Wat is single sign-on (SSO)?
SSO definition
Single sign-on (SSO) is een authenticatietool die gebruikers met slechts één set inloggegevens en één SSO-application veilig toegang tot meerdere applicaties en services geeft. Of u tijdens uw werkdag nu gebruikmaakt van Slack, Asana, Google Workspace of Zoom, met SSO kunt u via een pop-upwidget of inlogpagina met slechts één wachtwoord toegang krijgen tot elke geïntegreerde app. In plaats van twaalf wachtwoorden per dag hebt u er met SSO nog maar één nodig.
Single sign-on inloggen (SSO-login) maakt het leven een stuk gemakkelijker. Gebruikers hoeven geen meerdere wachtwoorden meer te onthouden en in te voeren, en geen vergeten wachtwoorden meer te resetten. Ook kunnen gebruikers toegang krijgen tot een hele reeks platforms en apps zonder elke keer te moeten inloggen.
Hoe werkt SSO?
SSO is gebaseerd op het concept van federatieve identity. Dat houdt in dat identity-attributen worden gedeeld met vertrouwde, maar autonome systemen. Als een gebruiker door het ene systeem wordt vertrouwd, wordt aan hem of haar ook automatisch toegang verleend tot alle andere systemen die een vertrouwde relatie met het eerste systeem, de SSO-application, hebben. Dit concept vormt de basis voor moderne SSO-oplossingen die worden ondersteund door protocollen zoals OpenID Connect en SAML 2.0.
Wanneer een gebruiker zich met een SSO-login aanmeldt bij een service, wordt er een authenticatietoken aangemaakt en opgeslagen in de browser van de gebruiker of op de server van de SSO-oplossing. Elke app of website die vervolgens door de gebruiker wordt geopend, raadpleegt de SSO-service, die vervolgens het token van de gebruiker doorstuurt om de identity te bevestigen en toegang te verlenen.
Typen SSO
Er zijn verschillende protocollen en standaarden waarvan u op de hoogte moet zijn wanneer u identificeert en werkt met SSO. Dat zijn onder meer:
- Security Access Markup Language (SAML): SAML is een open standaard die tekst naar machinetaal omzet en de uitwisseling van identificatiegegevens mogelijk maakt. Het is een van de belangrijkste standaarden voor SSO en wordt door providers van applicaties gebruikt om correcte authenticatieverzoeken te verzenden. SAML 2.0 is speciaal geoptimaliseerd voor webapplicaties en biedt de mogelijkheid om gegevens via een webbrowser over te dragen.
- Open Authorization (OAuth): OAuth is een open-standaard autorisatieprotocol dat identificatiegegevens van de ene naar de andere app overdraagt en naar machinetaal omzet. Met dit protocol kunnen gebruikers een applicatie toegang tot data in een andere applicatie verlenen, zonder dat ze handmatig hun identity hoeven te valideren. Dit is met name handig voor native apps.
- OpenID Connect (OIDC): OIDC is een aanvulling op OAuth 2.0 die informatie over de gebruiker toevoegt en het SSO-proces ondersteunt. Met OIDC kan iemand met één inlogsessie toegang tot meerdere applicaties krijgen. Een gebruiker kan bijvoorbeeld via de eigen Facebook- of Google-account op een service inloggen in plaats van inloggegevens in te voeren.
- Kerberos: Kerberos is een protocol dat wederzijdse authenticatie mogelijk maakt. Dat betekent dat zowel de gebruiker als de server elkaars identity kunnen verifiëren als er via een slecht beveiligde netwerkverbinding wordt gecommuniceerd. Dit protocol maakt gebruik van een ticketservice die tokens uitgeeft om gebruikers en softwareapplicaties (zoals e-mailclients of wiki-servers) te authenticeren.
- Smartcard-authenticatie: naast traditionele SSO is er ook hardware die hetzelfde proces kan uitvoeren, zoals fysieke smartcard devices die gebruikers in hun computer kunnen steken. Speciale software op de computer communiceert met cryptografische sleutels op de smartcard om de gebruiker te authenticeren. Hoewel smartcards zeer veilig zijn en er een pincode nodig is om ze te gebruiken, zitten er ook een paar nadelen aan. De gebruiker moet de smartcard steeds bij zich dragen (en kan deze dus ook verliezen). Daarnaast is een smartcard vaak duur in het gebruik.
