FEIT OF FICTIE: SSO is moeilijk te implementeren

Bij Okta hechten we veel belang aan het delen van de nieuwste ideeën en praktijken rondom authenticatie en security. Daarvoor moeten we wel wat mythes ontkrachten. Dit is de vierde blog in een serie posts waarin algemene misvattingen en mythes rondom Single Sign-On (SSO) aan de orde worden gesteld. Hieronder ziet u onze volledige lijst van de mythes rondom SSO die we hebben gezien (en ontkracht!).

Van SSO wordt beweerd dat het implementeren ervan moeilijk en tijdrovend zou zijn. Dat kan misschien kloppen voor legacy oplossingen zoals ADFS, maar voor moderne, op de cloud gebaseerde SSO is dat anders.

Het is kwart over elf op een dinsdagmorgen en Laura heeft om half twaalf een belangrijke presentatie. Ze heeft echter problemen met inloggen op haar Box-account waar ze een belangrijk bestand wil ophalen. Wat waren ook alweer haar gebruikersnaam en wachtwoord? Ze kon haar Gmail-account zonder problemen openen. Uiteindelijk lukte het haar om Salesforce te openen, maar dat was wel pas nadat ze een paar keer een verkeerd wachtwoord had getypt. Bij Box lukt dat helaas niet en daarom heeft ze meteen een ticket naar de IT-ondersteuning gestuurd. Zal het haar lukken die diaserie nog op tijd voor haar presentatie te downloaden?

Helaas komt Laura’s verhaal maar al te vaak voor. Met de toename van het aantal apps dat uw werknemers gebruiken, neemt ook hun frustratie toe om al hun inloggegevens goed te beheren. IT-teams weten hoe SSO al die inlogproblemen helpt voorkomen, maar ze hebben andere bedenkingen, met name wat betreft de grote hoeveelheid tijd en werk die het kost om een moeizame implementatie te ondersteunen.

Wat is er zo moeilijk aan het implementeren van legacy SSO?

Legacy SSO-oplossingen zoals ADFS waren altijd al moeilijk te implementeren. Die moeilijkheid is grotendeels te wijten aan de verschillende bestaande onderdelen die geïntegreerd moeten worden met nieuwe moderne apps en waarvoor de configuratie moet worden veranderd. Wij spraken klanten die meer dan $ 5000 in een week tijd hadden uitgegeven, alleen maar om één moderne applicatie te integreren met een traditioneel SSO-product. Uit onze interne gegevens blijkt dat de gemiddelde organisatie 60 apps gebruikt. Als je die bij elkaar optelt, wordt traditionele SSO al gauw duur.

Een andere uitdaging bij het implementeren van een legacy SSO-product is het opnieuw definiëren van een nieuwe user store, wat niet zo makkelijk is. Er bestaan vaak al profielen in een gebruikersdirectory zoals Active Directory (AD) van Microsoft. Als een organisatie meerdere, niet-vertrouwde AD-forests heeft, moet het IT-team voor de overstap naar een andere SSO-oplossing zoals ADFS soms opnieuw relaties instellen en vertrouwen tussen die relaties creëren.

Tot slot betekent het in gebruik nemen van een SSO-oplossing vaak ook het implementeren van nieuwe hardware. ADFS heeft voor elk AD-forest op zijn minst zes servers en een load balancer nodig. Bovendien zijn er misschien wijzigingen van de firewall vereist. IT is veel tijd en energie kwijt aan de juiste configuratie van de firewall. Bij een traditionele SSO-oplossing moet IT wellicht openingen in de firewall forceren om communicatie met cloudapplicaties mogelijk te maken. Dat betekent meer werk voor IT en meer risico's.

Het koppelen van gebruikers aan apps via legacy SSO-oplossingen is moeilijk, omdat daarvoor bijgewerkte user stores, firewallwijzigingen en extra hardware nodig zijn.

Om deze reden is het goed te begrijpen dat IT-teams SSO moeilijk te implementeren vinden. Dit model heeft zich echter verder ontwikkeld en er is nu een veel beter alternatief voorhanden. Met SSO-oplossingen in de cloud kunnen organisaties profiteren van alle voordelen van SSO zonder alle rompslomp waarmee de implementatie van legacy oplossingen gepaard gaat.

