Share via

Sicherheitsempfehlungen für SSO

  • Artikel

Dieser Abschnitt enthält Empfehlungen zum Schützen Ihres Enterprise Single Sign-On(SSO)-Systems.

Mit dem Enterprise Single Sign-On -System (SSO) können Benutzer eine Verbindung mit verschiedenen Systemen herstellen, indem sie nur einen Satz Von Anmeldeinformationen verwenden. Host Integration Server verwendet das SSO-System als Speicher für vertrauliche Informationen. Obwohl es automatisch installiert wird, wenn Sie die Host Integration Server-Runtime installieren, können Sie auch Enterprise Single Sign-On als eigenständige Komponente installieren, unabhängig von Ihrer Host Integration Server-Umgebung. Es wird empfohlen, diese Richtlinien zum Sichern und Bereitstellen der Enterprise SSO-Dienste und -Ressourcen in Ihrer Umgebung zu befolgen.

Allgemeine Bereitstellungsempfehlungen für SSO

  • In der Umgebung muss es einen Zeitserver geben, damit die Synchronisierung aller SSO-Server sichergestellt ist. Wenn die Uhren auf den SSO-Servern nicht synchronisiert werden, kann dies die Sicherheit Ihrer Umgebung beeinträchtigen.

  • Da es in Ihrer gesamten Umgebung nur einen master Geheimserver gibt, verwenden wir eine Aktiv-Passiv-Clusterkonfiguration für den master Geheimserver. Weitere Informationen zum Clustering des master Geheimnisservers finden Sie unter Clustern des Geheimen Masterservers.

  • Der master Geheimnisserver enthält den Verschlüsselungsschlüssel, den das SSO-System zum Verschlüsseln der Informationen in der SSO-Datenbank verwendet. Es wird empfohlen, auf diesem Computer keine anderen Produkte oder Dienste zu installieren oder zu konfigurieren.

    Hinweis

    Der Computer, auf dem Sie den Server für den geheimen Hauptschlüssel installieren und konfigurieren, muss kein Server sein.

  • Der Server für den geheimen Hauptschlüssel sollte Zugriff auf einen Ordner auf einem Wechseldatenträger oder im NTFS-Dateisystem haben, um den geheimen Hauptschlüssel sichern und wiederherstellen zu können. Wenn Sie Wechselmedien verwenden, stellen Sie sicher, dass Sie geeignete Maßnahmen ergreifen, um die Wechselmedien zu schützen. Wenn Sie das master Geheimnis in einem NTFS-Dateisystem sichern, stellen Sie sicher, dass Sie die Datei und den Ordner schützen. Nur der SSO-Administrator sollte Zugriff auf diese Datei haben.

  • Sie sollten sofort nach der Erstellung des geheimen Hauptschlüssels durch den Server eine Sicherungskopie des Schlüssels anlegen. Dies ist so, dass Sie die Daten in der SSO-Datenbank wiederherstellen können, falls der master Geheimnisserver ausfällt. Weitere Informationen zum Sichern des master Geheimnisses finden Sie unter Verwalten des Geheimen Hauptschlüssels.

  • Sichern Sie Ihr aktuelles Geheimnis, oder generieren Sie regelmäßig ein neues Geheimnis, z. B. einmal im Monat. Ohne den geheimen Hauptschlüssel können Sie keine Informationen aus der SSO-Datenbank abrufen. Weitere Informationen zum Sichern und Wiederherstellen des master Geheimnisses finden Sie unter Verwalten des Geheimen Hauptschlüssels.

Sicherheitsempfehlungen für SSO-Gruppen und -Konten

  • Es wird empfohlen, Windows-Gruppen und keine einzelnen Benutzerkonten zu verwenden, insbesondere für die Gruppen SSO-Administrator und SSO-Partneradministratoren. Diesen Gruppen müssen immer mindestens zwei Benutzerkonten als Gruppenmitglieder zugeordnet sein.

