Wat is Single Sign-On (SSO)?
- IAM-woordenlijst
- Wat is Single Sign-On (SSO)?
Single Sign-On (SSO) is een authenticatietechnologie waarbij een gebruiker toegang krijgt tot meerdere apps en services met één set aanmeldingsgegevens. De primaire doelen van SSO zijn verlaging van het aantal keer dat een gebruiker aanmeldingsgegevens moet invullen en het makkelijker maken voor gebruikers om toegang te krijgen tot alle bronnen die ze nodig hebben zonder zich meerdere keren aan te hoeven melden.
SSO-platforms spelen een integrale rol in de meeste organisatorische Identity and Access Management (IAM)-systemen. Daarnaast maken ze gebruik van SSO wanneer een consument een sociale media-account gebruikt om zich aan te melden bij een andere website – bijvoorbeeld 'Aanmelden met Facebook'.
Hoe werkt Single Sign-On?
SSO-systemen werken door een vertrouwensrelatie op te bouwen tussen een gebruiker, een Identity Provider (IdP) en de websites en apps die de SSO-aanmelding gebruiken. Dit noemen we serviceproviders. Hier is een overzicht van het proces:
De gebruiker meldt zich aan bij de identiteitsprovider. De gebruiker verstrekt de gebruikersnaam en het wachtwoord aan de IdP, die de identiteit van de gebruiker verifieert en de sessie authenticeert.
De identiteitsprovider genereert een tekenreeks. U kunt deze tekenreeks zien als een tijdelijke digitale ID-kaart met informatie over de gebruikersidentiteit en sessie. Deze tekenreeks, die wordt opgeslagen in de browser van de gebruiker of op de servers van de SSO-service, wordt gebruikt om de identiteitsinformatie van de gebruiker van de IdP door te geven aan de serviceprovider.
De gebruiker krijgt toegang tot de serviceprovider. Wanneer de gebruiker toegang probeert te krijgen tot een website of app, vraagt die site of app authenticatie van de IdP.
De IdP stuurt de tekenreeks naar de website of app. De IdP stuurt veilig een eenmalige, versleutelde tekenreeks naar de app of website waarbij de gebruiker zich wil aanmelden.
De website of app gebruikt de informatie in de tekenreeks om de identiteit van de gebruiker te verifiëren. Na succesvolle verificatie verleent de serviceprovider toegang aan de gebruiker, en kan de gebruiker de site of app gaan gebruiken.
Is Single Sign-On veilig?
Ja. Het is zelfs zo dat Single Sign-On in het algemeen als veiliger wordt beschouwd dan traditionele gebruikersnaam- en wachtwoordauthenticatiesystemen omdat SSO het aantal wachtwoorden dat gebruikers moeten onthouden verlaagt, waardoor gebruikers minder slordig worden in hun wachtwoordgewoonten, zoals het maken van zwakke wachtwoorden en wachtwoorden hergebruiken voor meerdere accounts.
Echter, zoals bij alle technologie, moeten SSO-systemen goed worden geconfigureerd en onderhouden om optimale beveiliging te bereiken. Daarnaast moeten SSO-systemen worden gebruikt in combinatie met andere IAM-tools en protocollen, inclusief multi-factor-authenticatie, een uitgebreide wachtwoordbeheerder voor grote ondernemingen en op rollen gebaseerde toegangscontroles (RBAC).
Soorten Single Sign-On
Alle SSO-systemen hebben hetzelfde einddoel: gebruikers toestaan om eenmalig te authenticeren en toegang te verlenen tot verschillende apps en systemen zonder opnieuw aan te melden. Het kan echter zo zijn dat bepaalde protocollen en standaarden van systeem tot systeem verschillen. Hier zijn de meestvoorkomende termen die u tegenkomt als u met SSO werkt:
- Gefedereerd SSO komt vaak voor bij zeer grote organisaties met meerdere apps en systemen die verspreid zijn over verschillende afdelingen en locaties. Dit biedt enkelvoudige toegang tot meerdere systemen en diverse organisaties.
- Webgebaseerde SSO wordt vaak gebruikt door 'digitaal authentieke' organisaties waarbij de werknemers volledig met cloudgebaseerde apps en services werken.
- Security Assertion Markup Language (SAML) is geen 'type' SSO, maar een standaard gegevensindeling voor de uitwisseling van authenticatie- en autorisatiegegevens tussen partijen. SAML wordt vaak gebruikt in webgebaseerde SSO-systemen.
- Kerberos is een netwerkauthenticatieprotocol dat veilige authenticatie biedt voor netwerkservices die gebruikmaken van een 'ticketing'-systeem. In tegenstelling tot SAML, wat wordt gebruikt voor authenticatie bij web-apps, is Kerberos een back-end-technologie die u aantreft bij Local Area Networks (LAN's) van grote ondernemingen.