De geschiedenis van SSO
SSO-technologie vindt haar oorsprong in de on-prem identitytools die van medio tot eind jaren negentig door organisaties werden gebruikt om een veilige verbinding tussen hun computers, netwerken en servers tot stand te brengen. In die tijd beheerden organisaties hun user identities via speciale systemen, zoals Microsoft Active Directory (AD) en Lightweight Directory Access Protocol (LDAP). De toegang werd vervolgens beveiligd met on-prem tools voor SSO of Web Access Management (WAM).
Maar nu de IT zich verder ontwikkelt, onder andere door de transitie naar de cloud, het gebruik van meerdere devices en de opkomst van steeds complexere cyberbedreigingen, kost het deze traditionele identity management-tools steeds meer moeite om het tempo bij te houden. IT-teams hebben nu een oplossing nodig die gebruikers snel en veilig SSO-toegang tot elke applicatie en service biedt.
Ontrafelde SSO-mythes
Er zijn veel misvattingen over SSO die eenvoudig kunnen worden weerlegd en die niet op moderne oplossingen van toepassing zijn. Enkele veelvoorkomende SSO-mythes:
SSO-mythe 1: SSO remt IT-teams af en voegt extra taken toe.
In feite is het omgekeerde het geval, omdat SSO de automatisering bevordert, de beveiliging en het inzicht verbetert en de workflows optimaliseert. Daarnaast heeft SSO een positieve invloed op de kerntaak van IT-teams om medewerkers soepel, veilig en snel te verbinden met de tools die ze nodig hebben om hun werk te doen. Bovendien kunnen IT-teams dankzij SSO sneller opschalen, de toegang tot applicaties beter controleren, het aantal helpdesktickets terugdringen en de IT-kosten verlagen.
SSO-mythe 2: SSO is moeilijk te implementeren
De meeste legacy tools waren destijds heel complex, maar moderne SSO is snel en eenvoudig te implementeren. De moderne SSO-tools hebben kant-en-klare connectors voor duizenden populaire apps, zodat IT-teams geen handmatige integraties hoeven te bouwen. IT-teams kunnen bovendien gebruikers uit bestaande directory's verbinden en importeren zonder instellingen te configureren, programma's te installeren, hardware te ondersteunen, of wijzigingen in de firewall aan te brengen. SSO is gemakkelijk te implementeren, centraliseert de onboarding van nieuwe gebruikers en apps, heeft een hoge beschikbaarheid, minimaliseert de kosten en biedt op eenvoudige maar veilige wijze toegang.
SSO-mythe 3: SSO creëert een single point of failure en is dus minder veilig
Omdat er voor SSO maar één wachtwoord nodig is, denken veel mensen dat het een belangrijke aanvalsvector voor cyberbedreigingen is. Maar in werkelijkheid is er al één zwakke plek die het hele systeem onderuit kan halen, en dat is de gebruiker. Wanneer gebruikers met veel verschillende inloggegevens moeten werken, gaan ze wachtwoorden hergebruiken en ontstaat er een slechte wachtwoordhygiëne. Dit vormt een groot beveiligingsrisico voor organisaties. SSO maakt korte metten met al die verschillende inloggegevens. Zo kunnen IT-teams niet alleen een wachtwoordbeleid opstellen waarin de gangbare beveiligingsprotocollen als standaard worden gehanteerd, maar ook de applicatie-, gebruikers-, device-, locatie- en netwerkcontext van elk toegangsverzoek monitoren.
SSO-mythe 4: SSO is hetzelfde als een wachtwoordmanager
Gebruikers kunnen zowel met SSO als met een wachtwoordmanager via één login toegang tot meerdere apps krijgen, maar daarmee houden de overeenkomsten op. Wachtwoordmanagers zijn kluizen waarin de inloggegevens van gebruikers voor verschillende apps of websites worden opgeslagen. Deze kluis wordt met één primair wachtwoord beveiligd. Wachtwoordmanagers richten zich op het beschermen van wachtwoorden, maar wachtwoorden zijn juist de oorzaak van meer dan 80% van alle beveiligingslekken en bieden hackers een mogelijk toegangspunt tot een organisatie of identity. SSO-oplossingen beheren de toegang daarentegen op basis van vertrouwen en maken gebruik van bestaande relaties om één domein te creëren waarin de authenticatie plaatsvindt.
