Wat is Single Sign-On (SSO)?

Single Sign-On (SSO) is een vorm van authenticatie waarbij een gebruiker maar één keer hoeft in te loggen om toegang te krijgen tot meerdere applicaties. Organisaties gebruiken SSO meestal om de toegang tot de diverse applicaties die ze gebruiken (web, on-premise en cloud) te vereenvoudigen en daardoor de gebruikerservaring te verbeteren. Tegelijk krijgt de IT-afdeling hiermee meer controle over de gebruikerstoegang. Het aantal telefoontjes naar de helpdesk over vergeten wachtwoorden neemt af en de security en compliance worden verbeterd.

Waarom kiezen voor Single Sign-On?

Applicaties worden tegenwoordig geïmplementeerd in datacenters en cloudomgevingen, en aangeboden als SaaS. Bij elke zakelijke applicatie moet authenticatie van de gebruikers plaatsvinden voordat ze toegang krijgen. Toen SSO nog niet bestond, moest een gebruiker die van applicatie wilde wisselen, zich eerst opnieuw aanmelden. Meestal had elke applicatie aparte inloggegevens. De gebruikerservaring was slecht, mensen vergaten die inloggegevens, het toegangsbeheer was niet erg consistent en de ondersteuningskosten waren hoog.

SSO heeft voor de gebruikers geleid tot nieuwe manieren van interactie met en toegang tot hun applicaties. SSO betekent tijdwinst voor de gebruikers. Ze kunnen nu al hun VDI, zakelijke, web- en SaaS-applicaties, maar ook andere voorzieningen van de organisatie, zoals gedeelde netwerkstations, benaderen met één set gebruikersgegevens.

Hoe werkt Single Sign-On?

Single Sign-On is een component van Federated Identity Management (FIM), een afspraak tussen bedrijven om gebruikers dezelfde identificatiegegevens te laten gebruiken om toegang te krijgen tot elkaars netwerk. FIM wordt ook vaak ‘identity federation’ genoemd.

De identiteit van de gebruiker wordt gedeeld binnen verschillende beveiligingsdomeinen, elk met zijn eigen identiteitsbeheer. Wanneer de domeinen worden ‘gefedereerd’, kan de gebruiker zich laten authenticeren bij het ene domein en vervolgens ook resources in andere domeinen benaderen, zonder zich opnieuw aan te melden.

Het framework dat derden zoals LinkedIn en Facebook gebruik laat maken van iemands accountgegevens (om deze persoon aan te melden zonder het wachtwoord bekend te maken), heet OAuth. Het is een tussenschakel die de service een token aanbiedt waarmee alleen de gespecificeerde accountgegevens kunnen worden gedeeld. Wanneer een gebruiker een applicatie gebruikt, stuurt de service een authenticatieverzoek naar de identiteitsprovider, die het verzoek vervolgens verifieert en toegang verschaft.

Er bestaan andere authenticatieprotocollen, zoals Kerberos en de Security Assertion Markup Language (SAML). SSO-services op basis van Kerberos werken met authenticatietickets met tijdstempel of ticket-granting tickets (TGT), waarbij servicetickets voor andere applicaties worden aangevraagd zonder dat de gebruiker opnieuw zijn of haar gegevens hoeft in te voeren. SSO-services op basis van SAML wisselen authenticatie- en autorisatiegegevens uit binnen veilige domeinen en beheren de communicatie tussen de gebruiker, een identiteitsprovider met een user directory, en een service provider.

Wat zijn de voordelen van Single Sign-On?

SSO heeft voordelen voor zowel gebruikers als de IT-afdeling. Gebruikers hebben minder gedoe met wachtwoorden en krijgen sneller en gemakkelijker toegang tot applicaties.

De IT-afdeling hoeft minder telefoontjes over wachtwoordproblemen af te handelen. Als gebruikersgegevens en de toegang tot apps en services automatisch kunnen worden geregeld voor medewerkers, betekent dat minder handwerk. Met SSO wordt het voor de IT-afdeling bovendien eenvoudiger om snel SaaS-applicaties uit te rollen naar medewerkers.

Vanuit securitystandpunt kan SSO het risico van cyberaanvallen zoals phishing verminderen, aangezien er minder gebruikersgegevens in omloop zijn die gehackt kunnen worden. Het is echter belangrijk om ook meervoudige authenticatie te gebruiken als back-up voor het geval wachtwoorden op straat komen te liggen.   

Best practices rond Single Sign-On

Let bij het evalueren van SSO-oplossingen goed op de volgende best practices.

  1. Toegang tot alle applicaties. Sommige SSO-oplossingen dekken vaak niet het hele applicatielandschap. Zo zijn er on-premise oplossingen met SSO voor web- en enterprise-applicaties, maar niet voor VDI- of SaaS-applicaties. Of er zijn IDaaS-vendoren die wel SSO hebben voor cloud- en SaaS-applicaties, maar niet voor de on-premise applicaties. Let er bij het evalueren van SSO-oplossingen op dat u SSO moet hebben voor al uw VDI-, zakelijke, web- en SaaS-applicaties, maar ook netwerktoegang tot andere resources van uw organisatie, zoals netwerkbestanden.
  2. Veilige gebruikersidentiteit bij toegang tot SaaS-applicaties. SaaS-applicaties bevinden zich buiten het datacenternetwerk. Om SSO te krijgen voor deze applicaties, zijn organisaties bij veel oplossingen verplicht om hun user directory naar de cloud te brengen. Veel organisaties stellen hier vragen bij en sowieso is het een erg riskante onderneming. Daarom moet uw oplossing de mogelijkheid bieden om uw user directory intern te houden.
  3. Integratie met meervoudige authenticatie (Multi-Factor Authentication of MFA). Het is belangrijk om snel de identiteit van de gebruiker te controleren en toegang tot de organisatie toe te staan (of niet). Organisaties mogen daarom niet zomaar uitgaan van alleen een gebruikersnaam en wachtwoord. Ze hebben een oplossing nodig die alle flexibiliteit biedt om authenticatieschema’s te gebruiken op basis van de toestand van het device, de locatie en de applicatie van de gebruiker op elk specifiek moment. Kies daarom een SSO-oplossing die elk authenticatiemechanisme ondersteunt, naast authenticatieprotocollen zoals RADIUS, Kerberos, Microsoft NTLM, Certificate Services etc.
  4. Tools voor monitoring en troubleshooting. Uw SSO-oplossing moet monitoringtools hebben die applicatieoverschrijdend zoeken naar performanceproblemen en waarbij applicaties in een datacenter of in de cloud mogen staan, of kunnen worden aangeboden als SaaS.

Meer informatie