Página inicial da OpenText.
Tópicos técnicos

O que é logon único?

Visão geral do logon único (SSO)

Single sign-on (SSO) é uma metodologia de autenticação que permite que os usuários acessem vários recursos com uma única entrada de suas credenciais de login (reivindicação e segredo). O SSO oferece essa experiência de usuário em vários sistemas e domínios. Para manter o acesso sem atritos, o SSO deve se estender aos vários serviços em execução e aos recursos que residem nos data centers e nas plataformas que os usuários consomem. Essas plataformas podem existir como IaaS, PaaS ou como um serviço completo (SaaS), que pode ou não oferecer suporte a um modelo de confiança.

Autenticação única

Qual é a função do SSO em uma postura de segurança?

Você pode realizar o SSO por meio de diferentes tecnologias. Uma abordagem mais segura é uma implementação em que os usuários não conhecem a credencial de cada serviço que consomem, mas apenas a principal. Como os usuários não conhecem cada credencial, não há risco de burlar o seu centro de autenticação ou compartilhá-las em plataformas menos seguras.

As organizações geralmente fornecem SSO por meio de um modelo de confiança. Um único provedor de identidade (IdP) detém as credenciais ou controla o acesso a elas. Nesse modelo, cada serviço depende do IdP para verificar a identidade da parte que está acessando. Embora essa abordagem reduza o número de locais que armazenam a credencial, os usuários podem ou não conhecer a credencial autêntica do serviço.

Qualquer projeto de SSO que sincronize as credenciais para cada aplicativo ou serviço é a opção menos segura e raramente, ou nunca, deve ser usado. Para a segurança, as organizações trabalham para reduzir o número de vetores de ataque, não para aumentá-los.

Como componente de um ambiente de autenticação avançado, o logon único pode ser combinado com a autenticação multifatorial para reforçar a verificação da identidade de um usuário e, ao mesmo tempo, minimizar a interrupção. Essa abordagem ajuda as organizações a maximizar a usabilidade e a segurança, especialmente quando combinada com métodos passivos sem senha. Embora alguns tipos de autenticação passiva possam ser mais fracos do que outros, o senhor pode usá-los com métricas de verificação adicionais para vários recursos digitais. Como parte do planejamento do serviço de risco, as equipes de segurança podem organizar seus recursos em categorias de sensibilidade e atribuir os pontos fortes de autenticação correspondentes.

Como funciona o SSO

O SSO moderno se baseia em protocolos de identidade federada, como o:

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Esses padrões permitem a comunicação confiável entre um provedor de identidade (IdP) - que autentica o usuário - e os provedores de serviços (SPs) - que controlam o acesso aos aplicativos. Uma vez autenticados, os usuários recebem um token que pode ser reutilizado em todos os serviços sem a necessidade de reinserir as credenciais.

As iniciativas de SSO geralmente se enquadram na categoria de autenticação de um servidor de diretório: Cada serviço usa as mesmas credenciais de um único diretório, como o Active Directory, ou os ambientes passam o token de autenticação para os aplicativos configurados. As equipes podem usar injeção de credenciais e outras tecnologias para fornecer SSO. O SSO empresarial moderno quase sempre usa padrões de federação como SAML ou OpenID Connect (OIDC) com um provedor de identidade (IdP). A injeção/sincronização de credenciais é geralmente considerada menos segura e menos moderna. Os protocolos de federação amplamente aceitos (SAML, OIDC) são os principais mecanismos para SSO e são considerados padrões do setor. Independentemente da abordagem, qualquer solução também deve incluir um mecanismo de saída única.

SSO em um mundo de TI híbrida

As organizações de hoje abrangem sistemas locais, aplicativos SaaS, plataformas IaaS e muito mais. O SSO eficaz deve fazer a ponte entre esses ambientes com identidade federada, fornecimento nativo da nuvem e integração de diretórios - suportando protocolos legados e modernos.

Benefícios do SSO

  • Experiência aprimorada do usuário
    Faça login uma vez e acesse todos os aplicativos autorizados, melhorando a produtividade e reduzindo a fadiga de senhas.
  • Postura de segurança aprimorada
    Quando combinado com a autenticação multifator (MFA) e a análise de risco com reconhecimento de contexto, o SSO reduz as superfícies de ataque e centraliza o controle.
  • Maior conformidade e visibilidade
    O controle centralizado de identidade permite melhor registro, auditoria e aplicação de políticas, o que é essencial para atender às normas de privacidade e segurança cibernética.
  • Redução da sobrecarga de TI
    Menos tíquetes de helpdesk para redefinição de senhas e fluxos de trabalho de integração/desinclusão simplificados.

