Single Sign-On für empowsec: SAML, OIDC und OAuth erklärt

David Kowalski··9 Min. Lesezeit
Konfiguration von Single Sign-On für empowsec

Mitarbeitende zu bitten, für jedes SaaS-Tool der Organisation einen separaten Benutzernamen und ein Passwort zu pflegen, ist ein Sicherheitsproblem, das als Zugriffsverwaltungsproblem verkleidet ist. Separate Anmeldedaten bedeuten mehr Passwörter, die erstellt werden müssen, mehr Passwörter, die vergessen werden, mehr Passwortzurücksetzungen und mehr Möglichkeiten für schwache oder wiederverwendete Passwörter, eine Sicherheitslücke zu schaffen. Single Sign-On löst dies, indem Ihr Identitätsanbieter zur einzigen Authentifizierungsquelle gemacht wird: Mitarbeitende melden sich einmal an, bei dem System, dem sie bereits vertrauen, und diese Anmeldedaten werden für den Zugriff auf alle verbundenen Anwendungen verwendet. empowsec unterstützt SSO über drei weit verbreitete Protokolle - SAML 2.0, OIDC und OAuth - was es mit den Identitätsanbietern kompatibel macht, die die meisten Unternehmen bereits betreiben.

Dieser Artikel erklärt, wie SSO in empowsec funktioniert, was jede Protokolloption abdeckt, wie domänenspezifische Konfiguration und Attributzuordnung funktionieren, wie Benutzer beim ersten Login automatisch provisioniert werden und wie die domänenübergreifende Authentifizierung White-Label-Deployments unterstützt.

Warum SSO für eine Sicherheitsbewusstseinsplattform wichtig ist

Es gibt eine gewisse Ironie in einer Sicherheitsbewusstseinsschulungsplattform, die Mitarbeitende auffordert, ein weiteres Passwort zu erstellen. Jede zusätzliche Anmeldeinformation ist ein potenzielles schwaches Glied: Wenn ein Mitarbeitender ein schwaches Passwort für sein empowsec-Konto wählt oder ein bereits verwendetes Passwort wiederverwendet, ist das Konto gefährdet, auch wenn empowsec selbst perfekt sicher ist. SSO eliminiert dieses Problem an der Wurzel, indem das empowsec-spezifische Passwort durch die Anmeldedaten ersetzt wird, die der Mitarbeitende bereits über Ihren Identitätsanbieter verwaltet - was typischerweise den Passwortrichtlinien, MFA-Anforderungen und der Kontolebenszyklus-Verwaltung Ihrer Organisation unterliegt.

Für IT-Teams vereinfacht SSO auch die Zugriffsverwaltung erheblich. Wenn ein Mitarbeitender die Organisation verlässt und sein Identitätsanbieterkonto deaktiviert wird, wird sein empowsec-Zugang als Folge davon entzogen. Es gibt keinen separaten Offboarding-Schritt in empowsec, kein Risiko, dass ein ehemaliger Mitarbeitender den Zugang behält, weil jemand vergessen hat, ihn von der Schulungsplattform zu entfernen. Der Identitätsanbieter ist die maßgebliche Kontrollebene, und empowsec respektiert das.

Aus Compliance-Sicht unterstützt zentralisiertes Zugriffsmanagement durch SSO die Zugriffskontrollanforderungen in Standards wie ISO 27001 und Frameworks wie NIS2. Wenn der gesamte Zugang zu internen Systemen - einschließlich der Sicherheitsbewusstseinsschulungsplattform - über einen einzigen, prüfbaren Identitätsanbieter läuft, ist es einfach zu demonstrieren, dass der Zugang kontrolliert, überwacht und an den Mitarbeiterlebenszyklus gebunden ist.

Protokollunterstützung: SAML 2.0, OIDC und OAuth

empowsec unterstützt drei SSO-Protokolle und gibt Organisationen die Flexibilität, den bereits verwendeten Identitätsanbieter anzubinden.

