Wat is single sign-on (SSO)?
SSO definition
Single sign-on (SSO) is een authenticatietool die gebruikers met slechts één set inloggegevens en één SSO-application veilig toegang tot meerdere applicaties en services geeft. Of u tijdens uw werkdag nu gebruikmaakt van Slack, Asana, Google Workspace of Zoom, met SSO kunt u via een pop-upwidget of inlogpagina met slechts één wachtwoord toegang krijgen tot elke geïntegreerde app. In plaats van twaalf wachtwoorden per dag hebt u er met SSO nog maar één nodig.
Single sign-on inloggen (SSO-login) maakt het leven een stuk gemakkelijker. Gebruikers hoeven geen meerdere wachtwoorden meer te onthouden en in te voeren, en geen vergeten wachtwoorden meer te resetten. Ook kunnen gebruikers toegang krijgen tot een hele reeks platforms en apps zonder elke keer te moeten inloggen.
Hoe werkt SSO?
SSO is gebaseerd op het concept van federatieve identity. Dat houdt in dat identity-attributen worden gedeeld met vertrouwde, maar autonome systemen. Als een gebruiker door het ene systeem wordt vertrouwd, wordt aan hem of haar ook automatisch toegang verleend tot alle andere systemen die een vertrouwde relatie met het eerste systeem, de SSO-application, hebben. Dit concept vormt de basis voor moderne SSO-oplossingen die worden ondersteund door protocollen zoals OpenID Connect en SAML 2.0.
Wanneer een gebruiker zich met een SSO-login aanmeldt bij een service, wordt er een authenticatietoken aangemaakt en opgeslagen in de browser van de gebruiker of op de server van de SSO-oplossing. Elke app of website die vervolgens door de gebruiker wordt geopend, raadpleegt de SSO-service, die vervolgens het token van de gebruiker doorstuurt om de identity te bevestigen en toegang te verlenen.
Typen SSO
Er zijn verschillende protocollen en standaarden waarvan u op de hoogte moet zijn wanneer u identificeert en werkt met SSO. Dat zijn onder meer:
- Security Access Markup Language (SAML): SAML is een open standaard die tekst naar machinetaal omzet en de uitwisseling van identificatiegegevens mogelijk maakt. Het is een van de belangrijkste standaarden voor SSO en wordt door providers van applicaties gebruikt om correcte authenticatieverzoeken te verzenden. SAML 2.0 is speciaal geoptimaliseerd voor webapplicaties en biedt de mogelijkheid om gegevens via een webbrowser over te dragen.
- Open Authorization (OAuth): OAuth is een open-standaard autorisatieprotocol dat identificatiegegevens van de ene naar de andere app overdraagt en naar machinetaal omzet. Met dit protocol kunnen gebruikers een applicatie toegang tot data in een andere applicatie verlenen, zonder dat ze handmatig hun identity hoeven te valideren. Dit is met name handig voor native apps.
- OpenID Connect (OIDC): OIDC is een aanvulling op OAuth 2.0 die informatie over de gebruiker toevoegt en het SSO-proces ondersteunt. Met OIDC kan iemand met één inlogsessie toegang tot meerdere applicaties krijgen. Een gebruiker kan bijvoorbeeld via de eigen Facebook- of Google-account op een service inloggen in plaats van inloggegevens in te voeren.
- Kerberos: Kerberos is een protocol dat wederzijdse authenticatie mogelijk maakt. Dat betekent dat zowel de gebruiker als de server elkaars identity kunnen verifiëren als er via een slecht beveiligde netwerkverbinding wordt gecommuniceerd. Dit protocol maakt gebruik van een ticketservice die tokens uitgeeft om gebruikers en softwareapplicaties (zoals e-mailclients of wiki-servers) te authenticeren.
- Smartcard-authenticatie: naast traditionele SSO is er ook hardware die hetzelfde proces kan uitvoeren, zoals fysieke smartcard devices die gebruikers in hun computer kunnen steken. Speciale software op de computer communiceert met cryptografische sleutels op de smartcard om de gebruiker te authenticeren. Hoewel smartcards zeer veilig zijn en er een pincode nodig is om ze te gebruiken, zitten er ook een paar nadelen aan. De gebruiker moet de smartcard steeds bij zich dragen (en kan deze dus ook verliezen). Daarnaast is een smartcard vaak duur in het gebruik.