Como o SSO ajuda a melhorar os processos internos?

O motivo mais comum pelo qual as equipes de segurança de TI expandem o logon único de seus usuários é oferecer acesso seguro às informações de forma rápida e simples. Quando as organizações implementam esse nível de conveniência para suas informações protegidas, elas obtêm maior eficiência e produtividade. O SSO permite que os usuários se autentiquem apenas uma vez para os vários aplicativos e outros recursos digitais que acessam ao longo do dia. Além da satisfação do usuário, o SSO reduz a fadiga de senhas, um elemento fundamental para incentivar a higiene das credenciais. Outros benefícios incluem eficiência e produtividade mensuráveis. Ele reduz a obstrução de acesso, que às vezes pode ser a raiz da procrastinação na conclusão de um processo comercial. Isso pode ser especialmente verdadeiro para profissionais remotos e fora do horário de trabalho, que geralmente enfrentam obstáculos de segurança maiores devido à localização. A conveniência do acesso simples reduz o atrito dos processos de negócios realizados em dispositivos móveis, permitindo que eles ocorram rapidamente enquanto alguém está em trânsito ou trabalhando fora do horário normal.

Como a SSO ajuda as empresas a competir?

O envolvimento do consumidor vai desde a simples personalização até as transações de alto risco. Essas plataformas de consumo geralmente usam dados comportamentais para identificar interesses e procurar pistas que ajudem a confirmar a identidade do usuário. Os consumidores esperam que suas marcas de confiança os conheçam bem o suficiente para oferecer informações interessantes e permitir que eles realizem o máximo de negócios possível em dispositivos móveis. É nesse ponto que o logon único entra em ação.

A experiência on-line e móvel de hoje exige uma plataforma robusta, apoiada por vários sistemas de back-end para oferecer a experiência cada vez mais sofisticada que os consumidores esperam. Normalmente, eles não toleram a verificação de sua identidade várias vezes em um smartphone. Portanto, embora seja comum que os aplicativos móveis utilizem vários sistemas de back-end, eles não fazem parte da experiência do usuário.

Além do acesso simples, o SSO desempenha um papel no acesso remoto mais profundo e de maior importância. Permitir que seus consumidores façam mais com seus produtos e serviços continua a ser um campo de batalha da concorrência de aplicativos móveis. À medida que a economia digital evolui, os aplicativos móveis realizam mais tipos de interações comerciais, inclusive as mais arriscadas. Oferecer serviços mais significativos do que os da concorrência é uma maneira eficaz de se diferenciar. Mas isso também impõe mais requisitos à sua infraestrutura de autenticação. A conveniência do SSO é importante, mas também é importante a verificação de identidade que corresponda ao risco para a organização. Quanto mais uma organização puder medir o risco contextual de uma solicitação de acesso, maior será o alcance do acesso móvel a informações privadas e confidenciais. Pergunte a si mesmo:

  • O usuário está localizado onde esperado (GSM, geolocalização, rede)?
  • O dispositivo é reconhecido?
  • Os tipos de solicitações refletem o comportamento anterior?
  • Qual é o nível de risco dos dados em si?

Com base nessas métricas de risco, o SSO pode trabalhar em conjunto com os tipos de autenticação avançada para combinar a verificação de identidade com esse risco, usando a autenticação multifator quando necessário:

  • Ofereça várias opções de autenticação sem senha, como impressão digital, reconhecimento facial, reconhecimento de voz, push fora da banda, senha de uso único, etc.
  • Interrompa o consumidor com uma solicitação de verificação somente quando necessário.
  • Use um ou mais tipos de autenticação para obter a força de verificação necessária.

Embora o logon único ofereça conveniência ao consumidor, ele também equilibra a conveniência com a segurança quando usado com outros métodos de autenticação.

Quais são os erros comuns na implementação do SSO?

Tanto a TI quanto a linha de negócios devem considerar o valor crescente do logon único como uma curva em aceleração. Quanto mais credenciais um usuário tiver, mais difícil será lembrá-las. Quando a empresa reduz o número de credenciais, é mais provável que os usuários sigam um bom gerenciamento de credenciais.

