Mit Onelogin haben wir bei Blogwerk ein Single Sign On-System, mit dem wir Passwörter und Logins für alle Mitarbeiter verwalten können. Die Einführung und Nutzung eines solchen Tools ist aber nicht ganz trivial.

Wie die meisten wissen, arbeiten wir sehr eng mit diesem «Internet» zusammen. Da liegt es nahe, dass jeder für seine Arbeit den einen oder anderen Webdienst nutzt oder nutzen muss. Über die Jahre haben sich so rund achtzig Dienste und mehrere hundert Logins angesammelt. Je nach Beschaffenheit des Logins (Wichtigkeit, Typ) kamen verschiedene Passwörter zum Einsatz, die aus Sicherheitsgründen regelmässig geändert werden müssen. Und genau das machte uns immer mehr Probleme.

Je mehr Logins wir hatten, desto öfter hat man mal bei einem Account das Passwort oder sogar den Benutzernamen vergessen. Meist hilft auch der interne Chat nur bedingt und im Google Doc, welches zum letzten Mal vor drei Monaten bearbeitet wurde, ist der Account auch nicht eingetragen. Wenn wir alle unsere Passwörter ändern wollten, ging die Hälfte vergessen, mehrmals. Das Chaos war perfekt – Eine neue Lösung musste her.

Die Evaluation

Wir brauchen also einen Dienst, der übers Internet Logins synchronisieren kann oder komplett in der Cloud läuft, und uns wenn möglich verschiedene Berechtigungsstufen erlaubt. In die engere Auswahl kommen da bekannte Player wie Lastpass und 1Password, aber auch Dienste, von denen ich persönlich vorher noch nie gehört habe. Darunter Onelogin und Keepass.

LastPass deckt unsere Anforderungen zwar ab, jedoch kam während der Evaluation der Wunsch auf, dass man Benutzer direkt aus Google Apps synchronisieren kann. Das kann LastPass nicht, es bietet aber für einen fairen Preis von 24 US-Dollar pro User/Jahr verschiedene Zugriffsrechte, Cloudsync und eine gute Browsererweiterung für Chrome, Safari, Firefox und Internet Explorer. Offenbar gibt es auch eine App, mit der man von mobilen Geräten aus über den Browser einloggen kann.

1Password und Keepass waren schnell abgeschlagen. 1Password bietet keinen Cloudsync, man müsste die verschlüsselten Files z.B. über Dropbox oder noch besser Wuala verteilen. Berechtigungsstufen gibt es bei 1Password nicht, bei Keepass allerdings könnte man diese mit verschiedenen Passwort-Dateien und entsprechend unterschiedlichen Berechtigungen in Dropbox oder Wuala lösen. Ihr seht schon: Eine Firma wird damit nur bedingt glücklich, auch wenn die beiden Tools die günstigsten bzw. im Falle von Keepass sogar kostenlos wären.

Gleich werdet ihr feststellen, dass auch Onelogin nicht über alle Zweifel erhaben ist, jedoch bietet es einiges mehr als die anderen Tools – was jedoch mit 60 US-Dollar pro User/Jahr zu Buche schlägt. Onelogin bietet Cloudsync, eine Weboberfläche, eine Browser Extension, Berechtigungsverwaltung, Tabs zur sinnvollen Anordnung der Logins und sogar eine automatische Google Apps Synchronisation. Onelogin unterstützt im Weiteren auch Active Directory und LDAP.

Die Einführung von Onelogin

Vor der Einführung einer Passwörter-Verwaltung ist es wichtig, möglichst viele Passwörter bereits zu kennen. Wie wir im ersten Abschnitt dieses Beitrags gelesen haben, war das eines unserer Probleme. Doch danach gestaltet sich alles recht einfach. Onelogin ist relativ selbsterklärend. Die Konfiguration von Google Apps braucht jedoch ein wenig Zeit und Geduld. Der Support von Onelogin kann einem in diesen Belangen aber sehr zuverlässig Hilfe leisten.

Sobald alle User im System sind, kann man sich bei Onelogin mit dem Google Apps Account einloggen. Was nicht funktioniert sind Benutzer, die eine sichere Authentifizierung aktiviert haben. Dort heisst es dann einfach «Password invalid». Zum aktuellen Zeitpunkt wird dieses Problem vom Support bearbeitet, eine Lösung gibt es noch nicht.

Nun geht es daran alle «Apps», also Logins zu definieren. Dabei gibt es verschiedene Typen von Apps:

• User-Defined Login: Eine App, z.B. Twitter, die jedem Benutzer zur Verfügung gestellt wird, um seinen Privaten Account zu nutzen. Dort gibt jeder User einmalig seine persönlichen Zugangsdaten ein. Diese Daten können auch von Administratoren nicht eingesehen werden.
• Shared: Eine App, bei der man durch Administratoren vordefinierte Benutzerdaten/Passwort an einer Webseite eingeloggt wird. So können geteilte Accounts wie Google Analytics, Chartbeat oder Clicky freigegeben werden.

