O que é Single Sign-on?
- Glossário do IAM
- O que é Single Sign-on?
O Single Sign-On (SSO) é uma tecnologia de autenticação que permite que um usuário acesse vários aplicativos e serviços com um conjunto de credenciais de login. As metas principais do SSO são reduzir o número de vezes que um usuário precisa inserir suas credenciais e facilitar que os usuários acessem todos os recursos de que precisam ser precisar fazer login várias vezes.
As plataformas de SSO têm uma função integral na maioria dos sistemas organizacionais de Gerenciamento de Identidade e Acesso (IAM). Além disso, sempre que um cliente usa uma conta de média social para fazer login em outro site – por exemplo, "Fazer login com Facebook" –, está usando SSO.
Como o Single Sign-On funciona?
Sistemas de SSO funcionam estabelecendo um relacionamento de confiança entre um usuário, um Provedor de Identidade (IdP) e os sites e aplicativos que usam o login SSO, que são conhecidos como provedores de serviços. Eis uma visão geral de alto nível do processo:
O usuário faz login no provedor de identidade. O usuário fornece o nome de usuário e a senha ao IdP, que verifica a identidade do usuário e autentica a sessão.
O provedor de identidade gera um token. Pense nesse tokem como um cartão de ID digital temporário que contém informações sobre a identidade do usuário e a sessão. Esse token, que é armazenado no navegador do usuário ou dentro dos servidores de serviços de SSO, será usado para passar as informações de identidade do usuário do IdP para o provedor de serviços.
O usuário acessa o provedor de serviços. Quando o usuário tenta acessar um site ou um aplicativo, esse site ou aplicativo solicita a autenticação do IdP.
O IdP envia o token par ao site ou aplicativo. O IdP envia seguramente um token criptografado de uso único para o aplicativo ou o site em que o usuário deseja fazer login.
O site ou aplicativo usa as informações no token para verificar a identidade do usuário. Com a verificação bem-sucedida, o provedor de serviço concede acesso ao usuário, que pode começar a usar o site ou o aplicativo.
O Single Sign-On é seguro?
Sim. De fato, o Single Sign-On é geralmente considerado mais seguro que os sistemas tradicionais de autenticação com nome de usuário e senha, pois o SSO reduz o número de senhas de que os usuários precisam se lembrar, o que dissuade os usuários de adotar práticas ruins de senhas, como criar senhas fracas e reutilizar senhas em várias contas.
No entanto, como com qualquer outra tecnologia, os sistemas de SSO devem ser aaequadamente configurados e mantigos para obter segurança ideal. Além disso, os sistemas de SSO devem ser usados em conjunto com outras ferramentas e protocolos de IAM, incluindo autenticação de vários fatores, um gerenciador de senhas empresarial abrangente e controles de acesso com base em função.
Tipos de Single Sign-On
Todos os sistemas de SSO têm o mesmo objetivo global: permitir que os usuários se autentiquem uma vez e acessem vários aplicativos e sistemas sem precisar fazer login novamente. No entanto, protocolos e padrões específicos podem varias de sistema para sistema. Eis alguns dos termos mais comuns que você encontrará ao trabalhar com SSO:
- O SSO federado é comum em organizações muito grandes que têm vários aplicativos e sistemas espalhados em diferentes departamentos e locais. Ele fornece acesso único a vários sistemas entre diferentes organizações.
- O SSO baseado na web é frequentemente usado por organizações "digitais nativas", cujos funcionários trabalham inteiramente com aplicativos e serviços baseados em nuvem.
- A Linguagem de Marcação de Asserção de Segurança (SAML) não é um "tipo" de SSO, mas um formato padrão de dados para trocar dados de autenticação e autorização entre partes. A SAML é comumente usada em sistemas de SSO baseados na web.
- O Kerberos é um protocolo de autenticação de rede que fornece autenticação segura para serviços de rede usando um sistema de "tíquetes" digitais. Em contraste com a SAML, que é usada para autenticar em aplicativos web, o Kerberos é uma tecnologia de back-end encontrado em Redes de área local (LANs) empresariais.
- O Protocolo Leve de Acesso a Diretórios (LDAP) é um protocolo de serviço de diretórios usado para armazenar e recuperar dados sobre usuários e recursos. As soluções de SSO com base em LDAP permitem que as organizações usem o serviço de diretório LDAP existente para gerenciar usuários para SSO. No entanto, como o LDAP não foi projetado para trabalhar nativamente com aplicativos web, as organizações geralmente usam seu servidor LDAP como uma "fonte de verdade" de autoridade - em outras palavras, como um provedor de identidade - em conjunto com o SSO baseado em SAML.
