wechseln, werden sie mit denselben Anmeldedaten neu authentifiziert.

Föderierte Identitätsmanagement (FIM) kurz erklärt

Als Tool kann SSO Teil einer breiter angelegten föderierten Identitätsverwaltung sein. Dieses Modell wurde entwickelt, um den Einschränkungen der frühen Internet-Infrastruktur zu begegnen, bei der Instanzen in einer Domäne nicht auf Benutzerdaten zugreifen konnten, die in anderen Domänen gespeichert waren. Für Unternehmen mit verschiedenen Domänen war dies besonders problematisch, da es schwierig war, die Erfahrungen für Mitarbeiter und Kunden einheitlich zu gestalten. 

Um dieses Problem zu lösen, wurden Tools zur föderierten Identitätsverwaltung entwickelt. Diese bieten Vereinbarungen und Standards, mit deren Hilfe Unternehmen und Anwendungen Identitäten von Benutzern gemeinsam nutzen können. Im Wesentlichen handelt es sich um eine zwischen mehreren Unternehmen getroffene Vereinbarung, dank derer die Teilnehmer dieselben Identifizierungsmerkmale für den Zugriff auf verschiedene Anwendungen verwenden können. Kurz gesagt: Dank föderierter Identitätsverwaltung können Sie sich mit Ihren Facebook-Anmeldedaten auch bei Spotify anmelden. 

Hinzu kommt, dass in einem System für föderierte Identitätsverwaltung die Verantwortung für die Überprüfung und Authentifizierung der Benutzeranmeldeinformationen bei einem Identitätsanbieter liegt, nicht bei den Anwendungen an sich. Wenn also ein Benutzer versucht, sich bei einem bestimmten Service Provider oder einer Anwendung anzumelden, kommuniziert dieser Service Provider mit dem Identitätsanbieter, um den Benutzer zu authentifizieren. Diese Authentifizierung der Benutzeridentität erfolgt oft mittels der quelloffenen Security Assertion Markup Language (SAML) oder über andere verwandte Standards wie OAuth oder OpenID Connect. 

Die Unterschiede zwischen FIM und SSO

Der Hauptunterschied zwischen SSO und FIM besteht darin, dass SSO für die Authentifizierung eines einzigen Berechtigungsnachweises über verschiedene Systeme innerhalb eines Unternehmens konzipiert ist, während Systeme für föderierte Identitätsverwaltung einen einzigen Zugang zu einer Reihe von Anwendungen in verschiedenen Unternehmen bieten. 

Während SSO also eine Funktion innerhalb eines Systems für föderierte Identitätsverwaltung ist, bietet SSO allein noch keine föderierte Identitätsverwaltung. Dennoch sind beide Tools von entscheidender Bedeutung, wenn es darum geht, Unternehmen sowohl beim Schutz ihrer Daten als auch bei der Minimierung von Hindernissen für die Benutzer zu unterstützen. 

Möchten Sie mehr erfahren?

Sehen Sie sich an, wie Okta für Unternehmen jeder Größe Sicherheit und Benutzerfreundlichkeit kombiniert.