FAKTA ELLER PÅHITT: SSO är svår att placera ut
På Okta har vi förutsatt oss att dela med oss av de senaste idéerna och metoderna rörande autentisering och säkerhet, och det kräver att en del myter krossas. Denna blogg är den fjärde i serien som behandlar vanliga missförstånd och myter rörande single sign-on (SSO). Nedan finns vår fullständiga lista över de myter som vi sett (och krossat!) rörande SSO.
SSO har ett rykte om att vara svårt och tidsödande att placera ut. Detta var kanske sant för äldre lösningar såsom ADFS men det stämmer inte alls för moderna molnbaserad SSO.
Klockan är 11:15 en tisdag och Laura har en viktig presentation klockan 11:30. Men hon har problem med att logga in på sitt Box-konto för att hämta en viktig fil! Vilket användarnamn och lösenord skulle användas? Hon kom in på sitt Gmail-konto utan problem. Efter några gissningar på lösenordet kom hon till slut in i Salesforce. Men den turen hade hon inte med Box så hon skickade en fråga till IT-supporten. Hinner hon ladda ner sin presentationsfil i tid för mötet?
Berättelsen om Laura är dessvärre allt för vanlig. När antalet appar som används av de anställda ökar, så växer också frustrationen över att hantera alla sina inloggningsdata. IT-teamen vet hur SSO hjälper till att undvika dessa inloggningsproblem men de har ofta andra invändningar, särskilt att behöva tillbringa mycket tid och ansträngning på support av en problemfylld utplacering.
Vad är svårt med utplacering av äldre SSO?
Äldre SSO-lösningar såsom ADFS är traditionellt svåra att placera ut. En del av svårigheterna beror på att många befintliga komponenter måste integreras med nya moderna appar och omkonfigureras. På Okta har vi talat med kunder som har spenderat uppåt 5 000 dollar på en vecka bara för att integrera en enda modern app med en traditionell SSO-produkt. Våra interna data visar att organisationer använder i genomsnitt 60 appar. Det betyder att traditionell SSO snabbt kan bli dyrt.
Andra problem med utplacering av en äldre SSO-produkt är att fylla den nya användarkatalogen vilket inte är enkelt. Ofta finns redan profiler i en användarkatalog såsom Microsofts Active Directory (AD). Om en organisation har flera, opålitliga AD-skogar så måste ibland IT manuellt återskapa kopplingar och utveckla tillit till den nya SSO-lösningen (t.ex. ADFS) för att kunna flytta mellan dem.
Slutligen så måste man ofta placera ut ny maskinvara till stöd för SSO-lösningen. ADFS kräver minst sex servers och en belastningsutjämnare för varje AD-skog. Utöver detta måste man tänka på förändringar av brandväggIT tillbringar mycket tid och energi på att konfigurera brandväggen på rätt sätt. En äldre SSO-lösning kan tvinga IT att slå hål i brandväggen för att kunna kommunicera med appar i molnet. Detta innebär mer arbete för IT och större risker.
Koppling av användare till appar via äldre SSO-lösningar kräver ofta uppdaterade användarkataloger, brandväggsändringar och ytterligare maskinvara.
Med tanke på allt som sagts ovan så förstår man varför IT-team betraktar SSO som svårutplacerat. Men denna modell har utvecklats och mycket bättre alternativ finns. Molnbaserade SSO-lösningar låter organisationer få fördelarna av SSO utan trasslet med de äldre lösningarna.
Vad gör molnbaserad SSO enklare?
1. Färdigbyggda kopplingar till alla appar
Modern SSO har färdigbyggda kopplingar till populära appar så att IT slipper bygga integrationer från början. Okta Integration Network har t.ex. över 6 000 integrationer till den mest populära molnbaserade och lokalt installerade tekniken. Detta gör att man snabbt kan koppla användare, provisionera och hantera konton samt synkronisera data över system och appar. I annat fall kunde IT tillbringa månader med att skapa och underhålla kopplingar mellan appar och en äldre SSO-lösning. Färdigbyggda integrationer utgör ett stort steg för hastighet och effektivitet.
2. Kompatibilitet med befintliga kataloger
Modern SSO kan enkelt koppla till befintliga kataloger. Om det finns användare i en befintlig AD- eller LDAP-katalog så kan SSO automatiskt importera konton, attribut och grupper vilket eliminerar behovet av att flytta till en ny användarkatalog manuellt. Okta erbjuder exempelvis delegerad AD-autentisering, provisionering och deprovisionering, katalogsynkronisering och hantering av AD-lösenord. Enkelt uttryckt så är alla ändringar mellan Active Directory och Okta synkroniserade.
3. Ingen maskinvara eller brandväggsändringar behövs
En molnbaserad SSO-lösning innebär att man inte behöver köpa, installera, konfigurera eller hantera egen maskinvara. Med en bra SSO-lösning behövs inte heller förändringar av brandvägg. Okta SSO hanterar dina kopplingar till AD med en smidig agent som kopplar till flera AD-domäner och -skogar (även opålitliga) utan krav på ytterligare servers eller ändringar av brandvägg. Agenten kommunicerar med Okta via en vanlig utgående port (t.ex. Port 443).
En modern molnbaserad SSO-lösning är inte bara lättare att placera ut, den är också betydligt mer kostnadseffektiv. Oktas totalkostnad kan vara hälften av den för ADFS eller andra lösningar såsom Oracle, IBM, CA och Ping.
4. Stöd för lokalt installerade webbappar
En annan vanlig myt är att molnbaserad SSO inte ar stöd för ar stöd för lokalt installerade webbappar såsom WebLogic, E-Business Suite eller PeopleSoft som använder header-baserad autentisering, Kerberos, IWA eller andra protokoll. Detta var tidigare en begränsning men molnbaserad SSO kan nu säkra lokalt installerade webbappar utan de svårigheter som utplacering av äldre SSO medförde. Tack vare detta rekommenderar analytiker nu användning av molnbaserad SSO (även kallad IDaaS [identitet som en tjänst]) istället för äldre SSO. "År 2022 kommer IDaaS att väljas i över 80 % av alla utplaceringar av åtkomsthantering i hela världen", Gartner's Access Management Magic Quadrant – 2018.
Slutsats: Modern SSO är inte svår att placera ut
Utplacering av modern, molnbaserad Single Sign-On är varken svårt eller komplext. Färdigbyggda integrationer och automatiska kopplingar för användarkataloger gör det enkelt att ta in nya användare och nya appar utan ytterligare maskinvara eller underhåll. Tjänsten är också enkel att skala upp, har hög tillgänglighet och minimerar kostnader. Viktigast av allt är dock att säkerheten sköts av experter som är helt fokuserade på att ge användarna den enklaste möjliga tillgången som ändå är säker.
Vill du lära dig mer om SSO?
Lyssna på webbinariet Things You Don’t Know About Single Sign-On (Sånt du inte visste om SSO), besök vår SSO-sida och se hela vår serie om krossade myter:
Fakta eller påhitt: SSO är samma som lösenordshanterare
Fakta eller påhitt: SSO skapar en sårbarhet och är därför mindre säker
Fakta eller påhitt: SSO gör IT långsammare
