Vergleichstest: Enterprise Single Sign-on

Enterprise Single Sign-On ist wieder populär. Wir haben die Lösungen der drei grossen Anbieter auf Herz und Nieren geprüft.

Artikel erschienen in Swiss IT Magazine 2006/16

     

Nachdem es längere Zeit leise um Single Sign-On war, ist das Thema in den vergangenen Monaten wieder populär geworden. Im Mittelpunkt stehen Lösungen für das Enterprise Single Sign-On, die sich zentral in Netzwerken nutzen lassen – ein überraschend überschaubarer Markt mit nur drei grossen Anbietern.


Die Produkte am Markt

Das wirkt im ersten Moment nicht unbedingt so. Immerhin bieten auch Hersteller wie Citrix, Oracle, RSA oder Novell entsprechende Lösungen an. Nur: Es handelt sich dabei jeweils um OEM-Produkte, entweder von ActivIdentity oder von Passlogix. Der dritte Anbieter im Bunde ist das französische Unternehmen Evidian, eine Bull-Tochter, die im Gegensatz zu den beiden anderen Herstellern nicht so sehr auf das OEM-Geschäft setzt. Wer aber beispielsweise ein Novell SecureLogin kauft, hat eigentlich das Produkt von Activ­ Identity erworben, wenn auch in einer speziellen Novell-Variante mit optischen Anpassungen. Und auch die Versionen von Citrix und Passlogix selbst unterscheiden sich, haben aber das gleiche Fundament.
Im Test wird daher auf die Produkte von ActivIdentity (in der Novell-Variante), von Evidian und von Passlogix eingegangen. Die Ergebnisse lassen sich aber weitgehend auf die jeweils anderen OEM-Varianten übertragen. Bei Evidian liegt der Schwerpunkt auf WiseGuard. WiseGuard ist eine vom AccessMaster abgeleitete, einfachere Lösung, die sich ausschliesslich auf Single Sign-On konzentriert und keine spezielle Infrastruktur erfordert. Auf den Evidian AccessMaster wird in einem Kasten eingegangen.


Das Grundkonzept der Anwendungen

Die drei Anwendungen arbeiten im Grundsatz sehr ähnlich. Es gibt eine Client-Komponente, an der eine Authentifizierung erfolgt. Diese kann in der Regel mit der Windows-Authentifizierung integriert werden. Nachdem sich ein Benutzer angemeldet hat, hat er Zugriff auf gespeicherte Anmeldeinformationen, typischerweise Kombinationen von Benutzernamen und Kennwörtern.




Beim ersten Zugriff auf eine unterstützte Anwendung werden diese Informationen abgefragt und anschliessend gespeichert. Die Speicherung erfolgt im produktiven Betrieb auf einem Server, üblicherweise in einem Verzeichnisdienst.
Bei jedem weiteren Zugriff werden die Informationen nun aus dem Speicher auf dem Server übernommen, in einen lokalen Cache gelegt und bei Bedarf an die Anwendung, die gerade aufgerufen wird, übergeben. Bei den Anwendungen kann es sich um Websites, Host-Anwendungen, Windows-Anwendungen und viele andere Arten von Applikationen handeln. Der Benutzer muss sich damit also nur noch einmal anmelden und braucht sich nicht mehr viele unterschiedliche Kombinationen von Benutzernamen und Kennwörtern für verschiedene Anwendungen merken. Das erleichtert die Arbeit enorm.
Es gibt aber auch noch ein paar weitere zu lösende Herausforderungen. Dazu zählt beispielsweise die Erkennung von Kennwortänderungen durch Anwendungen. Wenn ein Kennwort zum Beispiel nach 30 Tagen abläuft, muss das automatisch erkannt werden. Die SSO-Lösung kann nun selbständig ein neues Kennwort generieren oder aber den Benutzer zur Eingabe eines solchen auffordern.





Bei allen Produkten gibt es zentrale Konfigurationsmöglichkeiten, über die etwa Anwendungsdefinitionen und Richtlinien definiert werden können. Diese werden anschliessend automatisch an die lokalen Systeme übergeben und dort wirksam.
Da alle drei Anwendungen dem gleichen Grundmodell folgen, liegen die Unterschiede in den Details. Und selbst hier wird deutlich, dass alle drei Anbieter schon etliche Jahre auf dem Markt sind die Lösungen haben sich in ihrem Funktionsumfang deutlich angenähert.


