Vad är Single Sign-On (SSO)?

Single sign-on (SSO) är ett verktyg för autentisering av användare som gör att användaren säkert kan komma åt flera appar och tjänster med bara en uppsättning inloggningsdata. Oavsett om du dagligen använder Slack, Asana, Google Workspace eller Zoom, så får du med SSO en pop-up-widget eller inloggningssida där du har ett enda lösenord för tillgång till alla integrerade appar. I stället för tolv lösenord på en dag kan du med SSO logga in säkert med bara ett.

Single sign-on gör att du aldrig mer måste komma ihåg en massa lösenord och du slipper krånglet med att återställa bortglömda lösenord. Användarna kan dessutom komma åt ett antal plattformar och appar utan att behöva logga in varje gång.

Hur fungerar SSO?

SSO bygger på konceptet federerad identitet som innebär att identiteters attribut delas med godkända men autonoma system. När användare godkänts av ett system så får de automatiskt tillgång till alla andra system som delar godkända användare. Detta utgör basen för moderna SSO-lösningar som kommunicerar via protokoll såsom OpenID Connect och SAML 2.0.

När användare loggar in på en tjänst med SSO skapas ett autentiserings-token som antingen lagras i deras webbläsare eller i SSO-lösningens server. Alla appar eller webbplatser som användaren sedan går in på skickar en förfrågan till SSO-tjänsten som svarar med ett token som bekräftar att användaren kan få tillgång.

zeeHyENIDC7OsNBppolR4l1AutsHF5zvd1Wcu1Je73 szxEtYTu fhEtr8x6kyhe5VOoAp MbgHIbo XhwvTBC2jSnU1le6knGV0v aHK Dx7GUlawoV480i8Zi80IFFujR6ONKP

Typer av SSO

Det finns många olika protokoll och standarder som man måste känna till när man väljer och arbetar med SSO. De är: 

  • Security Access Markup Language (SAML): SAML är en öppen standard som kodar text till maskinspråk och möjliggör utbyte av identitetsdata. Det har blivit en grundläggande standard för SSO och används för att hjälpa app-leverantörer säkerställa att begäran om autentisering är korrekt. SAML 2.0 är särskilt optimerad för manvändning i webb-appar och gör att information kan överföras via en webbläsare
  • Open Authorization (OAuth): OAuth är ett auktoriseringsprotokoll med öppen standard som överför identifieringsdata mellan appar krypterat till maskinkod. Detta gör att användare kan ge en app tillgång till deras data i en annan app utan att manuellt behöva validera sin identitet vilket är särskilt bra för nativa appar.
  • OpenID Connect (OIDC): OIDC är överordnat OAuth 2.0 för att lägga till information om användaren och möjliggöra SSO-processen. Den gör att engångsinloggning kan användas över många appar. Den gör det t.ex. möjligt för en användare att logga in på en tjänst från sitt Facebook- eller Google-konto i stället för att ange inloggningsdata.
  • Kerberos: Kerberos är ett protokoll som möjliggör ömsesidig autentisering där både användare och server verifierar varandras identiteter på osäkra nätverksanslutningar. Den använder en TGT-tjänst [biljettbeviljande biljett] som utfärdar token för autentisering av användare och programvaruappar såsom e-postklienter eller wiki-servrar.
  • Autentisering med smartkort: Förutom traditionell SSO finns även maskinvara som kan underlätta samma process, exempelvis fysiska smartkorts-enheter som användaren ansluter till sin dator. Programvara i datorn interagerar med kryptografiska nycklar i smartkortet för att autentisera användaren. Visserligen är smartkort mycket säkra och kräver PIN-kod för att fungera men de måste bäras med av användaren, kan tappas bort och kan vara dyra att använda.

Historiken för SSO

SSO-tekniken har sina rötter i lokalt installerade identitetsverktyg som på 90-talet hjälpte organisationer att säkert koppla samman sina datorer, nätverk och servrar. I slutet av 90-talet började organisationer att hantera sina användares identiteter med särskilda system, t.ex. Microsofts Active Directory (AD) och Lightweight Directory Access Protocol (LDAP), som säkrade åtkomst via lokal SSO eller WAM-verktyg (Web Access Management). 

Och när IT-utvecklingen ledde sedan till att flytta till molnet, utspridning över fler enheter och problemen med mer sofistikerade cyberhot så kunde inte längre de traditionella verktygen för hantering av identiteter hänga med. IT-team behövde då lösningar som gav användarna snabb och säker åtkomst via single sign-on av alla appar och tjänster.