Vorteil hier ist, dass ein Benutzer dieses Passwort gar nicht einsehen kann, da die Browser-Extension das Login durchführt. Dies ist jedoch von App zu App unterschiedlich: Bei manchen wir einfach das Login-Formular ausgefüllt und abgeschickt – theoretisch sollte es also für wenige Millisekunden möglich sein, das Passwort mit einschlägigen Tools abzugreifen. Ich hab’s versucht, aber nicht geschafft, ein Passwort so rauszufinden. Es sieht allerdings so aus, als ob der gesamte Login-Datenverkehr über die Extension läuft, denn auch mit Tools wie FireSheep konnte ich nichts abgreifen.

Hat man alle Apps erfasst und getestet, kann man im Prinzip loslegen. Es kann sein, dass die eine oder andere vordefinierte App nicht funktioniert, der Support löst dieses Problem aber meist recht schnell. Für alle Dienste, die noch nicht existieren, kann man über einen einfachen Assistenten eine App zusammenklicken. Wir haben immerhin 23 Dienste, die wir selbst konfiguriert haben.

Was geht, wo liegen die Grenzen

Sind alle Apps erfasst, kann man eigentlich umstellen und nicht mehr von Hand einloggen. Die Erfahrung zeigt jedoch: Man gewöhnt sich nur schwer an das neue System, wenn man immer noch den alten Weg gehen kann.

Um das zu verhindern sollte man nun die Passwörter bei allen Diensten ersetzen. Am besten mit langen, komplexen Passwörtern und bei jedem Dienst ein anderes, da man sich diese ja nicht mehr merken muss. Die Erfahrung zeigt, dass dies sehr viel Zeit braucht, denn: Onelogin kann keine Passwörter ändern. Das Passwort muss ab jetzt sogar doppelt gewechselt werden. Am Dienst selbst und in der Onelogin App. In unserem Fall haben wir nun fast 300 Apps – also ein sehr hoher zeitlicher Aufwand.

Das bleibt aber, sofern man will, ein einmaliger Aufwand. Da die Benutzer die meisten Passwörter nicht mehr kennen und diese auch relativ sicher sind (Onelogin bietet einen praktischen Generator), müssen die Passwörter nicht mehr so häufig oder gar nicht mehr geändert werden. Wie man das handhabt, ist natürlich von den Sicherheitsrichtlinien der Firma abhängig.

Vorteile und Nachteile

Ich hätte ehrlich gesagt nicht gedacht, dass es am Ende doch recht viele Nachteile hat, eine solche Software einzuführen. Viele Probleme bemerkten wir tatsächlich erst als es zu spät war – Die Vorteile sind für uns allerdings sehr viel wichtiger als die diversen Nachteile, für die man sich zum Teil nur umgewöhnen muss. Um das mal zusammenzufassen:

Vorteile

• Grundsätzlich haben wir jetzt alle unsere Logins zentral verwaltet. Schon dieser Fakt alleine ist ein riesiger Vorteil gegenüber vorher. Da man es täglich nutzt, bekommt man automatisch das Bewusstsein, dass beim Erstellen eines neuen Accounts bei irgendeinem Dienst auch eine Onelogin App erstellt werden muss. Vorher war das mit einem Google Doc nicht nötig und es geriet in Vergessenheit.
• Der Arbeitsablauf ändert sich: Man geht nicht mehr auf eine Seite und loggt sich ein, sondern man geht immer auf Onelogin (Klick auf die Extension oder Aufruf im Browser) und klickt von dort aus auf den Dienst oder die Webseite, an der man sich einloggen will. Hat man sich daran gewöhnt, wird man bei intensiver Nutzung mancher Dienste deutlich schneller.
• Man kann für jeden Dienst ein eigenes, sehr komplexes Passwort verwenden. Das ist einmalig aufwändig, da aber die Benutzer die Passwörter nicht kennen, ist eine regelmässige Änderung nicht mehr zwingend nötig.
• Die Rechteverwaltung erlaubt es, den Benutzern nur die Apps zur Verfügung zu stellen die sie wirklich brauchen. Das schafft bessere Übersicht, aber auch mehr Sicherheit, da zum Beispiel Zugang zu technischen Diensten wie Pingdom oder Amazon AWS nur für die Personen möglich ist, die sich damit auskennen. Umgekehrt können die Entwickler auch nicht auf Social Media Accounts zugreifen, und den Menschen mit ihrer komischen Sprache Angst machen.
• Benutzer können auch eigene Apps erstellen, auf die nur sie selbst Zugriff haben. Ein Export der persönlichen Apps steht ebenfalls zur Verfügung.