ActivIdentity/Novell SecureLogin 6.0

ActivIdentity ist ein Hersteller, der unter diesem Namen bisher wenig bekannt ist. Das Unternehmen ist vor einigen Monaten umbenannt worden, nachdem ActivCard ein Hersteller aus dem Feld des Smart-Card-Managements und von «One Time Password»-Lösungen den SSO-Spezialisten Protocom übernommen hatte. Der Name Protocom dürfte vielen daher geläufiger sein als der neue Firmenname ActivIdentity.




Die Version 6.0 des Produkts der Nachfolger der Version 3.51 ist im Vergleich zum Vorläufer in vielen Punkten weiterentwickelt worden, ohne dass dabei das Grundkonzept geändert wurde. Die Installation ist generell sehr einfach. Da Informationen in Verzeichnisdiensten abgelegt werden, muss das Schema erweitert werden. Unterstützt werden als Verzeichnisdienste das Microsoft Active Directory, das Novell eDirectory und andere LDAP-Verzeichnisse. Hervorzuheben sind zwei Punkte. Zum einen kann SecureLogin mit einer ADAM-Instanz betrieben werden, so dass das Schema des Active Directory nicht erweitert werden kann. Schema-Anpassungen am Active Directory führen in grösseren Unternehmen typischerweise zu langwierigen Abstimmungsprozessen und können sogar die Einführung von Produkten verhindern. Beim Novell eDirectory gibt es dagegen die Unterstützung für den SecretStore. Der SecretStore ist eine spezielle Novell-Erweiterung, die ein deutlich höheres Mass an Sicherheit bietet, weil die Informationen darin stark verschlüsselt werden und der Zugriff technisch beschränkt ist.





Nach der Schema-Erweiterung müssen einerseits die Client-Komponenten installiert und andererseits die zentrale Konsolen-Anwendung für die Administration eingerichtet werden. Auch hier zeigt sich eine Stärke: Das Produkt kann über eine MMC-Erweiterung, eine spezielle eigene Anwendung, im Novell-Umfeld aber auch über den iManager und, für ältere Installationen, die ConsoleOne konfiguriert werden. Eine vergleichbare Breite an Lösungen bietet keiner der anderen Anbieter.
Die Client-Software muss dagegen, wie bei solchen Tools üblich, entweder manuell installiert oder mit einer Softwareverteilungslösung im Netzwerk verteilt werden. Das ist allerdings in den mittleren und grösseren Netzwerken, in denen SSO-Lösungen typischerweise zum Einsatz kommen, in der Regel kein Problem, da dort häufig eine Infrastruktur für die Verteilung der Client-Komponenten vorhanden ist.




Bei der Administration ist die extensive Verwendung einer eigenen Scriptsprache gewöhnungsbedürftig. Diese bietet zwar ein hohes Mass an Flexibilität für die Anpassung von Anwendungen ohne Einarbeitung in die Scriptsprache kann man das Produkt aber nicht nutzen. Ob das der beste Weg ist, darf auch im Vergleich mit den beiden anderen Produkten bezweifelt werden. Und wenn schon Scripting, dann spricht doch einiges dafür, dass man mit einer Standard-Scriptsprache arbeitet.
Ein echter Vorteil von SecureLogin ist die Integration mit den Gruppenrichtlinien, die es in der neuen Version gibt. Darüber kann die Client-Konfiguration in Active-Directory-Umgebungen durchgeführt werden.
Bei der Authentifizierung am Client macht sich bereits die Integration zwischen verschiedenen ActivIdentity-Produkten bemerkbar. So werden Smartcards ebenso wie One-Time Passwords unterstützt, wenn die entsprechenden anderen Produkte von ActivIdentity eingesetzt werden. Zu erwähnen sind hier der ActivClient als Lösung für die Nutzung unterschiedlicher und kombinierter Authentifizierungsverfahren, das ActivIdentity CMS (Card Management System) als Smartcard Infrastructure und die OTP-Lösung ActivIdentity AAA Server.