Missförstånd om SSO

Det finns många missförstånd om SSO men de motsägs hela tiden av moderna lösningar. Vanliga missförstånd om SSO är:

1: SSO ökar IT-teamens arbetsbelastning

SSO hjälper i själva verket IT-team att bli effektivare genom ökad automatisering, förbättrad säkerhet och insyn samt möjliggör bättre arbetsflöden. SSO hjälper IT-teamen att hantera en av deras huvuduppgifter, att smidigt, säkert och snabbt ansluta anställda till de verktyg som behövs för arbetet. SSO möjliggör också snabbare skalning, bättre insyn i app-åtkomster och minskat antal supportärenden och lägre IT-kostnad.

2: SSO är svår att placera ut

Äldre verktyg var på sin tid komplicerade men modern SSO kan placeras ut snabbt och enkelt. Dagens SSO-verktyg har färdiga kopplingar till tusentals populära appar så att IT-team inte behöver bygga integrationer manuellt. Organisationer kan dessutom ansluta användare och importera från befintliga kataloger utan behov av konfigurering, installation, stöd av maskinvara eller göra förändringar av sin brandvägg. SSO är enkel att placera ut, den centraliserar onboarding av nya användare och appar, den har hög tillgänglighet, minimerar kostnader och ger ändå säker åtkomst.

3: SSO skapar en central felkälla och är därför mindre säker

Det kan vara frestande att tro att SSO skulle utgöra en attraktiv angreppspunkt för cyberhot eftersom den har ett enda lösenord. Men i verkligheten finns redan en central felkälla, och det är användaren. När användare tvingar hoppa mellan olika inloggningsdata väljer de ofta att använda samma lösenord och det är just en dålig lösenordshygien som skapar säkerhetsrisker för företag. Genom att bara ha ett enda lösenord och avskaffa de andra så gör SSO att IT-team kan använda lösenordsprinciper som standardiserar vanliga säkerhetsprotokoll samtidigt som man kan kontrollera kontexten för app, användare, enhet, plats och nätverk för varje åtkomstbegäran.

4: SSO är samma sak som lösenordshanterare

SSO och lösenordshanterare gör att användare kan komma åt många appar med en inloggning, men där slutar likheterna. Lösenordshanterare är säkra valv där användarens alla inloggningsdata lagras för olika appar och webbplatser, och den skyddas av ett primärt lösenord. Men de fokuserar på att skydda lösenord, och lösenord står för över 80 % av alla säkerhetsintrång och ger hackare en möjlig ingång till en organisation eller en identitet. SSO-lösningar hanterar däremot åtkomst genom tillförlitlighet och använder befintliga relationer för att skapa en enda domän där autentisering sker.

 

 

Fördelar med SSO

Organisationer som placerar ut SSO får ett stort antal fördelar, allt från att undvika risker med återanvändning av lösenord till att ge en smidig användarupplevelse. De viktigaste fördelarna med single sign-on är:

  • Minskad attackyta: SSO tar bort lösenordströtthet och dåliga lösenordsvanor vilket omedelbart gör din verksamhet mindre sårbar för nätfiske. Det gör att användarna kan fokusera på att minnas ett starkt och unikt lösenord samt minskat tid och kostnad för återställning av lösenord.
  • Smidig och säker åtkomst för användare: SSO ger insyn i realtid av vilka användare som använder appar och varifrån de gör det vilket hjälper företagen att skydda integriteten av sina system. SSO-lösningar minskar också säkerhetsrisker, t.ex. om en anställd tappar sin företagsägda enhet så kan IT-teamet omedelbart ta bort enhetens tillgång till konton och kritiska data.
  • Förenklad revision av användares åtkomst: Att göra så att rätt personer har rätt behörighetsnivå av känsliga data och resurser kan vara svårt i en företagsmiljö som ständigt förändras. SSO-lösningar kan användas för att konfigurera användarnas behörigheter baserat på roll, avdelning och erfarenhet. Detta ger transparens och insyn av behörigheter hela tiden.
  • Användares egenmakt och produktivitet: Användarna vill mer och mer ha snabb och smidig åtkomst av de appar som behövs för jobbet. Manuell hantering av åtkomstbegäran är en plågsam process som bara frustrerar användarna. SSO-autentisering tar bort behovet av manuell kontroll och ger omedelbar åtkomst av tusentals appar med ett enda klick.
  • Framtidssäkrat: SSO är det första steget för att säkra företaget och dess användare. Med SSO som bas kan din organisation implementera annan säkerhet enligt bästa praxis såsom att placera ut multifaktorautentisering (MFA) som förbättrar verifikation av identiteter, riskbedömningar och verktyg för hantering av samtycke för regelefterlevnadsbehov och hindra bedrägerier. Börjar du med SSO på rätt sätt blir din verksamhet framtidssäker.