Essa mesma curva de valor agressiva é impulsionada pela conveniência. Quanto menos você interromper os usuários, mais produtivos (funcionários ou prestadores de serviços) e felizes (consumidores) eles serão. O ideal é que haja uma impressão digital inicial, reconhecimento facial ou alguma outra reivindicação ao entrar no aplicativo ou iniciar uma sessão e nada mais. Independentemente de quantos serviços ou recursos os usuários utilizam, eles não são interrompidos em suas tarefas. No mesmo paradigma, quanto mais o aplicativo ou serviço da Web interromper o usuário com um prompt de autenticação, menos satisfatório e contraproducente ele será. Por esses motivos, as decisões ou implementações técnicas que não realizam o SSO para recursos comumente acessados são as mais prejudiciais.

Limitar a autenticação ao Active Directory (AD)

Embora o AD (assim como o Azure AD) tenha se tornado o principal provedor de identidade, a maioria das organizações tem recursos essenciais que vão além dele. Embora as organizações mais jovens ou menores possam achar que o AD complementado com as soluções de federação da Microsoft seja suficiente para fornecer o logon único, a maioria delas é mais heterogênea do que isso.

Dependendo exclusivamente de tecnologias de modelos de confiança

A adoção do SAML e do OIDC tem sido generalizada. Mas ambientes complicados geralmente não conseguem oferecer cobertura total. Surpreendentemente, vários serviços baseados em SaaS não oferecem suporte à federação ou cobram mais por isso do que as organizações estão dispostas a pagar. Por outro lado, as tecnologias de gravação e reprodução ou um gateway de acesso gerenciado centralmente preenchem as lacunas da cobertura de logon único.

Compreender mal a experiência de autenticação dos seus usuários

Muitas vezes, as organizações de TI não conhecem as diferentes personas dos usuários que acessam durante a semana. Sem uma visão clara, eles não podem priorizar qual recurso adicionar à sua infraestrutura de logon único. Além disso, os serviços que os departamentos ou linhas de negócios consomem normalmente não são incluídos no planejamento de SSO.

A vantagem do OpenText SSO

O gerenciamento de identidade e acesso (IAM) do OpenText™ oferece SSO seguro e baseado em padrões com:

  • Suporte integrado para SAML, OAuth e OIDC.
  • Integração com Active Directory, LDAP e fontes de identidade na nuvem.
  • Autenticação adaptativa e sem senha.
  • Confiança federada em ecossistemas B2B e B2C.
  • Compatibilidade com arquiteturas Zero Trust modernas.

O OpenText Access Manager, o OpenText Core Identity Foundation e o OpenText Advanced Authentication trabalham juntos para oferecer controle de acesso unificado e flexível - em todos os usuários, dispositivos e ambientes.

Como o OpenText fornece SSO?

O OpenText IAM oferece cinco abordagens diferentes para fornecer SSO:

OpenText Access Manager

Usando uma variedade de tecnologias, o OpenText Access Manager tem várias maneiras de fornecer SSO para qualquer intranet ou serviço baseado em nuvem. Independentemente da interface que seus aplicativos possam ou não ter, seus usuários (funcionários, clientes, etc.) têm acesso rápido e conveniente. Ao mesmo tempo, o OpenText Access Manager oferece ao senhor controle total de acesso usando seus processos atuais.
 
Além das vantagens do SSO, o OpenText Access Manager oferece acesso com um clique aos aplicativos da Web por meio de ícones de configuração fácil no miniportal. O miniportal incorporado do OpenText Access Manager não se destina a substituir o que o senhor já tem, mas sim uma opção para aqueles que não têm um. O portal é leve para os administradores ativarem, configurarem e manterem, além de ser intuitivo para qualquer usuário. A interface de acesso rápido do OpenText Access Manager aprimora a experiência de logon único.

O OpenText Access Manager oferece à sua organização três opções para implementar o logon único (SSO) em todos os seus aplicativos baseados em nuvem e intranet:

  • Gateway de acesso - o que há de mais moderno em gerenciamento de acesso, tanto para controle de acesso quanto para renderização de logon único, o gateway de acesso é a melhor maneira de proporcionar uma experiência de usuário perfeita em vários serviços e ambientes complexos (nuvem, fora da nuvem, híbrido).
  • A federação baseada em padrões - SAML, OAuth, OpenID Connect, WS-Trust e WS-Federation - o OpenText Access Manager oferece suporte a esses aplicativos por meio de um catálogo ou kit de ferramentas de conectores pré-configurados, a partir dos quais o senhor pode configurar a confiança entre um provedor de autenticação e um provedor de serviços.
  • Assistente de logon único - para o vasto oceano de aplicativos pequenos ou especializados que não são compatíveis com nenhum tipo de federação, o assistente de SSO atende a todos eles.