De voordelen van SSO
Organisaties die SSO implementeren, plukken daar op allerlei manieren de vruchten van. Ze lopen bijvoorbeeld niet het risico dat wachtwoorden worden hergebruikt. Ook kunnen ze gebruikers een naadloze experience bieden. Dit zijn de belangrijke voordelen van single sign-on:
- Minder aanvalsmogelijkheden: SSO maakt een einde aan password-moeheid en een slechte wachtwoordhygiëne, waardoor uw organisatie onmiddellijk minder kwetsbaar is voor phishingaanvallen. Met SSO hoeven gebruikers maar één sterk, uniek wachtwoord te onthouden en hoeven er veel minder tijdrovende en dure resets van wachtwoorden te worden uitgevoerd.
- Naadloze en veilige gebruikerstoegang: SSO biedt in real time inzicht in welke gebruikers op welk moment en vanaf welke locatie applicaties gebruiken. Zo kunnen organisaties de integriteit van hun systemen optimaal beschermen. SSO-oplossingen houden ook rekening met andere beveiligingsrisico's, zoals een werknemer die het device van de organisatie kwijtraakt. IT-teams kunnen in zo'n geval onmiddellijk de toegang van het device tot accounts en cruciale data uitschakelen.
- Eenvoudigere controle van gebruikerstoegang: het kan lastig zijn om de juiste mensen het juiste toegangsniveau tot gevoelige data en resources te bieden in een zakelijke omgeving die voortdurend verandert. SSO-oplossingen kunnen worden gebruikt om de toegangsrechten van een gebruiker te configureren op basis van functie, afdeling of senioriteit. Op deze manier zijn de transparantie en inzicht in de verschillende toegangsniveaus altijd gewaarborgd.
- Zelfstandige en productieve gebruikers: gebruikers vragen steeds vaker om snelle en naadloze toegang tot de applicaties die ze nodig hebben om hun werk te doen. Het handmatig beheren van dit soort verzoeken is een tijdrovend proces dat alleen maar frustratie oproept. SSO-authenticatie maakt handmatig toezicht overbodig en biedt met een simpele muisklik direct toegang tot duizenden apps.
- Toekomstbestendig: SSO is de eerste stap in het beveiligen van uw organisatie en uw gebruikers. Met SSO als basis kan uw organisatie ook andere best practices voor beveiliging implementeren, zoals multi-factor authenticatie (MFA). Ook kunt u tools voor identity proofing, risicoscores en toestemmingsbeheer integreren om aan wettelijke voorschriften te voldoen en fraude te bestrijden. Door meteen goed van start te gaan met SSO heeft uw organisatie een gunstige uitgangspositie voor toekomstige beveiligingsdoelstellingen.
De uitdagingen van SSO
SSO is gebruiksvriendelijk en handig, maar kan een beveiligingsrisico vormen als het beheer en de implementatie niet op de juiste manier worden uitgevoerd. Enkele uitdagingen van single sign-on security:
Risico's van gebruikerstoegang: een aanvaller die de SSO-inloggegevens van een gebruiker in handen krijgt, heeft meteen toegang tot elke app waarvoor de gebruiker toegangsrechten heeft. Het is dus van cruciaal belang om naast wachtwoorden aanvullende authenticatiemechanismen te implementeren.
Potentiële kwetsbaarheden: er zijn enkele kwetsbaarheden in SAML en OAuth aan het licht gekomen waarmee aanvallers onbevoegde toegang tot de mobiele en webaccounts van een slachtoffer kunnen krijgen. Het is daarom belangrijk om samen te werken met een provider die in zijn SSO-product rekening houdt met deze kwetsbaarheden, aanvullende authenticatiefactoren gebruikt en identity governance toepast.