  • Die SSO-Laufzeitdienst-Konten und die SSO-Administratorkonten sollten unterschiedliche Konten sein, selbst wenn sie Mitglieder derselben Gruppe SSO-Administratoren sind. Die SSO-Administratorbenutzer, die Administrative Aufgaben wie das Generieren und Sichern des Geheimnisses ausführen, müssen Windows-Administratoren sein, während die SSO-Laufzeitdienstkonten keine Windows-Administratoren sein müssen.

    Wichtig

    Die Benutzerrechte von Windows-Administratoren haben keinen Vorrang vor den Benutzerrechten des SSO-Administrators. Um SSO-Verwaltungsaufgaben auszuführen, müssen Sie Mitglied der Gruppe SSO-Administratoren sein, auch wenn Sie bereits Windows-Administrator sind.

  • Bei Verwendung von SSO-Tickets müssen Domänenkonten verwendet werden, die von den Computer in der Verarbeitungsdomäne (der Domäne, in der sich die SSO-Servers befinden) erkannt werden.

  • Es wird empfohlen, ein eindeutiges Dienstkonto für den SSO-Dienst zu verwenden, der dem master Geheimnisserver entspricht.

  • Das SSO-Administratorkonto ist ein Konto mit hohen Berechtigungen im SSO-System, das auch das SQL Server Administratorkonto für die SQL Server-Instanz ist, die über die SSO-Datenbank verfügt. Sie sollten dedizierte Konten für SSO-Administratoren anlegen und diese Konten nicht für andere Zwecke verwenden. Sie sollten die Mitgliedschaft auf die Gruppe SSO-Administratoren nur auf die Konten beschränken, die für die Ausführung und Wartung des SSO-Systems verantwortlich sind.

Sicherheitsempfehlungen für SSO-Bereitstellungen

  • Wenn Ihr Netzwerk die Kerberos-Authentifizierung unterstützt, sollten Sie alle SSO-Server registrieren. Wird die Kerberos-Authentifizierung zwischen dem Server für den geheimen Hauptschlüssel und der SSO-Datenbank verwendet, müssen Sie Dienstprinzipalnamen (SPNs) auf dem Computer mit SQL Server konfigurieren, auf dem sich die SSO-Datenbank befindet.

  • Wenn sich der master geheimer Server unter Windows Server 2003 in einer anderen Domäne befindet als die anderen SSO-Server und die SSO-Datenbank, müssen Sie die RPC-Sicherheit (wie für die DTC-Authentifizierung zwischen Computern verwendet) auf dem master geheimen Server, auf den SSO-Servern (verarbeitungscomputer in der Verarbeitungsdomäne) und in der SSO-Datenbank deaktivieren. RPC-Sicherheit ist ein neues DTC-Feature in Windows Server 2003. Wenn Sie die RPC-Sicherheit deaktivieren, geht die DTC-Authentifizierungssicherheitsstufe für RPC-Aufrufe auf eine zurück, die in Microsoft Windows verfügbar ist. Weitere Informationen zum Deaktivieren der RPC-Sicherheit finden Sie unter Hilfe und Support von Microsoft.

  • SSO-Administratoren sollten regelmäßig das Ereignisprotokoll des Servers für den geheimen Hauptschlüssel und des SSO-Servers auf SSO-Überwachungsereignisse prüfen.

  • Zusätzlich zu Firewalls wird empfohlen, zwischen allen SSO-Servern und der SSO-Datenbank IPsec (Internet Protocol Security) oder Secure Sockets Layer (SSL) zu verwenden. Weitere Informationen zu SSL finden Sie unter Hilfe und Support von Microsoft.

Umkreisnetzwerk

Befolgen Sie die folgenden Empfehlungen, wenn Sie Internetinformationsdienste (Internet Information Services, IIS) und Einmaliges Anmelden (SSO) für Unternehmen ausführen:

  • Wenn sich IIS in einem Umkreisnetzwerk befindet (auch als überprüftes Subnetz bezeichnet), stellen Sie einen anderen Server mit IIS hinter der Firewall bereit, um eine Verbindung mit dem SSO-System herzustellen.

