O que é logon único (SSO)?

O logon único (SSO, single sign-on) é um recurso de autenticaçãot que permite aos usuários terem acesso a vários aplicativos com um único nome de usuário e senha de login. As empresas geralmente usam o SSO para fornecer acesso mais simples a uma variedade de aplicativos da Web, no local e na nuvem, e fornecer uma experiência de usuário melhor. Também proporciona à TI mais controle sobre o acesso do usuário, reduz as chamadas ao suporte técnico relacionadas a senha e melhora a segurança e conformidade.

Por que usar o logon único?

Hoje, os aplicativos são implantados em datacenters e nuvens, e entregues como SaaS. Todo aplicativo de negócios exige que os usuários sejam autenticados para o acesso a um recurso. Antes do SSO, toda vez que um usuário precisava passar de um aplicativo a outro, tinha de inserir suas credenciais. Na maioria das vezes, cada aplicativo tinha um conjunto de credenciais diferente, o que resultava em uma experiência de usuário ruim, erros de login como resultado de credenciais esquecidas, políticas inconsistentes de controle de acesso e custos mais altos de suporte relacionados aos aplicativos.

O SSO simplificou a maneira como os usuários interagem e tem acesso aos seus aplicativos. Com o SSO, os usuários podem economizar tempo, acessando todos os seus aplicativos VDI, corporativos, Web e SaaS, além de outros recursos corporativos, como compartilhamentos de arquivos de rede, com apenas um conjunto de credenciais.

Como o logon único funciona?

O logon único é um componente do gerenciamento de identidade federada (FIM, federated identity management), um acordo entre empresas que permite que os assinantes usem os mesmos dados de identificação para acessar as redes delas. O FIM é muitas vezes chamado de federação de identidade.

A identidade do usuário está vinculada a vários domínios de segurança, cada um com seu próprio sistema de gerenciamento de identidades. Quando os domínios são federados, o usuário pode se autenticar em um e acessar recursos em outro, sem precisar fazer login de novo.

A estrutura que permite que terceiros, como LinkedIn ou Facebook, usem as informações da conta de alguém para fazer login sem expor a senha é chamada de OAuth. Ela atua como intermediária, fornecendo ao serviço um token, que permite que apenas informações especificadas da conta sejam compartilhadas. Quando um usuário acessa um aplicativo, o serviço envia uma solicitação de autenticação ao provedor de identidade, que verifica a solicitação e concede acesso.

Existem outros protocolos de autenticação, como Kerberos e SAML (Security Assertion Markup Language). Os serviços de SSO baseados em Kerberos emitem um tíquete de autenticação com registro de data e hora, ou TGT, que obtém tíquetes de serviço para outros aplicativos sem solicitar ao usuário que insira novas credenciais. Os serviços de SSO baseados em SAML trocam dados de autenticação e autorização de usuário entre domínios seguros e gerenciam as comunicações entre o usuário, um provedor de identidade com um diretório de usuários e um provedor de serviços.

Quais são os benefícios do logon único?

O SSO oferece benefícios para usuários e TI. Da perspectiva do usuário, o SSO alivia a o incômodo de ter várias senhas, facilitando e agilizando o acesso aos aplicativos.

Para a TI, o SSO pode ajudar a reduzir o número de chamadas ao suporte relacionadas a senhas. E o gerenciamento automatizado de credenciais alivia o ônus de gerenciar manualmente o acesso dos funcionários a aplicativos e serviços. O SSO também facilita o provisionamento e a implementação rápida de aplicativos SaaS para os funcionários.

Além disso, do ponto de vista da segurança, o SSO pode reduzir a ameaça de ataques cibernéticos, como phishing, reduzindo o número de credenciais em risco. É essencial, no entanto, implementar também uma autenticação mutifatorial como backup, caso as senhas fiquem comprometidas.   

O logon único nas práticas recomendadas

Ao procurar uma solução de SSO, é importante ter em mente as seguintes práticas recomendadas.

  1. Acesso a todo tipo de aplicativo. Algumas soluções de SSO são limitadas em relação ao escopo de aplicativos que cobrem. Algumas soluções no local fornecem SSO para Web e aplicativos corporativos, mas não podem fazer o mesmo para aplicativos VDI ou SaaS. Por outro lado, alguns dos fornecedores de IDaaS fornecem SSO para aplicativos em nuvem e SaaS, mas não para aplicativos no local. Ao avaliar uma solução de SSO, você deve priorizar a capacidade de não apenas fornecer a experiência de SSO em todos os aplicativos VDI, corporativos, Web e SaaS, mas também acesso à rede para outros recursos corporativos, como compartilhamentos de arquivos de rede.
  2. Proteger a identidade do usuário no acesso a aplicativos SaaS. Os aplicativos SaaS estão fora da rede do datacenter. Para obter SSO para esses aplicativos, muitas soluções exigem que os clientes movam seu diretório de usuários para a nuvem. Isso, para muitos clientes corporativos, é uma preocupação e uma tarefa de alto risco, e é por isso que sua solução deve oferecer a opção de manter seu diretório de usuários no local.
  3. Integração com mecanismos de autenticação mutifatorial. É crucial identificar rápida e corretamente qualquer usuário e autorizar seu acesso a recursos corporativos. Os clientes corporativos, portanto, não devem confiar apenas em nomes de usuário e senhas, mas também devem procurar uma solução que ofereça flexibilidade para usar esquemas de autenticação com base no estado do dispositivo do usuário final, localização do usuário, aplicativos que eles estão tentando ter acesso etc. Assim, torna-se importante selecionar uma solução de SSO que ofereça suporte a qualquer mecanismo de autenticação, bem como protocolos de autenticação, como RADIUS, Kerberos, Microsoft NTLM, Serviços de Certificados etc.
  4. Ferramentas de monitoramento, logs e solução de problemas. Sua solução de SSO deve incluir ferramentas de monitoramento que procurem problemas de desempenho em todos os aplicativos, independentemente de estarem em um datacenter, na nuvem ou entregues como SaaS, para que você possa resolver os problemas com rapidez.

Recursos adicionais