Nachteile

• Manchmal, wenn man auf eine Seite geht, die ein Login hat, bietet die Extension an, direkt einzuloggen (Auswahl aus einem oder mehreren Accounts, je nachdem). Manchmal aber auch nicht.
• Onelogin bietet für einige Apps den sicheren Industriestandard SAML an. Auch für von uns genutzte Dienste wie Salesforce, Google Apps, Yammer und WordPress. Darüber könnte ich einen eigenen Artikel schreiben. Lange Geschichte in kurz: Mit unserem Nutzungsverhalten ist keiner der Dienste mit SAML nutzbar. Aber das ist auch einer der Punkte, die nicht von Anfang an sein müssen – man kann SAML auch später noch einführen.
• Es gibt Situationen, in denen man ein Passwort zur Bestätigung erneut eingeben muss. Beispiele sind die Rechnungsansicht von Amazon AWS oder eine Zahlungsbestätigung in Google Wallet. Dort muss man das Passwort aus Onelogin in die Zwischenablage kopieren, wozu aber nur Administratoren berechtigt sind.
• Das gleiche Problem besteht bei Smartphone Apps. Will jemand den @Blogwerk Twitter Account auf seinem Smartphone verknüpfen, muss das Passwort ebenfalls im Klartext von einem Administrator ausgeliefert werden. Das gilt auch bei Programmen die auf dem Mac oder PC installiert werden.
• Apropos Smartphone: Von der Info, dass es eine Onelogin App gibt, haben wir uns täuschen lassen. Es gibt nämlich lediglich eine App, die das Login über den Desktop Browser mit einem zusätzlichen Token absichert. Aber es gibt keine App um sich über den Smartphone Browser an den diversen Diensten anzumelden. Bleibt zu hoffen, dass da mal was kommt.
• Muss man – aus irgendeinem Grund – alle Passwörter ändern, ist der Aufwand ab jetzt doppelt so hoch, da man sowohl den Dienst wie auch Onelogin anpassen muss.
• Onelogin ist manchmal sehr langsam. Ein Login dauert gerne mal 5 – 10 Sekunden. Nicht tragisch, aber da gibt’s noch Potential.
• Es kommt leider recht oft vor, dass eine App nicht mehr funktioniert. Der Support reagiert zwar schnell, aber da er in San Francisco sitzt und wir lediglich 8×5 Support haben ist die betroffene App mindestens einen Tag nicht funktional. Während der Einführung stellten wir dies bei sechs Apps fest, bei vieren ist das Problem noch nicht gelöst (und kann nicht so einfach gelöst werden). Während der Nutzung von Onelogin in den letzten zwei Monaten gingen zwischendurch weitere Apps für wenige Stunden nicht (Xing, Adobe Creative Cloud und diverse Google Tools).
• Es gibt keine API um Apps zu erstellen, aus Sicherheitsgründen, wie der Hersteller sagt. Die über hundert Social Media Kit-Apps hätten wir damit programmatisch machen können. Das Erfassen von Hand hat uns einmalig dann doch mehrere Stunden gekostet, obwohl wir kurzerhand eine Browserautomation zur Hilfe programmiert haben.
• Wenn man z.B. bei Twitter schon eingeloggt ist, muss man erst ausloggen und kann erst danach mit Onelogin einloggen. Das Problem dürften aber auch andere Lösungen haben.
• Bei manchen selbst erstellten Apps fragt Onelogin bei jedem Neuladen der Seite ob es einloggen soll, auch wenn das Login-Formular nicht sichtbar ist und man bereits eingeloggt ist.
• Logins in «Lightboxen», deren HTML-Code erst nach einem Klick auf einen Link in die Seite integriert wird, funktionieren nicht, während hier alle anderen evaluierten Lösungen funktionieren würden. Hierzu sind wir mit Onelogin im Gespräch, das Problem scheint lösbar zu sein.
• HTTP Authorisierung funktioniert mit Onelogin leider ebenfalls nicht. Alle Logins die nicht funktionieren kann man aber via Notizenfunktion notfalls trotzdem in Onelogin hinterlegen.

Ja, das sind viele Nachteile, aber so viel Ehrlichkeit muss sein. Tut fast ein bisschen weh, jedoch hätten bis auf einige Ausnahmen alle dieser Probleme in dieser oder ähnlicher Form auch mit allen anderen evaluierten Tools gehabt.

Fazit

Ich bin mir nicht sicher, ob wir die beste Wahl getroffen haben, da wir zumindest einmalig sehr hohe Aufwände hatten alle Apps zu erfassen und die Probleme, die wir hatten mit dem Support von Onelogin zu lösen. Mit der heutigen Erfahrung könnte ich mir vorstellen, dass man mit LastPass alles in allem auch eine gute Lösung hat, sofern eine Google Apps Integration nicht von Nöten ist. Nun wo die Lösung in Betrieb ist, die Extensions bei allen funktionieren und auch alle wissen wie der Dienst zu nutzen ist läuft eigentlich alles flüssig.

An einige Nachteile gewöhnt man sich, andere sind nicht besonders tragisch, während die Vorteile doch deutlich sind: Wir haben unser Sicherheitsniveau deutlich erhöht. Wo vorher oft gleiche Passwörter im Einsatz waren, ist nun bei allen Diensten wie auch bei allen Kundenlösungen ein einzigartiges komplexes Passwort (15 bis 20 Gross-, Kleinbuchstaben, Zahlen und Sonderzeichen) hinterlegt. Zudem haben wir mit Onelogin einen Partner, der hohe Daten- und Ausfallsicherheit gewährleisten kann und ein beeindruckendes Kundenportfolio vorweist.

Und bitte entschuldigt den Titel des Artikels, aber das wollte ich schon immer mal machen.