Federatief identity management versus single sign-on: wat is het verschil?

Elke keer wanneer een organisatie een nieuwe applicatie implementeert, moeten gebruikers een nieuwe set inloggegevens bedenken en onthouden. Wat zijn de gevolgen daarvan voor uw medewerkers? Te veel wachtwoorden. De gemiddelde gebruiker moet minstens tien wachtwoorden per dag onthouden, maar vergeet er vaak wel drie per maand.

Bijna 40% van de medewerkers gebruikt dezelfde twee tot vier wachtwoorden voor verschillende accounts, terwijl 10% zelfs maar één wachtwoord voor alle applicaties heeft. Hackers kunnen als gevolg van dit slechte wachtwoordgedrag nog eenvoudiger via gestolen inloggegevens toegang tot andere belangrijke data krijgen, waarbij zowel individuele gebruikers als organisaties in gevaar worden gebracht. Om die reden is het belangrijk dat organisaties hun gebruikers eenvoudig toegang tot al hun applicaties kunnen bieden door tools te implementeren zoals federatief identity management (FIM) en single sign-on (SSO).

Maar laten we eerst de nuances van deze oplossingen eens nader bekijken. In welk opzicht verschilt FIM van SSO? Wat zijn de ideale use cases voor beide benaderingen? In dit artikel leggen we uit hoe het werkt.

Wat is SSO?

Zoals de naam al aangeeft, is SSO een functie die gebruikers met slechts één set inloggegevens toegang tot meerdere webapplicaties biedt. Organisaties die verschillende applicaties gebruiken voor HR, payroll en communicatie, kunnen een SSO-oplossing implementeren om hun medewerkers met slechts één login toegang tot al deze services te bieden. Gebruikers hoeven niet langer meerdere wachtwoorden te onthouden en kunnen dus sneller en makkelijker hun werk doen. Bovendien is het IT-team minder tijd kwijt aan het resetten van wachtwoorden.

Organisaties kunnen SSO ook gebruiken om klanten toegang te geven tot verschillende onderdelen van één account. Voor retailnetwerken die veel merken voeren is SSO bijvoorbeeld ook handig om klanten vanaf één centraal dashboard toegang tot al hun accounts bij alle winkels te geven. Dit kan een grote verbetering van de user experience zijn. Als een gebruiker van de ene naar de andere winkel gaat, kan de site de authenticatie opnieuw uitvoeren met dezelfde inloggegevens.

Een overzicht van federatief identity management (FIM)

SSO past als tool heel goed in het bredere FIM-model. Het FIM-model is ontwikkeld om een oplossing te bieden voor de beperkingen van de begindagen van de internetinfrastructuur, waarbij entiteiten in het ene domein geen toegang hadden tot gebruikersinformatie die was opgeslagen in andere domeinen. Dat leverde vooral problemen op bij organisaties met activiteiten in verschillende domeinen, omdat een gestroomlijnde experience voor zowel medewerkers als klanten hierdoor moeilijk te realiseren was. 

FIM is ontwikkeld als een reeks overeenkomsten en standaarden die door enterprises en applicaties worden gebruikt om user identities te delen. In wezen is het een afspraak die tussen meerdere organisaties kan worden gemaakt, zodat hun leden of abonnees dezelfde ID's kunnen gebruiken om toegang tot verschillende applicaties te krijgen. Gebruikers kunnen bijvoorbeeld de gegevens van hun Facebook-account gebruiken om zich aan te melden bij Spotify. 

In een FIM-systeem ligt de verantwoordelijkheid voor het controleren en authenticeren van de inloggegevens van gebruikers bij de identity provider (IdP), dus niet bij de applicaties zelf. Als een gebruiker probeert in te loggen bij een bepaalde serviceprovider (SP) of applicatie, communiceert de SP met de IdP om de gebruiker te authenticeren. Deze autorisatie van user identities wordt vaak uitgevoerd via opensource Security Assertion Markup Language (SAML), of andere gerelateerde standaarden zoals OAuth of OpenID Connect. 

Het grootste verschil

Het belangrijkste verschil tussen SSO en FIM? SSO authenticeert één set inloggegevens voor verschillende systemen binnen één organisatie, terwijl een federatief identity management-systeem met één inlog toegang tot verschillende applicaties bij verschillende organisaties biedt. 

SSO is een functie van FIM, maar dit betekent niet dat een organisatie die SSO gebruikt ook per definitie federatief identity management toestaat. Beide tools bieden organisaties echter essentiële ondersteuning door zowel hun data te beveiligen als de obstakels in de user experience tot een minimum te beperken. 

Wilt u meer weten?

Kijk hoe Okta's SSO-oplossing erin slaagt beveiliging met gebruiksgemak te combineren voor organisaties van klein tot groot.