Beeindruckend ist auch die Liste der standardmässig unterstützten Anwendungen das gilt allerdings für die meisten Produkte. Ausserdem haben die beiden US-Hersteller insofern einen Vorteil, als die Liste der von ihnen unterstützten Anwendungen durch viele in Europa kaum zu findende Applikationen aufgebläht ist. Wichtig ist aber, dass Kernanforderungen wie die Authentifizierung an Lotus Notes, an SAP und an Host-Anwendungen abgedeckt sind.
Auch bei ergänzenden Funktionen wie dem Import und Export kann SecureLogin überzeugen. Reizvoll ist auch, dass die Credentials beim Client statt in einem Cache auf der lokalen Festplatte auch auf einer Smartcard abgelegt werden können. Letztlich ist das Bild, dass das Produkt abgibt, sehr überzeugend und lässt nur wenige Wünsche offen einige werden bei den Wettbewerbern angesprochen.


Evidian WiseGuard 3G

Das zweite getestete Produkt ist Evidians WiseGuard. Genau genommen handelt es sich um vier Produkte, die zusammen die gesamte Lösung ergeben. SSOWatch ist die eigentliche Single-Sign-On-Lösung. Damit kann der Zugriff auf verschiedene Systeme gesteuert werden. Die Unterstützung der starken Authentifizierung über verschiedene Ansätze wie biometrische Verfahren und Smartcards wird vom Modul Advanced Login bereitgestellt. Das Management von Smartcards erfolgt mit dem Token Manager. Und mit dem Extended Manager werden ergänzende Funktionen insbesondere für die Delegation von Berechtigungen bereitgestellt.


Die verschiedenen Komponenten müssen einzeln installiert werden, wobei über eine zentrale Anwendung gearbeitet wird. Durch die erforderlichen Neustarts kann sich die Installation aber etwas hinziehen. Nachteilig im Vergleich mit den Lösungen der beiden anderen Hersteller sind die Schlüssel, die eingegeben werden müssen – und die im Test auch manches Mal Probleme gemacht haben. Das Vertrauen von Evidian in die Benutzer scheint weniger ausgeprägt zu sein als bei ActivIdentity oder Passlogix, bei denen das einfacher gelöst ist. Das gilt umso mehr, als Änderungen der Lizenzschlüssel in der Registry durchgeführt werden müssen. Abgesehen von diesen Nickligkeiten ist die Installation relativ einfach zu bewerkstelligen.





SSOWatch als das zentrale Modul kann mit verschiedenen Verzeichnisdiensten kombiniert eingesetzt werden. Dazu zählt natürlich auch das Microsoft Active Directory. Wie bei den anderen Tools sind auch hier Schema-Erweiterungen erforderlich. Eine spezifische Stärke ist die Überwachung der Authentifizierungen. Informationen dazu werden im Ereignisprotokoll von Windows gespeichert. Allerdings gibt es auch im neuen Release von SecureLogin eine vergleichbare Funktion, in diesem Fall für Novells Audit-Produkt.
Die Konfiguration erfolgt über eine zentrale, MMC-basierende Konsole oder den Extended Manager, falls man mit erweiterten Funktionen wie der Delegation von Berechtigungen für das Management einzelner Benutzer und ihrer spezifischen Einstellungen arbeiten möchte.




Die Konfiguration von Anwendungen erfolgt mit dem SSOStudio, das es in zwei Varianten für das Management auf dem Client und für die zentrale Konfiguration gibt. Auch hier gilt, dass es eine breite Unterstützung für Anwendungen gibt, mit zwei erwähnenswerten Besonderheiten. Eine ist die Implementierung der SAP-Unterstützung, die mandantenfähig ist und auch den Wechsel von Hosts erkennen kann. Hier wird auf den SAP-Datenstrom zugegriffen, um die hohe Flexibilität zu erreichen. Bei der Host-Anbindung kann über EHLLAPI gearbeitet werden, statt ausschliesslich mit Scripting in der Terminalemulationen. Die umfassenden Delegationsfunktionen sind auch noch aus einem anderen Grund interessant: Mit dem Extended Manager lässt sich sehr genau steuern, wer welche Informationen sehen und bearbeiten darf. Optional kann das bis dahin gehen, dass Kennwörter sichtbar gemacht werden dürfen. Die Steuerung erfolgt über Richtlinien. Die Delegation ist insgesamt etwas flexibler als bei anderen Produkten, bei denen man auf die Zugriffssteuerung der Verzeichnisdienste angewiesen ist. Bei WiseGuard lassen sich auch komplexe Rollenkonzepte umsetzen.
Das interessanteste Feature ist aber, dass sich durch die Art der Speicherung von Informationen und das Auditing relativ einfach ermitteln lässt, welche Anwendungen von welchem Benutzer verwendet werden. Das kann genutzt werden, um beispielsweise Verzeichnisdienste zu bereinigen, bei denen sich Benutzer nie anmelden. Natürlich ist das nicht ohne Tücken, da Service-Konten und selten genutzte administrative Konten davon eventuell nicht erfasst werden. Die Evidian-Argumentation, dass Single Sign-On durch diese Funktion eine gute Vorbereitung für Provisioning-Projekte sein kann, ist aber nicht ohne Charme.


