Single Sign-on mit Keycloak

Single Sign-on (SSO) bietet vordergründig viele Vorteile. Auch im Hinblick auf die Kontosicherheit von Benutzern können SSO-Anbieter wertvolle Dienste leisten. Während sich jeder Benutzer nur noch ein Passwort für den Zugang zu unterschiedlichen Diensten merken muss (nicht zu verwechseln damit, dass ein Benutzer einfach für unterschiedliche Dienste dasselbe Passwort verwendet), erhalten die Anbieter selbst gar keine Information über das verwendete Passwort. Gibt es bei einem der Services ein Datenleck, geraten so auch keine Passwörter mehr ohne weiteres in die Hände von Kriminellen. Der Dienst vertraut lediglich darauf, dass der SSO-Anbieter die Identität des Benutzers sicher prüfen kann. Bei einigen Anbietern ist die Identität selbst gar nicht maßgeblich, wichtig ist nur, dieselbe Person zweifelsfrei wiederzuerkennen. Auch das lässt sich mit SSO sicher umsetzen.

Um SSO zu verwenden, sind Sie glücklicherweise nicht allein auf die drei großen Player Google, Facebook oder OpenID angewiesen. Während es auch viele kleinere und spezialisierte Anbieter gibt, besteht zudem die Möglichkeit, selbst einen SSO-Dienst aufzusetzen. Oft zum Einsatz kommt etwa der kommerzielle SSO-Server "Atlassion Crowd", der vor allem für die Atlassian-eigenen Dienste wie Jira, Confluence oder Bitbucket als Authentifikationszentrale dient. Möchten Sie Ihren eigenen Server aufsetzen, können Sie auch mit der offenen Alternative Keycloak [1] beginnen. Die von Red Hat entwickelte Software gibt es bereits seit 2014, derzeit wird sie unter dem Dach des JBoss-Anwendungsservers entwickelt.

Selfmade-SSO

Der Vorteil beim Selbstbetrieb eines SSO-Servers liegt darin, dass Sie nahezu beliebige existierende Verzeichnisdienste mit einbinden können. Ihre Benutzer verwenden also dieselben Zugangsdaten wie auch auf ihren Domänenrechnern oder für den E-Mail-Abruf. Das gelingt Ihnen auch bei Keycloak

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.