  • Öffnen Sie den Port für Remoteprozeduraufrufe (RPC) nicht in IIS.

SQL Server-Zugriff

Alle SSO-Server greifen auf die Datenbank SQL Server Anmeldeinformationen zu.

Microsoft empfiehlt die Verwendung von Secure Sockets Layer (SSL) und/oder Internet protocol security (IPsec), um die Übertragung von Daten zwischen den SSO-Servern und der Anmeldeinformationsdatenbank zu schützen. Weitere Informationen zur Verwendung von SSL finden Sie unter Microsoft-Hilfe und -Support.

Um SSL nur für die Verbindung zwischen dem SSO-Server und der Anmeldeinformationsdatenbank zu aktivieren, können Sie die SSL-Unterstützung auf jedem SSO-Server mithilfe des Ssoconfig-Hilfsprogramms festlegen. Mit dieser Option kann SSO beim Zugriff auf die Anmeldeinformationsdatenbank immer SSL verwenden. Weitere Informationen finden Sie unter Aktivieren des einmaligen Anmeldens für SSL for Enterprise.

Sichere Kennwörter

Es ist sehr wichtig, dass Sie sichere Kennwörter für alle Konten verwenden. Dies gilt besonders für die Konten, die Mitglieder der Gruppe SSO-Administratoren sind, da diese Benutzer Kontrolle über das gesamte SSO-System haben.

SSO-Administratorkonten

Es wird empfohlen, unterschiedliche Dienstkonten für die SSO-Dienste zu verwenden, die auf verschiedenen Computern ausgeführt werden. Sie sollten nicht das SSO-Administratorkonto verwenden, das Verwaltungsaufgaben wie das Erstellen und Sichern des geheimen Hauptschlüssels für den SSO-Dienst durchführt. Obwohl die SSO-Dienstkonten auf diesem Computer keine lokalen Administratoren sein sollten, muss der SSO-Administrator, der Verwaltungsvorgänge ausführt, für einige Vorgänge ein lokaler Administrator auf dem Computer sein.

Server für den geheimen Hauptschlüssel

Es wird dringend empfohlen, den master Geheimnisserver zu sichern und zu sperren. Sie sollten diesen Server nicht als Verarbeitungsserver verwenden. Der einzige Zweck dieses Servers sollte es sein, den geheimen Hauptschlüssel zu speichern. Gewährleisten Sie die physische Sicherheit dieses Computers, und geben Sie nur SSO-Administratoren Zugriff darauf.

Kerberos

SSO unterstützt Kerberos, und es wird empfohlen, Kerberos für einmaliges Anmelden einzurichten. Wenn Sie Kerberos für SSO einrichten möchten, müssen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für den SSO-Dienst registrieren. Wenn Sie Kerberos einrichten, verwendet SSO standardmäßig diesen SPN, um die Komponenten mithilfe des SSO-Diensts zu authentifizieren. Es wird empfohlen, die Kerberos-Authentifizierung zwischen den administrativen SSO-Unterdiensten und dem SSO-Server einzurichten. Sie können auch die Kerberos-Authentifizierung zwischen den SSO-Servern und zwischen den SSO-Servern und dem SQL Server verwenden, in dem sich die Anmeldeinformationsdatenbank befindet.

Zum Einrichten und Überprüfen von Kerberos verwenden Sie die Hilfsprogramme setspn und kerbtray.

Delegierung

Wenn Sie Windows Server 2003 verwenden, können Sie die eingeschränkte Delegierung verwenden, es wird jedoch empfohlen, die Delegierung nicht zu verwenden, um die Aufgaben des Einzeladministrators Sign-On auszuführen. Ebenso wird empfohlen, keine zusätzlichen Aufgaben oder Benutzerrechte an den Einzelbenutzeradministrator Sign-On zu delegieren.

