Der Blick auf eine Excessive-Stage-SSO-Architektur.
Foto: Foundry / Matthew Tyson
In jedem Fall erfordert Federated Id Administration eine zentrale Establishment, die die gemeinsamen Anmeldeinformationen zwischen den verschiedenen Diensten vermittelt. Dabei kann es sich um einen Id Supervisor handeln, der:
-
von der Organisation selbst erstellt wurde (etwa unter Verwendung von Lively Listing), oder
-
über einen Identitätsanbieter in unterschiedlichem Umfang bereitgestellt wird.
Enterprise Single Signal-on deckt oft Situationen ab, in denen sich Mitarbeiter mehrfach bei internen Systemen anmelden müssen, beispielsweise an HR-Portal und IT-Ticketsystem. Dieses Konzept birgt offensichtliche UX-, aber auch systemische Probleme, weil Identitätsinformationen über heterogene Systeme verteilt werden. Dieser Umstand beeinträchtigt die Sicherheit und erschwert es, Richtlinien durchzusetzen. So müssen etwa bei On- und Off-Boarding eines Mitarbeiters gleich zwei verschiedene Datenspeicher geändert werden.
Federated Single Signal-on ermöglicht die gemeinsame Nutzung von Anmeldeinformationen über Unternehmensgrenzen hinweg. Als solches stützt es sich in der Regel auf eine große, intestine etablierte Einheit mit weitreichendem Belief – beispielsweise Google, Microsoft oder Amazon. Selbst eine kleine Applikation kann relativ einfach um die Choice “Anmelden bei Google” ergänzt werden und den Nutzern eine einfache Anmeldemöglichkeit bieten, bei der smart Informationen in den Händen der großen Organisation bleiben.