Utmaningar för SSO

Trots att SSO är användarvänligt och bekvämt så kan det utgöra en säkerhetsrisk om det inte hanteras och placeras ut på rätt sätt. Utmaningarna för SSO är:

Risker med användaråtkomst: Om en angripare kommer över en SSO-användares inloggningsdata så får de också tillgång till alla appar som den användaren har behörighet för. Det är därför viktigt att ha ytterligare autentiseringsmekanismer än bara lösenord.

Potentiella sårbarheter: Sårbarheter har tidigare upptäckts i SAML och OAuth vilka resulterade i att angripare fick obehörig tillgång till offrets webb- och mobil-konton. Det är därför viktigt att arbeta med en leverantör som tagit lärdom av sådana fall i sina produkter och kombinerar SSO med ytterligare autentiseringsfaktorer och identitetshantering.

App-kompatibilitet: Det händer ibland att en app inte är effektivt integrerad med en SSO-lösning. App-leverantörer bör ha riktiga SSO-funktioner via SAML, Kerberos eller OAuth. I annat fall är din SSO-lösning bara ytterligare ett lösenord som användaren måste komma ihåg och är därför inte heltäckande. 

Är SSO säkert?

Om bästa praxis för single sign-on följs så kan en tillförlitlig SSO-lösning ge en stor förbättring av säkerheten. Den tillser att:

  • IT-team kan använda SSO för att skydda användare med enhetliga säkerhetsprinciper som är anpassade efter beteende och samtidigt förenkla hanteringen av användarnamn och lösenord. 
  • Inbyggda säkerhetsverktyg identifierar och blockerar främmande inloggningsförsök automatiskt vilket ökar säkerheten för företagsnätverk.
  • Organisationer kan placera ut säkerhetsverktyg som exempelvis MFA parallellt med SSO som snabbt kan sköta användarnas behörigheter och privilegier. 

Dessutom kan en SSO-lösning från en beprövad leverantör ge företaget trygghet med verifierade säkerhetsprotokoll och skalbara.

Rollen för SSO i identitet och åtkomsthantering (IAM)

IAM hjälper organisationer hantera alla aspekter av användarnas åtkomst och SSO är en del av detta större identitetslandskap. SSO är avgörande för verifiering av användarnas identiteter och ge rätt behörigheter. Det bör integreras med aktivitetsloggar, verktyg som möjliggör åtkomstkontroll och processer som övervakar användarbeteende. 

IDaaS--lösningar (Identity-as-a-Service) ger en fullständig IAM såsom SSO, adaptiv MFA och användarkataloger i ett enda paket. Detta förenklar säkerhet, provisionering och arbetsflöden, förbättrar användarens upplevelse och sparar tid och pengar för organisationen.

Detta ska SSO-leverantören erbjuda

Välja en SSO-leverantör innebär en sökning på marknadens alla alternativ. De viktigaste egenskaperna en leverantör ska ha är:

Åtkomst av alla appar: De bästa SSO-leverantörerna stöder integrationer med marknadens alla viktiga appar. När du utvärderar leverantörerna så fokusera på både hur många appar de stöder, hur djupt integrerade de är och om de möjliggör integration med allt, från företag, Software-as-a-Service (SaaS) och webb-appar till nätverksresurser.

SSO-anpassningar: En modern SSO-produkt måste uppfylla varje användares behov genom att de får en kontrollpanel som bara visar de appar som de har behörighet att komma åt. Kontrollpanelen ska dessutom vara anpassbar så att företagets behov av varumärke kan läggas in och synas på ett enhetligt sätt på företagets alla märkta platser.

MFA-integration: Det är viktigt att inte bara förlita sig på användarnamn och lösenord. Välj därför en SSO-leverantör som integrerar en MFA-lösning och kan fånga in kontextinformation om användaren såsom plats, riskprofil och beteende. Detta stärker säkerheten genom att användaren måste ange ytterligar information som bekräftar deras identitet. 

Övervakning och felsökning: En effektiv SSO-leverantör måste också kunna ge verktyg för övervakning som hjälper organisationer att snabbt identifiera och lösa prestandaproblem i hela IT-miljön, både hybrid och moln-miljöer.

Upptäck hur Okta Single Sign-On ger smidig integration till över 6 000 populära appar eller se vår slutanvändarupplevelse för att komma igång med SSO.