Vantagens e desvantagens do Single Sign-On
As principais vantagens do SSO incluem:
Conveniência e experiência aprimorada do usuário: O SSO elimina a necessidade de os usuários se lembrarem de vários nomes de usuário e senhas, portanto, podem acessar os serviços de que precisam com mais rapidez e facilidade.
Segurança aprimorada: O SSO oferece aos administradores de TI gerenciamento centralizado de identidades de usuários, o que ajuda a melhorar a segurança ao dar a eles melhor visibilidade e controle sobre quem tem acesso ao quê. Isso pode ajudar a evitar acesso não autorizado a informações confidenciais.
Melhor produtividade: Os administradores podem passar menos tempo gerenciando identidades de usuários, e os usuários não precisam perder tempo lidando com senhas. Uma solução de SSO também pode reduzir drasticamente ou até mesmo eliminar os tíquetes da central de atendimento para senhas esquecidas.
As principais desvantagens do SSO incluem:
Ponto único de falha: Se o sistema de SSO ficar fora do ar, os usuários não conseguirão acessar nenhum dos serviços de que dependem, o que pode resultar em uma interrupção significativa. Da mesma forma, se o sistema de SSO for comprometido, os atores da ameaça terão aesso a todos os provedores de serviço incluídos. É por isso que é crítico pproteger as credenciais de SSO com a autenticação de vários fatores.
Complexidade: Implementar um sistema de SSO pode ser complexo e exige um investimento significativo de tempo e recursos.
Vulnerabilidade: Se o sistema de SSO não tiver manutenção adequada, os atores de ameaças poderão comprometê-lo e obter acesso a vários serviços.
Limitações: Nem todos os aplicativos têm suporte para SSO, particularmente aplicativos de Linha de Negócios (LOB) antigos que realizam funções comerciais de back-end críticas e não são facilmente refatorados nem substituídos. Um gerenciador de senhas empresarial robusto preenche essa lacuna.
Como implementar o Single Sign-On
Implementar uma solução de Single Sign-On é um projeto importante de Ti que deve ser realizado com cuidado. Eis os principais passos que devem ser seguidos:
Lembre-se de evitar o uso e e-mail, mensagens de texto ou chamadas telefônicas como um fator de autenticação, a não ser que o site ou aplicativo não tenha suporte para outros métodos.
Defina seus requisitos: Determine quais serviços e aplicativos serão incluídos na implementação do SSO, bem como os requisitos de segurança e controle de acesso para cada um deles. Não se esqueça dos requisitos de segurança, como autenticação de vários fatores, gerenciamento de senhas e controle de acesso com base em função.
Escolha uma solução de SSO: Selecione uma solução de SSO, ou uma combinação de soluções, que atendam aos seus requisitos.
Configure seu provedor de identidade: Configure o componente de IdP da solução de SSO. Seu IdP será responsável por autenticar os usuários e fornecer as informações de identidade deles aos provedores de serviço incluídos.
Integre os provedores de serviço: Integre todos os sites e aplicativos com a solução de SSO. Isso envolve configurar cada provedor de serviço para que se comunique com o IdP para receber informações de identidade dos usuários e verificar a autenticidade da sessão de SSO.
Teste a implementação do SSO. Selecione um pequeno grupo de usuários de teste e certifique-se de que ainda conseguem acessar os serviços e aplicativos necessários com um único conjunto de credenciais.
Implemente a solução de SSO em toda a empresa: Dependendo de suas necessidades e do ambiente de dados, isso pode envolver implementar o IdP e os componentes do provedor de serviço em servidores separados ou integrá-los na infraestrutura existente.
Monitore e faça manutenção da solução de SSO: Monitore regularmente a solução de SSO para garantir que esteja funcionando corretamente e para lidar com quaisquer problemas que surjam.
É importante ter em mente que implementar o SSO exige um investimento significativo de tempo e recursos, e que poderá demorar vários meses para completar o processo. Também é importante trabalhar com profissionais de TI experientes que tenham conhecimento de soluções de SSO e de práticas recomendadas de segurança para garantir uma implementação bem-sucedida.