Vad är Single Sign-On (SSO)?
Single sign-on (SSO) är ett verktyg för autentisering av användare som gör att användaren säkert kan komma åt flera appar och tjänster med bara en uppsättning inloggningsdata. Oavsett om du dagligen använder Slack, Asana, Google Workspace eller Zoom, så får du med SSO en pop-up-widget eller inloggningssida där du har ett enda lösenord för tillgång till alla integrerade appar. I stället för tolv lösenord på en dag kan du med SSO logga in säkert med bara ett.
Single sign-on gör att du aldrig mer måste komma ihåg en massa lösenord och du slipper krånglet med att återställa bortglömda lösenord. Användarna kan dessutom komma åt ett antal plattformar och appar utan att behöva logga in varje gång.
Hur fungerar SSO?
SSO bygger på konceptet federerad identitet som innebär att identiteters attribut delas med godkända men autonoma system. När användare godkänts av ett system så får de automatiskt tillgång till alla andra system som delar godkända användare. Detta utgör basen för moderna SSO-lösningar som kommunicerar via protokoll såsom OpenID Connect och SAML 2.0.
När användare loggar in på en tjänst med SSO skapas ett autentiserings-token som antingen lagras i deras webbläsare eller i SSO-lösningens server. Alla appar eller webbplatser som användaren sedan går in på skickar en förfrågan till SSO-tjänsten som svarar med ett token som bekräftar att användaren kan få tillgång.
Typer av SSO
Det finns många olika protokoll och standarder som man måste känna till när man väljer och arbetar med SSO. De är:
- Security Access Markup Language (SAML): SAML är en öppen standard som kodar text till maskinspråk och möjliggör utbyte av identitetsdata. Det har blivit en grundläggande standard för SSO och används för att hjälpa app-leverantörer säkerställa att begäran om autentisering är korrekt. SAML 2.0 är särskilt optimerad för manvändning i webb-appar och gör att information kan överföras via en webbläsare
- Open Authorization (OAuth): OAuth är ett auktoriseringsprotokoll med öppen standard som överför identifieringsdata mellan appar krypterat till maskinkod. Detta gör att användare kan ge en app tillgång till deras data i en annan app utan att manuellt behöva validera sin identitet vilket är särskilt bra för nativa appar.
- OpenID Connect (OIDC): OIDC är överordnat OAuth 2.0 för att lägga till information om användaren och möjliggöra SSO-processen. Den gör att engångsinloggning kan användas över många appar. Den gör det t.ex. möjligt för en användare att logga in på en tjänst från sitt Facebook- eller Google-konto i stället för att ange inloggningsdata.
- Kerberos: Kerberos är ett protokoll som möjliggör ömsesidig autentisering där både användare och server verifierar varandras identiteter på osäkra nätverksanslutningar. Den använder en TGT-tjänst [biljettbeviljande biljett] som utfärdar token för autentisering av användare och programvaruappar såsom e-postklienter eller wiki-servrar.
- Autentisering med smartkort: Förutom traditionell SSO finns även maskinvara som kan underlätta samma process, exempelvis fysiska smartkorts-enheter som användaren ansluter till sin dator. Programvara i datorn interagerar med kryptografiska nycklar i smartkortet för att autentisera användaren. Visserligen är smartkort mycket säkra och kräver PIN-kod för att fungera men de måste bäras med av användaren, kan tappas bort och kan vara dyra att använda.
Historiken för SSO
SSO-tekniken har sina rötter i lokalt installerade identitetsverktyg som på 90-talet hjälpte organisationer att säkert koppla samman sina datorer, nätverk och servrar. I slutet av 90-talet började organisationer att hantera sina användares identiteter med särskilda system, t.ex. Microsofts Active Directory (AD) och Lightweight Directory Access Protocol (LDAP), som säkrade åtkomst via lokal SSO eller WAM-verktyg (Web Access Management).
Och när IT-utvecklingen ledde sedan till att flytta till molnet, utspridning över fler enheter och problemen med mer sofistikerade cyberhot så kunde inte längre de traditionella verktygen för hantering av identiteter hänga med. IT-team behövde då lösningar som gav användarna snabb och säker åtkomst via single sign-on av alla appar och tjänster.
Missförstånd om SSO
Det finns många missförstånd om SSO men de motsägs hela tiden av moderna lösningar. Vanliga missförstånd om SSO är:
1: SSO ökar IT-teamens arbetsbelastning
SSO hjälper i själva verket IT-team att bli effektivare genom ökad automatisering, förbättrad säkerhet och insyn samt möjliggör bättre arbetsflöden. SSO hjälper IT-teamen att hantera en av deras huvuduppgifter, att smidigt, säkert och snabbt ansluta anställda till de verktyg som behövs för arbetet. SSO möjliggör också snabbare skalning, bättre insyn i app-åtkomster och minskat antal supportärenden och lägre IT-kostnad.
2: SSO är svår att placera ut
Äldre verktyg var på sin tid komplicerade men modern SSO kan placeras ut snabbt och enkelt. Dagens SSO-verktyg har färdiga kopplingar till tusentals populära appar så att IT-team inte behöver bygga integrationer manuellt. Organisationer kan dessutom ansluta användare och importera från befintliga kataloger utan behov av konfigurering, installation, stöd av maskinvara eller göra förändringar av sin brandvägg. SSO är enkel att placera ut, den centraliserar onboarding av nya användare och appar, den har hög tillgänglighet, minimerar kostnader och ger ändå säker åtkomst.
3: SSO skapar en central felkälla och är därför mindre säker
Det kan vara frestande att tro att SSO skulle utgöra en attraktiv angreppspunkt för cyberhot eftersom den har ett enda lösenord. Men i verkligheten finns redan en central felkälla, och det är användaren. När användare tvingar hoppa mellan olika inloggningsdata väljer de ofta att använda samma lösenord och det är just en dålig lösenordshygien som skapar säkerhetsrisker för företag. Genom att bara ha ett enda lösenord och avskaffa de andra så gör SSO att IT-team kan använda lösenordsprinciper som standardiserar vanliga säkerhetsprotokoll samtidigt som man kan kontrollera kontexten för app, användare, enhet, plats och nätverk för varje åtkomstbegäran.
4: SSO är samma sak som lösenordshanterare
SSO och lösenordshanterare gör att användare kan komma åt många appar med en inloggning, men där slutar likheterna. Lösenordshanterare är säkra valv där användarens alla inloggningsdata lagras för olika appar och webbplatser, och den skyddas av ett primärt lösenord. Men de fokuserar på att skydda lösenord, och lösenord står för över 80 % av alla säkerhetsintrång och ger hackare en möjlig ingång till en organisation eller en identitet. SSO-lösningar hanterar däremot åtkomst genom tillförlitlighet och använder befintliga relationer för att skapa en enda domän där autentisering sker.