Passlogix v-GO SSO 6.0

Bleibt noch Passlogix mit v-GO SSO. Auch dieses ist nur eines von mehreren Produkten des Herstellers für die Authentifizierung. Neben v-GO SSO gibt es noch den Authentication Manager, um auch Authentifizierungen über Smart Cards oder Tokens verarbeiten zu können. Der Provisioning Manager bietet eine Integration mit Provisioning-Lösungen und kann so, ähnlich der Lösung von Evidian, Informationen darüber liefern, wer welche Anwendungen überhaupt genutzt hat. Ausserdem gibt es eine integrierte Funktion für das Zurücksetzen von Kennwörtern.
Die Installation des Produkts ist ausgesprochen einfach und innert weniger Minuten erledigt. Die Verwaltung erfolgt über eine zentrale Konsole, die sehr einfach nutzbar ist. Neue Anwendungen lassen sich dort mit wenig Aufwand einrichten, ebenso wie Richtlinien für Kennwörter und die generelle Nutzung der Anwendung. Die Verteilung der Client-Komponenten muss wie bei den anderen Produkten mit anderen Lösungen für die Softwareverteilung erfolgen. Wie schon bei ActivIdentity ausgeführt, dürfte das aber in den Netzwerken, in denen man über die Einführung von Enterprise-SSO-Lösungen nachdenkt, keine besondere Herausforderung darstellen.




Bei den Anwendungen fällt zunächst auf, dass dort nur wenige Typen unterschieden werden: Windows-, Web- und Host-Anwendungen. Bei ActivIdentity ist die Liste beispielsweise deutlich länger, weil Java-Anwendungen und andere Typen explizit aufgeführt werden. Wenn man sich aber an die Konfiguration beispielsweise von Windows-Anwendungen macht, tauchen in der Liste viele weitere vorkonfigurierte Anwendungen bis hin zu Lotus Notes auf.
Die Einrichtung der Anwendungen wird wie bei allen Produkten von Assistenten unterstützt, die beispielsweise Dialoge für die Anmeldung und die Kennwortänderung erkennen können. Damit lassen sich unterschiedliche Situationen abbilden. Gut gefällt, dass die gesamte Konfiguration über die grafische Oberfläche durchgeführt werden kann und im Gegensatz zu ActivIdentity SecureLogin kein Scripting erforderlich ist. Die verschiedenen Informationen, die für Anwendungen festgelegt werden können, sind auf eine Vielzahl von Registern aufgeteilt, aber gut geordnet und damit entsprechend einfach zu finden.
Auch die Konfiguration von Richtlinien für das Verhalten des Clients ist sehr gut gelungen. Hier kann vor allem der Detailgrad, mit dem Vorgaben für den Client gemacht werden, überzeugen – das Produkt bietet hier insgesamt die feinste Granularität.





Dass Funktionen wie die Anpassung von Passphrases, die Benutzer je nach Authentifizierung beantworten müssen oder für den Import und Export von Einstellungen nicht fehlen, versteht sich dabei schon fast von selbst. Auch hier gilt wieder, dass das Produkt einen sehr überzeugenden und ausgereiften Eindruck macht.
Eine Einschränkung ist die noch fehlende Unterstützung für ADAM. Das kann in Active-Directory-Umgebungen ein Problem darstellen, weil man so zwingend das Schema des produktiven Systems erweitern muss. Ansonsten wird aber eine breite Palette von Verzeichnisdiensten unterstützt.