SAML 2.0 (Security Assertion Markup Language) ist der etablierteste Enterprise-SSO-Standard und das native Protokoll für viele Unternehmens-Identitätsanbieter, einschließlich Microsoft Active Directory Federation Services und vieler Legacy-Unternehmensverzeichnisse. SAML funktioniert, indem der Identitätsanbieter eine signierte XML-Assertion ausstellt, die die Identität des Benutzers bestätigt, die empowsec vor der Zugangsgenehmigung validiert. Für Organisationen, deren Identitätsanbieter SAML spricht, ist dies der direkteste Integrationsweg.

OIDC (OpenID Connect) ist die moderne Identitätsschicht, die auf OAuth 2.0 aufgebaut ist. Es ist das bevorzugte Protokoll für cloud-native Identitätsanbieter, einschließlich Google Workspace, Microsoft Entra ID (früher Azure AD) und Okta. OIDC tauscht Identitäts-Tokens anstelle von XML-Assertions aus, was in der Regel einfacher zu konfigurieren und für API-first-Architekturen besser geeignet ist. Organisationen, die zu Cloud-Identitätsanbietern gewechselt haben, bevorzugen wahrscheinlich OIDC.

OAuth-Unterstützung rundet die Optionen für Organisationen ab, die OAuth-basierte Identitätsflows verwenden, die keine vollständige OIDC-Schicht umschließen. Zusammen bedeuten die drei Protokolloptionen, dass empowsec unabhängig davon integriert werden kann, ob Ihr Identitätsanbieter ein traditionelles Unternehmensverzeichnis, ein Cloud-Identitätsdienst oder etwas Individuelleres ist.

app.empowsec.com / einstellungen / sso
SAML 2.0OIDCOAuth
Entity IDhttps://app.empowsec.com/sso/saml/acme
ACS URLhttps://app.empowsec.com/sso/saml/acme/acs
Metadata URLhttps://app.empowsec.com/sso/saml/acme/metadata
Domäneacme.com
StatusAktiviert
Mit SSO anmelden
Das empowsec SSO-Einstellungspanel zeigt Protokoll-Tabs (SAML 2.0 aktiv), die Schlüsselwerte, die Ihr Identitätsanbieter benötigt, und die konfigurierte Domäne. Jedes Protokoll hat seinen eigenen Tab mit eigenen Konfigurationswerten.

Domänenspezifische Konfiguration und Attributzuordnung

SSO in empowsec ist domänenspezifisch konfiguriert. Das bedeutet, dass die SSO-Integration mit einer bestimmten E-Mail-Domäne verknüpft ist - zum Beispiel acme.com - und für alle Benutzer gilt, die sich mit dieser Domäne anmelden. Wenn ein Benutzer mit einer acme.com-E-Mail-Adresse versucht, sich bei empowsec anzumelden, erkennt die Plattform, dass SSO für diese Domäne konfiguriert ist, und leitet ihn zum entsprechenden Identitätsanbieter weiter. Benutzer mit anderen Domänen verwenden ihre eigene Konfiguration oder die standardmäßige Passwortauthentifizierung.

Die domänenspezifische Konfiguration ist besonders wertvoll für Multi-Company- oder Reseller-Deployments, bei denen verschiedene Unternehmen auf der Plattform unterschiedliche Identitätsanbieter und SSO-Konfigurationen haben können. Jedes Unternehmen konfiguriert SSO für seine eigene Domäne unabhängig, und empowsec leitet Anmeldeanfragen basierend auf der E-Mail-Domäne zum richtigen Identitätsanbieter weiter.