App-compatibiliteit: het kan soms gebeuren dat een app niet geschikt is om effectief te integreren met een SSO-oplossing. Providers van applicaties moeten een compatibele SSO-mogelijkheid bieden, hetzij via SAML, Kerberos of OAuth. Is dat niet het geval, dan biedt uw SSO-oplossing geen allesomvattende dekking. In feite voegt u dan alleen maar een wachtwoord toe dat gebruikers moeten onthouden.
Is SSO veilig?
Een organisatie die de best practices voor single sign-on volgt, kan met een betrouwbare SSO-oplossing de beveiliging enorm verbeteren. Een SSO-oplossing biedt de volgende voordelen:
- IT-teams kunnen gebruikers via SSO beschermen met een consistent beveiligingsbeleid dat zich aan hun gedrag aanpast. Daarnaast kunnen gebruikersnamen en wachtwoorden eenvoudiger worden beheerd.
- Ingebouwde beveiligingstools kunnen automatisch kwaadaardige inlogpogingen herkennen en blokkeren om de veiligheid van bedrijfsnetwerken te verbeteren.
- Organisaties kunnen beveiligingstools (zoals MFA) met SSO combineren, zodat ze snel en eenvoudig de toegangsrechten en bevoegdheden van gebruikers kunnen controleren.
Tot slot biedt SSO meer gemoedsrust. Een SSO-oplossing van een erkende provider werkt met geverifieerde beveiligingsprotocollen en schaalbare services. En dat is een hele zorg minder.
De rol van SSO in identity en access management (IAM)
IAM helpt organisaties bij het beheer van alle aspecten van de gebruikerstoegang. SSO is een onderdeel van die bredere identity-omgeving. SSO is onmisbaar bij het verifiëren van user identities en het verlenen van de juiste toestemmingen, en moet worden geïntegreerd met activiteitenlogs, tools die toegangscontroles uitvoeren en processen die het gebruikersgedrag monitoren.
Identity-as-a-Service (IDaaS)-oplossingen bieden alle aspecten van IAM (zoals SSO, adaptieve MFA en gebruikersdirectory's) in één pakket. Met een IDaaS-oplossing kunnen organisaties niet alleen de beveiliging, de provisioning, de workflows en de user experience vereenvoudigen en verbeteren, maar ook tijd en geld besparen.
Waar moet u op letten bij een SSO-provider?
Als u een SSO-provider kiest, moet u een aantal verschillende opties in overweging nemen. Dit zijn de belangrijkste opties die een provider moet bieden:
Toegang tot elke applicatie: de beste SSO-providers bieden ondersteuning voor integraties met alle belangrijke apps die er verkrijgbaar zijn. Let bij het beoordelen van providers vooral op de verscheidenheid aan applicaties en de mate van integratie waartoe ze toegang bieden. Controleer ook in hoeverre ze kunnen worden geïntegreerd met verschillende producten en systemen, van zakelijke apps, Software-as-a-Service (SaaS)-oplossingen en webapplicaties tot netwerkresources.
Aanpasbaarheid van SSO: een modern SSO-product moet aan de specifieke behoeften van verschillende gebruikers voldoen door een dashboard te bieden dat alleen de relevante apps toont waartoe de gebruiker toegang heeft. Het dashboard moet ook aanpasbaar zijn aan de brandingbehoeften van de organisatie, zodat de merkconsistentie en -continuïteit op alle sites kan worden gehandhaafd.
MFA-integratie: het is belangrijk om niet alleen op gebruikersnamen en wachtwoorden te vertrouwen. Zoek dus een SSO-provider die niet alleen integreert met elke MFA-oplossing die verkrijgbaar is, maar ook een brede verscheidenheid van contextuele gebruikersfactoren kan registeren, zoals locatie, risicoprofiel en gedrag. Hiermee kan een organisatie de beveiliging aanscherpen door gebruikers te vragen aanvullende informatie op te geven om hun identity te bevestigen.
Monitoring en probleemoplossing: een goede SSO-provider levert ook monitoringtools waarmee organisaties snel prestatieproblemen in hun hele IT-omgeving (hetzij hybride of volledig in de cloud) kunnen signaleren en oplossen.
Ontdek hoe Okta Single Sign-On naadloze integratie met meer dan 6000 populaire apps mogelijk maakt. Of bekijk onze experience voor eindgebruikers om aan de slag te gaan met SSO.