Überwachung

Die Überwachung ist ein wichtiger Mechanismus für die Nachverfolgung von Informationen in einer Umgebung. Enterprise Single Sign-On (SSO) überwacht alle Vorgänge, die in der Anmeldeinformationsdatenbank ausgeführt werden. Dabei werden die Ereignis- und Überwachungsprotokolle der Datenbank verwendet. SSO bietet zwei Überwachungsebenen für die SSO-Server:

  • Positive Überwachungsstufen überwachen erfolgreiche Vorgänge.

  • Negative Überwachungsebenen überwachen Vorgänge, die fehlschlagen.

    SSO-Administratoren können die positiven und negativen Überwachungsebenen festlegen, die ihren Unternehmensrichtlinien entsprechen.

    Sie können positive und negative Überwachungen auf eine der folgenden Ebenen festlegen:

  • 0 = None: Diese Ebene gibt keine Überwachungsmeldungen aus.

  • 1 = Niedrig

  • 2 = Mittel

  • 3 = Hoch: Diese Ebene gibt so viele Überwachungsnachrichten wie möglich aus.

    Der Standardwert für positive Überwachung ist 0 (Keine), der Standardwert für negative Überwachung ist 1 (Niedrig). Abhängig von der Überwachungsebene, die Sie für Ihr SSO-System wünschen, müssen Sie diese Werte eventuell ändern.

Wichtig

Enterprise Single Sign-On auditing issues messages that are generated by the Single Sign-On Service. Dies ist keine Sicherheitsüberwachung, und das SSO-System speichert die Informationen nicht im Sicherheitsprotokoll des Ereignisprotokolls. Das SSO-System speichert die SSO-Überwachungsnachrichten vielmehr direkt im Anwendungsereignisprotokoll.

Überwachung auf Datenbankebene

Bei der Überwachung auf Datenbankebene verfolgt das SSO-System die Vorgänge nach, die für die Credential-Datenbank in den Überwachungstabellen in der Datenbank ausgeführt werden. Die Größe dieser Überwachungstabellen wird auf SSO-Systemebene definiert. Sie können die Überwachung für gelöschte Partneranwendungen, für gelöschte Zuordnungen und für durchgeführte Suchen nach Anmeldeinformationen festlegen. Standardmäßig ist die Überwachungsgröße auf 1.000 Einträge festgelegt. SSO-Administratoren können diese Größe an ihre Unternehmensrichtlinien anpassen.

Verwenden von Enterprise Single Sign-On-Konten

Dieser Abschnitt enthält bewährte Methoden, wenn Sie Domänen- und lokale Gruppen und einzelne Konten im SSO-System (Enterprise Single Sign-On) verwenden.

Windows-Domänengruppen und -Domänenkonten

Wenn Sie mit Windows-Domänengruppen arbeiten, gelten die folgenden Empfehlungen:

  • Verwenden Sie Domänengruppen und Domänenkonten.

  • Verwenden Sie eine Domänengruppe für SSO-Administratoren. Sie sollten kein einzelnes Domänenkonto als SSO-Administrator festlegen, da Sie dieses Konto nicht in ein anderes Einzelkonto ändern können.

  • Sie können zwar ein einzelnes Domänenkonto als SSO-Partneradministrator festlegen, sollten aber eine Domänengruppe verwenden.

  • Sie können zwar ein einzelnes Domänenkonto als Anwendungsadministrator festlegen, sollten aber eine Domänengruppe verwenden.

  • Sie müssen Domänengruppen für das Anwendungsbenutzerkonto verwenden. Das Konto für SSO-Anwendungen unterstützt kein einzelnes Konto.

Weitere Informationen

Überwachen des einmaligen Anmeldens für Unternehmen
Aktualisieren der Anmeldeinformationsdatenbank