Durchweg interessante Lösungen

Eines sei vorweg gesagt: Alle drei getesteten Produkte können überzeugen. In diesem Segment gibt es drei Hersteller, die durchweg auf eine beachtliche installierte Basis blicken und auf langjährige Erfahrungen verweisen können. Entsprechend ausgereift sind die Produkte. Auch wenn alle unterschiedliche Stärken haben, halten sich die Schwächen doch in Grenzen. Mit jedem der Produkte lassen sich Single-Sign-On-Lösungen im Unternehmen realisieren.
Wer Enterprise Single Sign-On einführen möchte, hat also gleich drei interessante Optionen zur Auswahl. Die Entscheidung muss im Detail erfolgen, wobei einige Aspekte eine Rolle spielen können. Dazu zählen unter anderem die Einfachheit der Administration und insbesondere der Definition von Anwendungen – vor allem, falls auch die User eigene Anwendungen «definieren» und deren Credentials abspeichern können sollen.
Falls neben den gängigen Szenarien wie lokalen und mobilen Benutzern auch spezielle Szenarien wie wechselnde Benutzer an einem System oder Kiosk-Systeme abgedeckt werden sollen, muss man die Lösungen der Anbieter auch genau evaluieren. Alle Hersteller adressieren solche Szenarien in der einen oder anderen Form, ebenso wie sie auch Terminal-Server-Umgebungen unterstützen – die Detaillösungen mögen aber mal besser und mal weniger gut passen.
Auch beim Detaillierungsgrad von Kennwort-Richtlinien und der Client-Konfiguration gibt es Unterschiede zwischen den Lösungen. Wer hier spezielle Anforderungen hat, sollte die einzelnen Einstellungen der Produkte im Detail vergleichen, um die Firmenrichtlinien wirklich genau umsetzen zu können.
Bei der Delegation der administrativen Berechtigungen gibt es ebenfalls Unterschiede. Wer hier sehr hohe Anforderungen stellt, ist mit Evidian WiseGuard und dem Extended Manager am besten bedient.
Unterschiede gibt es schliesslich bei der Unterstützung spezieller Anwendungstypen wie der Implementierung der SAP-Unterstützung und der Host-Anbindung. Auch hier muss man gegebenenfalls in der Evaluation das Zusammenspiel mit den wichtigsten eingesetzten Anwendungen überprüfen.


Single-Sign-On-Alternativen

Die drei getesteten Produkte bilden eine Kategorie von Single-Sign-On-Lösungen ab. Man könnte sie, wie es Tim Cole vom Analystenunternehmen Kuppinger Cole + Partner so prägnant ausgedrückt hat, auch als «Schummel-SSO» bezeichnen. Denn tatsächlich wird ja weiterhin mit vielen verschiedenen Benutzernamen und Kennwörtern gearbeitet.
Der Königsweg ist die Nutzung von Mechanismen, bei denen tatsächlich ein Single Sign-On erfolgt. Diesem Ideal kommen Lösungen wie Kerberos und X.509 am nächsten, ebenso wie die Ansätze der Identity Federation.
Auf den ersten Blick einfacher als die Enterprise-SSO-Produkte sind lokale Lösungen, bei denen Credentials beispielsweise auf einem USB-Token gespeichert werden. Letztlich sprechen aber die zentrale Konfiguration und die Ablage der Credentials in zentralen und hoffentlich gut geschützten Systemen wie Verzeichnisdiensten dafür, mit einem der Produkte aus dem Marktsegment des Enterprise Single Sign-Ons zu arbeiten.


Evidian AccessMaster

Das getestete Produkt Evidian Wiseguard ist sozusagen nur der kleine Bruder des Evidian AccessMaster. Dieser stellt über die Single-Sign-On-Funktionalität hinaus eine umfassende Funktionalität für die Integration von Identitätsdaten, die Provisionierung, Approval Workflows und weitere Funktionen bereit. Im Vergleich zu WiseGuard wird in diesem Fall aber eine eigene Server-Infrastruktur benötigt, während sich WiseGuard in Verbindung mit vorhandenen Verzeichnisdiensten einsetzen lässt. Wenn es um SSO geht, bietet der AccessMaster aber eine vergleichbare Funktionalität aber eben nicht nur SSO, wie es bei WiseGuard der Fall ist.





Die Testprodukte im Überblick


Testsieger

Eigentlich hat der Test drei Sieger verdient – denn alle Produkte sind ausgereifte Lösungen, mit denen sich das Problem des Single Sign-On relativ leicht adressieren lässt. Die etwas bessere Administration bei insgesamt vergleichbarer Funktionalität gibt letztlich den Ausschlag für Passlogix v-GO SSO – aber mit einem äusserst geringen Abstand zu den anderen Produkten, die jeweils an dem einen oder anderen Punkt ebenfalls Vorteile haben. Letztlich gilt aber, dass man mit jedem der drei Produkte das Problem des Single Sign-On auf sehr hohem Niveau lösen kann.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER