Mit der explosionsartigen Zunahme von Webanwendungen haben Unternehmen nach Single Sign-On-Lösungen (SSO) gesucht, um eine effizientere Integration mit ihren Kernverzeichnisdiensten zu ermöglichen. Hier untersuchen wir den Unterschied zwischen SAML-SSO und Just-in-Time-Bereitstellung (JIT), zwei Konzepten, die sich auf den Zugriff von Benutzern auf Webanwendungen auswirken.
Was ist SAML SSO?
Das SAML-Protokoll (Security Assertion Markup Language) wurde Anfang der 2000er Jahre entwickelt, um eine sichere Authentifizierung zwischen Identitätsanbietern und Dienstanbietern (z. B. Webanwendungen) zu ermöglichen. SAML ist sicher, da es XML-basierte Zertifikate übergibt, die für jede Anwendung eindeutig sind, anstatt Benutzeranmeldeinformationen zu übergeben.
Mithilfe von SAML erstellten Unternehmen SSO-Lösungen, die den Anmeldeprozess vereinfachten. Anstatt für jede verwendete Webanwendung neue Anmeldeinformationen zu erstellen, können Benutzer ihre Active Directory- / Core Directory-Anmeldeinformationen nutzen, um über ein Browser-Plugin oder ein Webportal auf ihre Computer und ihre Webanwendungen zuzugreifen.
SAML-SSO erfolgt entweder über vom Dienstanbieter oder vom Identitätsanbieter initiierte Anmeldungen. Bei Dienstanbieter-initiierten Anmeldungen besuchen Benutzer die Website der Anwendung direkt und werden durch ein Attribut wie ihren Domänennamen oder Benutzernamen zu ihrem Identitätsanbieter zurückgeleitet. Sie werden dann automatisch über ihren Identitätsanbieter in der Anwendung angemeldet. Bei von Identitätsanbietern initiierten Anmeldungen klicken Mitarbeiter über ihr SSO-Webportal auf die Anwendung. In beiden Fällen erhält oder verfolgt der Dienstanbieter seine Anmeldeinformationen niemals.
SSO-Anbieter bieten häufig sowohl vorgefertigte als auch generische Konnektoren an, um Unternehmen Flexibilität bei der Verbindung mit gängigen und proprietären Anwendungen zu bieten. Vorgefertigte Konnektoren eignen sich für beliebte Anwendungen wie Slack, Salesforce, GitHub und tausende mehr, während Administratoren mit generischen Konnektoren die erforderlichen Felder ausfüllen können, um eine Verbindung zu Anwendungen herzustellen, auf die nicht so häufig zugegriffen werden kann. Diese Lösungen sparen nicht nur Zeit für Endbenutzer (die laut LastPass 36 Minuten pro Monat für Kennwortaktivitäten aufwenden), sondern auch für IT-Administratoren, die die Benutzerbereitstellung und Kennwörter sicher verwalten müssen.
Was ist Just-in-Time-Bereitstellung?
Die Just-in-Time-Bereitstellung verwendet ebenfalls das SAML-Protokoll und bezieht sich auf eine Methode zur Erstellung von Anwendungskonten.
Mit JIT müssen IT-Administratoren nicht mehr manuell Konten für jeden Benutzer in jeder Anwendung erstellen, die sie verwenden. Stattdessen werden Benutzerkonten erstellt, wenn Benutzer zum ersten Mal versuchen, sich bei Anwendungen anzumelden, sofern sie über Berechtigungen verfügen.
Beispielsweise können IT-Administratoren Salesforce automatisch Zugriff auf alle Benutzer in der Verkaufsabteilung gewähren, und die Konten dieser Benutzer werden erstellt, wenn sie versuchen, sich zum ersten Mal über ihr SSO-Portal oder durch eine vom Dienstanbieter initiierte Anmeldung bei Salesforce anzumelden.
Es ist wichtig zu beachten, dass der Dienstanbieter (Webanwendung) JIT unterstützen muss, damit diese Implementierung funktioniert.
Vergleich von SAML SSO und JIT Provisioning
Sowohl SAML SSO als auch JIT Provisioning spielen eine Rolle bei der Bereitstellung einer nahtlosen Anwendungsanmeldung für Benutzer und können in Verbindung verwendet werden.
Die SSO-Implementierung von Webanwendungen wirkt sich spürbar auf die Benutzererfahrung aus, da Benutzer ihre Anmeldeinformationen nur einmal pro Sitzung eingeben müssen, um auf alle ihre Anwendungen zugreifen zu können, die sie tagsüber benötigen.
Obwohl sich die Benutzererfahrung nicht dramatisch ändert, wenn eine Organisation JIT-Bereitstellung verwendet, macht der Prozess das Onboarding effizienter und den IT-Betrieb rationalisierter. JIT ist ein Tool hinter den Kulissen, mit dem IT-Administratoren mehr Zeit für andere kritische Aufgaben haben.
Sowohl die SAML-SSO— als auch die JIT—Bereitstellung erhöhen auch die organisatorische Sicherheit und verhindern die Ausbreitung von Identitäten, da sie sicherstellen, dass Benutzer nur über eine sichere Identität für ihre Computer, andere verzeichnisverwaltete Ressourcen und Anwendungen verfügen – und nicht über wiederholte oder ähnliche Kennwörter für alle Dienste – und die manuellen Bereitstellungsaufgaben verringern, die Administratoren ausführen müssen.
Weitere Informationen
Wenn Sie als IT-Administrator herausfinden möchten, welche SSO-Lösung am besten auf Ihre Umgebung zugeschnitten ist, haben wir einen „SSO Buying Guide“ zusammengestellt, um Ihre Suche zu unterstützen.