Gateway do OpenText Access Manager

O gateway é um proxy reverso que o senhor pode colocar na frente de qualquer recurso, independentemente de ele ter seu próprio modelo de segurança ou controles de acesso. Isso permite que o senhor aproveite o mesmo provedor de identidade para o gerenciamento de credenciais. Assim como o assistente de logon único, o gateway oferece políticas de preenchimento de formulários que podem preencher os formulários HTML. As políticas de preenchimento de formulários examinam cada página de login, aceleradas pelo gateway de acesso, para ver se é possível preencher as informações de credenciais. Independentemente do número de tecnologias de logon único que o senhor emprega, o OpenText Access Manager oferece um ponto central de administração e controle.

Logon único por meio de federação

Para o logon único por meio da federação, o OpenText Access Manager permite que o senhor configure uma relação de confiança que pode funcionar como um provedor de identidade ou um provedor de serviços, de acordo com suas necessidades. O senhor também precisará configurar o tipo de federação (SAML, OAuth, OpenID Connect, WS-Trust ou WS-Federation). Se estiver usando SAML, o senhor pode escolher um dos muitos conectores pré-configurados. Se o catálogo não tiver um conector SAML pré-configurado para o serviço desejado, o senhor poderá usar o kit de ferramentas para configurar o seu próprio conector.

Login único por meio do assistente

Para serviços baseados em nuvem que são muito antigos, pequenos ou primitivos para suportar a federação, o assistente de logon único oferece uma experiência de SSO com o mínimo de esforço. Ele solicita que os usuários façam o download do plug-in do navegador que recupera com segurança as credenciais quando elas são registradas. Depois que o assistente é configurado, os usuários experimentam o SSO quando acessam o aplicativo. O primeiro lugar para procurar conectores de assistente prontos é o OpenText Access Manager Connector Catalog. O senhor pode gravar o seu próprio se não conseguir encontrar o conector de que precisa. O OpenText Access Manager solicita automaticamente que o usuário instale o conector pela primeira vez e, em seguida, recupera e envia as credenciais do usuário do OpenText Access Manager para login automático. Ao configurar os conectores SSO básicos para os diferentes aplicativos, o senhor define o conector para o site específico. O SSO básico captura as credenciais dos usuários por meio de um plug-in ou extensão do navegador. Ele armazena com segurança as credenciais do usuário no servidor de identidade, nunca usando o gateway de acesso.

OpenText Advanced Authentication

O OpenText Advanced Authentication oferece logon único para usuários em clientes Windows. O suporte a SSO inclui .NET, Java, aplicativos nativos e aplicativos da Web em todos os navegadores populares. Isso é perfeito para os usuários finais, ajudando-os a se concentrar em seu trabalho principal. Mesmo para usuários remotos não conectados a um diretório centralizado, o logon único continua a funcionar em laptops isolados sem conexão com a Internet. O OpenText Advanced Authentication também oferece troca rápida de usuários, o que significa que ele fornece rapidamente o logon único para quiosques ou estações de trabalho compartilhadas. Ele pode ser invocado com um crachá ou outro método sem contato que seja rápido, simples e altamente seguro.

O OpenText oferece mais opções de logon único para organizações do que qualquer outro fornecedor.

Gerenciamento de acesso ao OpenText

Crie um conjunto reutilizável de serviços de gerenciamento de acesso para seus aplicativos novos e existentes

OpenText™ Access Manager

Habilite o logon único e o controle de acesso em plataformas móveis, de nuvem e legadas

OpenText™ Advanced Authentication

Habilite a autenticação sem senha e multifator para proteção simples em toda a organização

OpenText™ Identity Governance e Administração

Forneça o acesso certo aos usuários certos com o mínimo de atrito

OpenText™ Privileged Access Manager

Centralize o controle sobre as contas de administrador em todo o seu ambiente de TI

Veja todos os produtos relacionados

Como podemos ajudar?

Notas de rodapé