De geschiedenis van SSO
SSO-technologie vindt haar oorsprong in de on-prem identitytools die van medio tot eind jaren negentig door organisaties werden gebruikt om een veilige verbinding tussen hun computers, netwerken en servers tot stand te brengen. In die tijd beheerden organisaties hun user identities via speciale systemen, zoals Microsoft Active Directory (AD) en Lightweight Directory Access Protocol (LDAP). De toegang werd vervolgens beveiligd met on-prem tools voor SSO of Web Access Management (WAM).
Maar nu de IT zich verder ontwikkelt, onder andere door de transitie naar de cloud, het gebruik van meerdere devices en de opkomst van steeds complexere cyberbedreigingen, kost het deze traditionele identity management-tools steeds meer moeite om het tempo bij te houden. IT-teams hebben nu een oplossing nodig die gebruikers snel en veilig SSO-toegang tot elke applicatie en service biedt.
Ontrafelde SSO-mythes
Er zijn veel misvattingen over SSO die eenvoudig kunnen worden weerlegd en die niet op moderne oplossingen van toepassing zijn. Enkele veelvoorkomende SSO-mythes:
SSO-mythe 1: SSO remt IT-teams af en voegt extra taken toe.
In feite is het omgekeerde het geval, omdat SSO de automatisering bevordert, de beveiliging en het inzicht verbetert en de workflows optimaliseert. Daarnaast heeft SSO een positieve invloed op de kerntaak van IT-teams om medewerkers soepel, veilig en snel te verbinden met de tools die ze nodig hebben om hun werk te doen. Bovendien kunnen IT-teams dankzij SSO sneller opschalen, de toegang tot applicaties beter controleren, het aantal helpdesktickets terugdringen en de IT-kosten verlagen.
SSO-mythe 2: SSO is moeilijk te implementeren
De meeste legacy tools waren destijds heel complex, maar moderne SSO is snel en eenvoudig te implementeren. De moderne SSO-tools hebben kant-en-klare connectors voor duizenden populaire apps, zodat IT-teams geen handmatige integraties hoeven te bouwen. IT-teams kunnen bovendien gebruikers uit bestaande directory's verbinden en importeren zonder instellingen te configureren, programma's te installeren, hardware te ondersteunen, of wijzigingen in de firewall aan te brengen. SSO is gemakkelijk te implementeren, centraliseert de onboarding van nieuwe gebruikers en apps, heeft een hoge beschikbaarheid, minimaliseert de kosten en biedt op eenvoudige maar veilige wijze toegang.
SSO-mythe 3: SSO creëert een single point of failure en is dus minder veilig
Omdat er voor SSO maar één wachtwoord nodig is, denken veel mensen dat het een belangrijke aanvalsvector voor cyberbedreigingen is. Maar in werkelijkheid is er al één zwakke plek die het hele systeem onderuit kan halen, en dat is de gebruiker. Wanneer gebruikers met veel verschillende inloggegevens moeten werken, gaan ze wachtwoorden hergebruiken en ontstaat er een slechte wachtwoordhygiëne. Dit vormt een groot beveiligingsrisico voor organisaties. SSO maakt korte metten met al die verschillende inloggegevens. Zo kunnen IT-teams niet alleen een wachtwoordbeleid opstellen waarin de gangbare beveiligingsprotocollen als standaard worden gehanteerd, maar ook de applicatie-, gebruikers-, device-, locatie- en netwerkcontext van elk toegangsverzoek monitoren.
SSO-mythe 4: SSO is hetzelfde als een wachtwoordmanager
Gebruikers kunnen zowel met SSO als met een wachtwoordmanager via één login toegang tot meerdere apps krijgen, maar daarmee houden de overeenkomsten op. Wachtwoordmanagers zijn kluizen waarin de inloggegevens van gebruikers voor verschillende apps of websites worden opgeslagen. Deze kluis wordt met één primair wachtwoord beveiligd. Wachtwoordmanagers richten zich op het beschermen van wachtwoorden, maar wachtwoorden zijn juist de oorzaak van meer dan 80% van alle beveiligingslekken en bieden hackers een mogelijk toegangspunt tot een organisatie of identity. SSO-oplossingen beheren de toegang daarentegen op basis van vertrouwen en maken gebruik van bestaande relaties om één domein te creëren waarin de authenticatie plaatsvindt.