Die Attributzuordnung ist der Mechanismus, durch den die Benutzerdaten des Identitätsanbieters in empowsec-Benutzerattribute übersetzt werden. Wenn ein Identitätsanbieter einen Benutzer authentifiziert und ein Token oder eine Assertion zurückgibt, enthält es eine Reihe von Attributen: typischerweise Name, E-Mail-Adresse und alle benutzerdefinierten Attribute, die die Organisation konfiguriert hat. Die Attributzuordnung teilt empowsec mit, welches Identitätsanbieterattribut welchem empowsec-Feld entspricht - das 'department'-Attribut des Identitätsanbieters wird zum Beispiel dem empowsec-Abteilungsfeld zugeordnet. Eine korrekte Zuordnung ist entscheidend dafür, dass die Auto-Provisionierung sauber funktioniert.

Auto-Provisionierung beim ersten Login

Einer der operationell wertvollsten Aspekte von SSO in empowsec ist die Auto-Provisionierung. Wenn sich ein Benutzer zum ersten Mal über SSO anmeldet, erstellt empowsec automatisch sein Konto mit den Attributen des Identitätsanbieters. Der Benutzer muss in empowsec nicht vorab erstellt werden, und vor dem Zugang zur Plattform ist kein manueller Importschritt erforderlich.

Auto-Provisionierung über SSO funktioniert gut neben den CSV-Import- und API-Provisionierungsoptionen. Für Organisationen, die Benutzer lieber im Voraus provisionieren, ist CSV-Import oder die API der richtige Ansatz. Für Organisationen, die die SSO-Provisionierung übernehmen lassen möchten, bedeutet die Auto-Provisionierung beim ersten Login, dass der Mitarbeitende sich einfach anmeldet und sein Konto existiert. In der Praxis verwenden viele Organisationen einen hybriden Ansatz: Am ersten Tag des empowsec-Rollouts werden bestehende Mitarbeitende per Massenimport eingetragen, dann übernimmt die SSO-Auto-Provisionierung alle neuen Mitarbeitenden.

Die Qualität der Auto-Provisionierung hängt von der Attributzuordnungskonfiguration ab. Wenn der Identitätsanbieter so konfiguriert ist, dass er die Abteilung, den Manager und alle anderen relevanten Attribute des Mitarbeitenden im SSO-Token enthält, kann empowsec all diese Felder bei der Provisionierung befüllen. Das Konto des Mitarbeitenden wird in der richtigen Abteilung mit der richtigen Rolle erstellt, bereit für die erste Schulungszuweisung - ohne manuellen Eingriff. Wenn der Identitätsanbieter nur grundlegende Attribute wie Name und E-Mail bereitstellt, wird das provisionierte Konto mit Standardwerten erstellt, die ein Administrator nachträglich verfeinern kann.

Domänenübergreifende Authentifizierung für White-Label-Deployments

Die SSO-Unterstützung von empowsec erstreckt sich auf die domänenübergreifende Authentifizierung, die SSO für White-Label-Deployments ermöglicht. Wenn ein Reseller empowsec unter einer benutzerdefinierten Domain an seine Kunden bereitstellt - zum Beispiel portal.marke.com - muss der Authentifizierungsfluss über die Grenze zwischen der benutzerdefinierten Domain des Kunden und der empowsec-Infrastruktur hinweg funktionieren. Die domänenübergreifende Authentifizierung erledigt dies transparent: Der Benutzer meldet sich auf der benutzerdefinierten Domain über seinen Identitätsanbieter an, und die Authentifizierung wird korrekt über die Domänengrenze hinweg auf empowsec übertragen.

Diese Fähigkeit ist für den White-Label-Anwendungsfall wichtig, da SSO für Unternehmenskunden oft eine nicht verhandelbare Anforderung ist. Wenn eine Organisation eine Sicherheitsbewusstseinsschulungsplattform unter einer benutzerdefinierten Domain für ihre Unternehmenskunden bereitstellt, werden diese Kunden erwarten, sich über ihren bestehenden Identitätsanbieter anmelden zu können, anstatt separate Anmeldedaten für die Schulungsplattform zu pflegen. Die domänenübergreifende Authentifizierung über SSO macht dies möglich und sorgt für ein nahtloses Erlebnis auf der benutzerdefinierten Domain.