- Lightweight Directory Access Protocol (LDAP) is een directory-service-protocol dat wordt gebruikt om gegevens over gebruikers en bronnen op te slaan en op te halen. LDAP-gebaseerde SSO-oplossingen zorgen ervoor dat organisaties hun bestaande LDAP-directory-service kunnen gebruiken om gebruikers voor SSO te beheren. Echter, aangezien LDAP niet is ontworpen om met web-apps te werken, gebruiken organisaties vaak hun LDAP-server als een autoriserende 'bron van waarheid': met andere woorden, als een identiteitsprovider, samen met op SAML gebaseerde SSO.
Voordelen en nadelen van Single Sign-On
De primaire voordelen van SSO zijn:
Gemak en verbeterde gebruikerservaring: SSO elimineert de behoefte voor gebruikers om meerdere gebruikersnamen en wachtwoorden te onthouden, zodat ze sneller en makkelijker toegang krijgen tot de services die ze nodig hebben.
Verbeterde beveiliging: SSO geeft IT-beheerders gecentraliseerd beheer over gebruikersidentiteiten, wat helpt met de verbetering van de beveiliging door beheerders meer inzicht in en controle over de personen te geven en wie toegang heeft tot wat. Dit kan onbevoegde toegang tot vertrouwelijke informatie helpen voorkomen.
Verbeterde productiviteit: Beheerders kunnen minder tijd spenderen aan het beheren van gebruikersidentiteiten, en gebruikers hoeven geen tijd te verspillen aan gedoe met wachtwoorden. Een SSO-oplossing kan ook aanzienlijk het aantal tickets voor de helpdesk voor vergeten wachtwoorden verminderen of zelfs elimineren.
De primaire nadelen van SSO zijn:
Enkel punt van mislukking: Als het SSO-systeem offline gaat, hebben gebruikers geen toegang meer tot services, wat een aanzienlijke werkonderbreking tot gevolg kan hebben. Vergelijkbaar, als het SSO-systeem wordt gecompromitteerd, kunnen cybercriminelen toegang krijgen tot alle betreffende serviceproviders. Daarom is het uitermate belangrijk om SSO-aanmeldingsgegevens te beveiligen met multi-factor-authenticatie.
Complexiteit: Een SSO-systeem implementeren kan complex zijn en vereist een aanzienlijke investering van tijd en middelen.
Kwetsbaarheid: Als het SSO-systeem niet goed wordt onderhouden, kunnen cybercriminelen het in potentie compromitteren en toegang krijgen tot meerdere services.
Beperkingen: Niet alle apps ondersteunen SSO, met name oude Line-of-Business (LOB)-apps die kritieke back-end-bedrijfsfuncties uitoefenen, en die niet makkelijk opnieuw gefabriceerd of vervangen kunnen worden. Een robuuste wachtwoordbeheerder voor grote ondernemingen vult dit hiaat.
Zo kunt u Single Sign-On implementeren
Een enkelvoudige Single Sign-On-oplossing implementeren is een groot IT-project dat met zorg moet worden uitgevoerd. Dit zijn de belangrijkste stappen om te nemen.
Vermijd het gebruik van e-mail, sms'jes of telefoongesprekken als authenticatiefactor, tenzij de site of app geen andere methoden ondersteunt.
Definieer uw vereisten: Bepaal welke services en apps worden geïmplementeerd in de SSO-implementatie, evenals de beveiligings- en toegangscontrolevereisten voor elke service en app. Vergeet uw beveiligingsvereisten, zoals multi-factor-authenticatie, wachtwoordbeheer en Role Based Access Control niet.
Kies een SSO-oplossing: Selecteer een SSO-oplossing, of een combinatie van oplossingen, om aan uw vereisten te voldoen.
Configureer uw identiteitsprovider: Stel de IdP-component van de SSO-oplossing in. Uw IdP is verantwoordelijk voor de authenticatie van gebruikers en het verstrekken van hun identiteitsgegevens aan de betreffende serviceproviders.
Integreer serviceproviders: Integreer elke website en app met de SSO-oplossing. Dit heeft betrekking op de configuratie van elke serviceprovider om te communiceren met de IdP om identiteitsgegevens van gebruikers te ontvangen en de authenticiteit van de SSO-sessie te verifiëren.
Test de SSO-implementatie: Selecteer een kleine testgroep met gebruikers en zorg ervoor dat ze nog steeds toegang hebben tot de benodigde services en apps met een enkele set aanmeldingsgegevens.
Zet de SSO-oplossing in de hele onderneming in: Afhankelijk van uw behoeften en data-omgeving, kan dit inclusief het inzetten van IdP en serviceprovider-componenten op afzonderlijke servers zijn, of ze integreren in een bestaande infrastructuur.
Monitor en onderhoud de SSO-oplossing: Monitor de SSO-oplossing regelmatig om ervoor te zorgen dat deze goed functioneert en pak elk probleem dat zich voordoet meteen aan.
Het is belangrijk om te onthouden dat u veel tijd en middelen moet investeren in de implementatie van SSO, en dat het verschillende maanden kan duren voordat het proces is voltooid. Het is ook belangrijk om met ervaren IT-professionals te werken die expertise hebben op het gebied van SSO-oplossingen en best practices voor beveiliging, om een succesvolle implementatie te waarborgen.