Wat maakt SSO in de cloud makkelijker?

1. Ingebouwde connectors voor alle apps

Moderne SSO heeft ingebouwde connectors voor populaire apps, waardoor IT appintegraties niet meer vanaf de grond af aan hoeft op de bouwen. Zo biedt het Okta Integration Network meer dan 7000 integraties voor de populairste cloud- en on-prem technologieën. Daarmee kunt u gebruikers snel koppelen, de provisioning en het beheer van accounts verzorgen en data in verschillende systemen en apps synchroniseren. Daardoor hoeft IT geen maanden te besteden aan het maken en onderhouden van verbindingen tussen apps en een legacy SSO-oplossing. Reeds aanwezige integraties geven een flinke boost aan snelheid en efficiëntie.

2. Compatibiliteit met bestaande directory's

Moderne SSO kan makkelijk verbinding maken met uw bestaande directory's. Als een bestaande AD- of LDAP-directory gebruikers bevat, kan SSO automatisch accounts, kenmerken en groepen importeren, waardoor er geen nieuwe user store hoeft te worden gedefinieerd. Okta biedt bijvoorbeeld gedelegeerde AD-authenticatie, provisioning en deprovisioning, synchronisatie van directory's en AD-password management. Het komt erop neer dat alle wijzigingen tussen Active Directory en Okta gesynchroniseerd worden.

3. Hardware en firewall hoeven niet te worden gewijzigd

Met SSO in de cloud hoeft u geen eigen hardware aan te schaffen, te installeren, te configureren of te ondersteunen. Met een goed SSO-product zijn er ook geen wijzigingen aan de firewall nodig. Okta SSO beheert uw verbinding met AD met behulp van een gemakkelijk te gebruiken agent die verbinding maakt met meerdere AD-domeinen en -forests (ook de niet-vertrouwde), zonder dat er extra servers of wijzigingen aan de firewall nodig zijn. De agent communiceert met Okta via een standaard uitgaande internetpoort (poort 443, bijvoorbeeld).

Een moderne SSO-oplossing in de cloud is niet alleen makkelijker te implementeren, de oplossing is ook nog eens stukken rendabeler. De total cost of ownership voor Okta kan de helft bedragen van die voor ADFS of andere oplossingen zoals Oracle, IBM, CA en Ping.

4. De mogelijkheid om on-prem webapps te ondersteunen

Nog zo'n veelgehoorde mythe is dat SSO in de cloud geen ondersteuning biedt voor on-prem webapps zoals WebLogic, E-Business Suite of PeopleSoft, die gebruikmaken van op headers gebaseerde authenticatie, Kerberos, IWA of andere eigen protocollen. Dat was voorheen een beperking, maar met SSO in de cloud kunt u on-prem webapps beveiligen zonder alle problemen die samenhingen met het implementeren van legacy SSO. Door die verandering raden analisten het gebruik aan van SSO in de cloud (ook wel bekend als Identity as a Service (IDaaS)) in plaats van legacy SSO: "In 2022 zal IDaaS het leveringsmodel voor meer dan 80% van alle IAM-implementaties wereldwijd zijn" – Access Management Magic Quadrant 2018 van Gartner.

Feit: Moderne SSO is niet moeilijk te implementeren

Moderne, Single Sign-On-implementaties in de cloud zijn niet moeilijk of complex. De ingebouwde integraties en automatische connectors voor gebruikersdirectory's maken de onboarding van nieuwe gebruikers en het gebruik van nieuwe apps eenvoudig, zonder dat er extra hardware of onderhoud vereist is. De service is ook makkelijk te schalen, heeft een hoge beschikbaarheid en verlaagt de kosten tot een minimum. Maar het belangrijkste punt is dat security wordt uitbesteed aan deskundigen die er volledig op zijn gericht om gebruikers op de meest eenvoudige maar toch veilige manier toegang te geven.

Wilt u meer weten over SSO?

Luister naar de webinar Things You Don’t Know About Single Sign-On, bezoek onze SSO-pagina en bekijk onze volledige serie over het ontkrachten van mythes:

Feit of fictie: SSO is hetzelfde als een password manager
Feit of fictie: SSO creëert een Single Point of Failure en is daarom minder veilig
Feit of fictie: SSO vertraagt IT