Tipp
Konfigurieren Sie die Attributzuordnung so, dass sie die Abteilung des Mitarbeitenden von Ihrem Identitätsanbieter einschließt. Wenn die Auto-Provisionierung das empowsec-Konto beim ersten SSO-Login erstellt, wird das Abteilungsfeld automatisch befüllt - was bedeutet, dass abteilungsweite Pflichtkurszuweisungen sofort wirksam werden, ohne manuellen Folgeaufwand.

SSO und Sicherheit: Passwortrisiko in der Praxis reduzieren

Die Sicherheitsvorteile von SSO für empowsec sind unkompliziert: Mitarbeitende erstellen kein separates Passwort für die Plattform, daher gibt es kein empowsec-spezifisches Passwort, das schwach, wiederverwendet oder kompromittiert sein könnte. Der Zugang wird durch den Identitätsanbieter der Organisation verwaltet, der typischerweise strengeren Passwortrichtlinien und MFA-Anforderungen unterliegt, als Mitarbeitende auf ein Drittanbieter-SaaS-Tool anwenden würden.

SSO erleichtert auch die konsequente Durchsetzung von Multi-Faktor-Authentifizierung. Wenn MFA auf der Identitätsanbieterebene erforderlich ist, erbt jede Anwendung, die SSO verwendet - einschließlich empowsec - diese MFA-Anforderung. Dies ist deutlich zuverlässiger als der Versuch, MFA über Dutzende einzelner SaaS-Anwendungen separat durchzusetzen. Für Organisationen, die im Rahmen eines Compliance-Programms eine starke Zugriffskontrollhaltung anstreben, ist SSO einer der effektivsten Hebel zur Sicherstellung konsistenter Authentifizierungsstandards im gesamten Tool-Stack.

Für empowsec im Besonderen ist auch die Ironiereduktion erwähnenswert: Eine Organisation, die empowsec nutzt, um Mitarbeitende über Passwortsicherheit und Phishing-Risiken zu schulen, sollte dieselben Mitarbeitenden nicht auffordern, schwache eigenständige Anmeldedaten für die Plattform selbst zu pflegen. SSO bringt das Zugriffsmodell mit den Sicherheitswerten in Einklang, die das Training vermitteln möchte.

Was das für Ihr Team bedeutet

  • SAML 2.0-, OIDC- und OAuth-Unterstützung bedeutet, dass empowsec mit dem Identitätsanbieter integriert, den Ihre Organisation bereits verwendet, ob traditionelles Unternehmensverzeichnis oder cloud-nativer Identitätsdienst.
  • Domänenspezifische Konfiguration ermöglicht verschiedene SSO-Einrichtungen für verschiedene E-Mail-Domänen, was für Multi-Company- und White-Label-Deployments unerlässlich ist.
  • Attributzuordnung übersetzt die Benutzerdaten Ihres Identitätsanbieters bei der Provisionierung in empowsec-Felder und befüllt Abteilung, Name und andere Attribute ohne manuelle Einrichtung.
  • Auto-Provisionierung beim ersten SSO-Login erstellt Benutzerkonten automatisch, wenn sich Mitarbeitende zum ersten Mal anmelden, und eliminiert die Notwendigkeit eines separaten Vor-Provisionierungsschritts.
  • Domänenübergreifende Authentifizierung lässt SSO für White-Label-Deployments auf benutzerdefinierten Domains nahtlos funktionieren und erfüllt die Erwartung der Unternehmenskunden, ihren bestehenden Identitätsanbieter zu verwenden.
  • Reduziertes Passwortrisiko durch Entfall eines separaten empowsec-Anmeldedatums, mit konsistenter MFA-Durchsetzung, die vom Identitätsanbieter geerbt wird.
Share: