SSO & MFA für das Fernzugriffs-Portal

Sicheres Fernzugriffs-Portal mit SSO und MFA aufbauen? WZ-IT baut souveräne Fernwartungsplattformen mit zentraler Identität, MFA und Audit. Zur Remote-Management-Plattform

Ein Fernzugriffs-Portal sollte nicht jeden Dienst mit einem eigenen Login absichern, sondern alle Zugriffe über eine zentrale Identität führen: ein Single Sign-On (SSO) per SAML 2.0 oder OpenID Connect, kombiniert mit erzwungener Multi-Faktor-Authentifizierung (MFA). So gibt es genau eine Stelle, an der Anmeldung, MFA, Kontext-Regeln und das Entziehen von Zugriffen durchgesetzt werden. Das reduziert Passwort-Wildwuchs, macht jeden Zugriff nachvollziehbar und erfüllt die Vorgaben aus NIS2 und IEC 62443. In der Praxis liefern quelloffene Identity Provider wie Authentik oder Keycloak diese Identitätsschicht vollständig self-hosted.

Inhaltsverzeichnis

• Warum zentrale Identität statt Einzel-Logins
• SSO-Protokolle: SAML 2.0 und OIDC
• Identity Provider: Authentik und Keycloak
• MFA-Methoden: TOTP, WebAuthn/Passkeys, Push
• Conditional Access: kontextbasierte Entscheidungen
• Provisioning, Deprovisioning und Lieferanten-Accounts
• SSO/MFA als Identitätsschicht für ZTNA
• SSO und MFA bei WZ-IT

---

Warum zentrale Identität statt Einzel-Logins

Wenn jedes HMI, jeder Server und jedes Web-Tool seinen eigenen Login mitbringt, entsteht eine unkontrollierbare Menge an Konten und Passwörtern. Niemand weiß zuverlässig, wer worauf Zugriff hat, MFA ist allenfalls stückweise aktiv, und scheidet ein Dienstleister aus, bleiben verstreute Konten zurück. Genau diese vergessenen Zugänge sind ein klassischer Einfallsweg.

Eine zentrale Identität dreht das um. Es gibt eine maßgebliche Identitätsquelle (den Identity Provider, IdP), an die alle Dienste angebunden sind. Die Vorteile:

• Eine Stelle für die Durchsetzung: Passwort-Richtlinie, MFA-Pflicht und Kontext-Regeln gelten zentral für alle Dienste, nicht pro Tool neu konfiguriert.
• Sofortiges Deprovisioning: Ein gesperrtes Konto im IdP beendet den Zugriff auf alle angebundenen Dienste auf einmal.
• Nachvollziehbarkeit: Jede Anmeldung läuft über denselben Punkt und landet im Audit-Trail (siehe RBAC & Audit für Fernzugriff).
• Weniger Angriffsfläche: Keine lokalen Service-Passwörter mehr, die kopiert, geteilt oder vergessen werden.

SSO-Protokolle: SAML 2.0 und OIDC

SSO bedeutet, dass sich ein Nutzer einmal beim IdP anmeldet und Dienste ihm anschließend ohne erneute Passworteingabe vertrauen. Zwei offene Standards regeln, wie IdP und Dienst dabei kommunizieren:

• SAML 2.0: XML-basierter OASIS-Standard von 2005, weit verbreitet in klassischer Unternehmenssoftware. Der IdP stellt eine signierte Assertion aus, die der Dienst (Service Provider) prüft.
• OpenID Connect (OIDC): Die moderne Identitätsschicht auf OAuth 2.0. OIDC arbeitet mit JSON/JWT, passt besser zu Web-Apps, APIs und mobilen Clients und ist heute die erste Wahl für neue Anbindungen.

Praktisch wählt man nicht entweder-oder: Ein guter IdP spricht beide Protokolle, sodass eine ältere Anwendung per SAML und eine neue per OIDC angebunden werden kann, hinter derselben zentralen Identität.

Identity Provider: Authentik und Keycloak

Der IdP ist das Herz des Setups. Zwei quelloffene, self-hostbare Lösungen haben sich etabliert:

• Keycloak: Das von der CNCF/Red Hat getragene Projekt ist sehr ausgereift und enterprise-tauglich. Aktuell ist Version 26.6 (Juni 2026). Keycloak unterstützt SAML 2.0, OIDC/OAuth 2.0, WebAuthn, TOTP sowie Step-up-Authentifizierung über Authentication Flows.
• Authentik: Schlank, modern und stark über Flows und Policies konfigurierbar. Aktuell ist die Release-Linie 2026.5 (seit Mai 2026 im Dreimonats-Zyklus). Authentik unterstützt SAML, OIDC/OAuth 2.0, einen SCIM-Provider, WebAuthn/Passkeys, TOTP und Push.

Beide laufen vollständig in eigener Infrastruktur in der EU. Steuerung, Schlüssel und Audit-Daten bleiben damit in Ihrer Hand, statt bei einem externen Identitätsdienst zu liegen.

MFA-Methoden: TOTP, WebAuthn/Passkeys, Push

MFA ergänzt das Passwort um einen zweiten Faktor. Entscheidend ist die Phishing-Resistenz: Verfahren auf Basis von WebAuthn/FIDO2 binden den kryptografischen Schlüssel an die Domain, sodass eine gefälschte Login-Seite den Faktor nicht abgreifen kann. WebAuthn ist seit Level 2 (W3C Recommendation, April 2021) etabliert; Level 3 liegt seit Januar 2026 als Candidate Recommendation vor (aktualisierter Snapshot Mai 2026).

Die maßgebliche Referenz ist NIST SP 800-63B-4 (final seit Juli 2025): Auf Assurance Level AAL2 muss eine phishing-resistente Option angeboten werden, AAL3 verlangt phishing-resistente Hardware-Authentikatoren. Praktische Empfehlung: Passkeys als Standard, TOTP als Fallback, und für privilegierte Rollen (Administratoren, kritische Anlagen) WebAuthn verpflichtend.

Conditional Access: kontextbasierte Entscheidungen

Eine starke Anmeldung ist die Basis, doch nicht jeder Zugriff ist gleich riskant. Beim Conditional Access (kontextbasierter Zugriff) bezieht der IdP zusätzliche Signale in die Entscheidung ein:

• Gerätezustand (Posture): verwaltetes Gerät, aktuelles Betriebssystem, Client-Version.
• Netzwerk und Standort: Quell-IP, Land, bekannter Standort.
• Zeit und Risiko: ungewöhnliche Uhrzeit, neue Geräte, auffällige Muster.

Daraus folgt entweder ein direkter Zugriff, eine Step-up-Authentifizierung (zusätzlicher Faktor für sensible Aktionen) oder eine Ablehnung. Keycloak bildet das über ACR/LoA-Stufen und Conditional Authentication Flows ab; Authentik über Policies und Expression Policies, die im Flow ausgewertet werden. So gilt für den Blick aufs Dashboard eine andere Hürde als für den steuernden Eingriff an einer Maschine.

Provisioning, Deprovisioning und Lieferanten-Accounts

Identitäten haben einen Lebenszyklus: anlegen, ändern, entziehen. Manuell gepflegt schleichen sich Fehler ein, vor allem beim Entziehen. Der offene Standard SCIM (RFC 7643/7644) automatisiert das, indem das führende System (z. B. HR oder ein Verzeichnis) Konten im IdP automatisch anlegt, aktualisiert und deaktiviert.

Für Lieferanten- und Dienstleister-Accounts ist die Zeitbegrenzung zentral. Externe erhalten kein dauerhaftes Konto, sondern Zugriff mit Ablaufdatum, idealerweise als Just-in-time-Zugriff: Die Berechtigung gilt nur für ein definiertes Wartungsfenster und eine konkrete Anlage und erlischt danach automatisch. Das verhindert verwaiste Standing Privileges, die ein häufiger Einfallsweg sind. Die Rollen- und Berechtigungslogik dahinter beschreibt RBAC & Audit für Fernzugriff.

Sauberes Deprovisioning ist der wichtigste Sicherheitsgewinn der zentralen Identität: Scheidet jemand aus, genügt das Sperren im IdP, um den Zugriff auf alle angebundenen Dienste sofort zu beenden, statt jedes Tool einzeln aufzuräumen.

SSO/MFA als Identitätsschicht für ZTNA

SSO und MFA sind die "verify"-Komponente von Zero Trust Network Access (ZTNA). Zero Trust prüft jede Anfrage neu gegen Identität, Gerätezustand und Kontext, bevor eine Verbindung zustande kommt. Der IdP liefert dafür die maßgebliche Identität: Erst wenn SSO-Anmeldung, MFA und Conditional-Access-Bedingungen erfüllt sind, gibt der Policy-Broker die einzelne Ressource frei, nie das ganze Netz. Ohne starke, zentrale Identität bleibt jedes Zero-Trust-Modell Stückwerk.

NIS2: Artikel 21 der NIS-2-Richtlinie und der deutsche § 30 BSIG nennen Multi-Faktor-Authentifizierung und Konzepte für die Zugriffskontrolle ausdrücklich als Mindestmaßnahmen. Das deutsche NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Ein zentrales SSO mit erzwungenem MFA ist der nachweisbare Weg, diese Pflicht für den Fernzugriff zu erfüllen. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.

SSO und MFA bei WZ-IT

In unseren souveränen Fernwartungsplattformen ist die Identität nie ein Anhängsel, sondern der zentrale Kontrollpunkt. Wir setzen einen self-hosted IdP (Authentik oder Keycloak) als maßgebliche Identitätsquelle ein, binden jeden Dienst per OIDC oder SAML an, erzwingen MFA mit Passkeys und ergänzen Conditional Access für privilegierte Zugriffe. Lieferanten-Accounts sind zeitlich begrenzt und werden über SCIM sauber an- und abgemeldet. Jede Anmeldung landet im manipulationssicheren Audit-Trail.

Diesen Ansatz betreiben wir produktiv: bei ABCO Water Systems in Australien für den Maschinen- und HMI-Zugriff über verteilte Standorte und bei nextGYM in Deutschland für eine ausgerollte IoT-Geräteflotte. Konzeption, Aufbau und Betrieb übernehmen wir auf Wunsch komplett im Rahmen unserer Remote-Management-Plattformen.

Weiterführende Guides

• RBAC & Audit für Fernzugriff - Rollen, Least Privilege und revisionssichere Logs
• Was ist ZTNA? - Zero Trust Network Access und die Rolle der Identität
• NIS2-konformer Fernzugriff - regulatorische Einordnung
• Authentik-Expertise und Keycloak-Expertise

Sicheres Fernzugriffs-Portal mit zentraler Identität, MFA und Audit aufbauen? Lernen Sie uns kennen oder sehen Sie sich unsere Remote-Management-Plattformen an.