OpenText startsida.
Tekniska ämnen

Vad är single sign-on?

Översikt över SSO (Single Sign-On)

Single sign-on (SSO) är en autentiseringsmetod som gör det möjligt för användare att få tillgång till flera resurser med en enda inmatning av sina inloggningsuppgifter (krav och hemlighet). SSO levererar denna användarupplevelse över olika system och domäner. För att upprätthålla friktionsfri åtkomst måste SSO omfatta de olika tjänster som körs och de resurser som finns i de datacenter och plattformar som användarna använder. Dessa plattformar kan finnas som IaaS, PaaS eller som en fullservice (SaaS), som kanske eller kanske inte stöder en förtroendemodell.

Enkel inloggning

Vilken roll spelar SSO i en säkerhetsstrategi?

Du kan åstadkomma SSO med hjälp av olika tekniker. Ett säkrare tillvägagångssätt är en implementering där användarna inte känner till inloggningsuppgifterna för varje tjänst de använder, utan bara för huvudtjänsten. Eftersom användarna inte känner till varje inloggningsuppgift finns det ingen risk att de kringgår ditt autentiseringscenter eller delar dem på mindre säkra plattformar.

Organisationer levererar vanligen SSO genom en förtroendemodell. En enda identitetsleverantör (IdP) har antingen inloggningsuppgifterna eller kontrollerar åtkomsten till dem. I den här modellen förlitar sig varje tjänst på IdP:n för att verifiera identiteten hos den part som begär åtkomst. Även om denna metod begränsar antalet platser där inloggningsuppgifterna lagras kan det hända att användarna inte känner till de autentiska inloggningsuppgifterna till tjänsten.

En SSO-design som synkroniserar inloggningsuppgifterna till varje applikation eller tjänst är det minst säkra alternativet och bör sällan, om någonsin, användas. När det gäller säkerhet arbetar organisationer för att minska antalet attackvektorer, inte öka dem.

Som en del av en avancerad autentiseringsmiljö kan single sign-on kombineras med multifaktorautentisering för att stärka verifieringen av en användares identitet och samtidigt minimera störningar. Detta tillvägagångssätt hjälper organisationer att maximera användbarheten och säkerheten, särskilt i kombination med passiva lösenordslösa metoder. Även om vissa typer av passiv autentisering kan vara svagare än andra, kan du använda dem med ytterligare verifieringsmått för olika digitala resurser. Som en del av planeringen av risktjänster kan säkerhetsteamen organisera sina resurser i känslighetskategorier och tilldela motsvarande autentiseringsstyrkor.

Hur SSO fungerar

Modern SSO bygger på protokoll för federerade identiteter, t.ex:

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Dessa standarder möjliggör betrodd kommunikation mellan en identitetsleverantör (IdP) - som autentiserar användaren - och tjänsteleverantörer (SP) - som kontrollerar åtkomsten till applikationer. När användarna har autentiserats får de en token som kan återanvändas i olika tjänster utan att de behöver ange sina inloggningsuppgifter på nytt.

SSO-initiativ faller ofta under kategorin autentisering av katalogservrar: Varje tjänst använder samma autentiseringsuppgifter från en enda katalog, t.ex. Active Directory, eller så skickar miljöerna autentiseringstoken till konfigurerade applikationer. Team kan använda credential injection och andra tekniker för att leverera SSO. Modern SSO för företag använder nästan alltid federationsstandarder som SAML eller OpenID Connect (OIDC) med en identitetsleverantör (IdP). Credential injection/synkronisering anses allmänt vara mindre säkert och mindre modernt. Allmänt accepterade federationsprotokoll (SAML, OIDC) är de primära mekanismerna för SSO och anses vara branschstandarder. Oavsett tillvägagångssätt måste varje lösning också innehålla en mekanism för enkel utcheckning.

SSO i en hybrid IT-värld

Dagens organisationer omfattar lokala system, SaaS-appar, IaaS-plattformar och mycket mer. Effektiv SSO måste överbrygga dessa miljöer med federerad identitet, molnbaserad leverans och katalogintegration - med stöd för både äldre och moderna protokoll.

Fördelar med SSO

  • Förbättrad användarupplevelse
    Logga in en gång och få tillgång till alla godkända applikationer, vilket förbättrar produktiviteten och minskar lösenordströttheten.
  • Förbättrad säkerhetsposition
    I kombination med multifaktorautentisering (MFA) och kontextmedveten riskanalys minskar SSO attackytorna samtidigt som kontrollen centraliseras.
  • Bättre efterlevnad och insyn
    Centraliserad identitetskontroll möjliggör bättre loggning, granskning och policygenomförande, vilket är avgörande för att uppfylla sekretess- och cybersäkerhetsregler.
  • Minskade IT-kostnader
    Färre helpdeskärenden för återställning av lösenord och effektiviserade arbetsflöden för onboarding/offboarding.

Hur kan SSO bidra till att förbättra interna processer?

Det vanligaste skälet till att IT-säkerhetsteam utökar användarnas single sign-on är att de vill erbjuda säker tillgång till information snabbt och enkelt. När organisationer implementerar denna nivå av bekvämlighet för sin skyddade information uppnår de högre effektivitet och produktivitet. SSO gör det möjligt för användare att autentisera sig bara en gång för de många applikationer och andra digitala resurser som de använder under dagen. Förutom att användarna blir nöjda minskar SSO lösenordströttheten, vilket är en grundläggande faktor för att uppmuntra till god inloggningshygien. Andra fördelar är mätbar effektivitet och produktivitet. Det minskar hindren för åtkomst, vilket ibland kan vara orsaken till att man drar ut på tiden med att slutföra en affärsprocess. Detta kan vara särskilt sant för medarbetare som arbetar på distans eller efter kontorstid, som ofta möter högre säkerhetskrav på grund av sin geografiska placering. Den enkla åtkomsten minskar friktionen för affärsprocesser som utförs på mobila enheter, vilket gör att de kan ske snabbt när någon är på språng eller arbetar utanför ordinarie arbetstid.

Hur kan SSO hjälpa företag att konkurrera?

Konsumentengagemanget sträcker sig från enkel personalisering till transaktioner med hög risk. Dessa konsumentplattformar använder ofta beteendedata för att identifiera intressen och leta efter ledtrådar för att bekräfta användarens identitet. Konsumenterna har kommit att förvänta sig att deras betrodda varumärken känner dem tillräckligt väl för att erbjuda intressant information och låta dem göra så mycket affärer som möjligt på mobila enheter. Det är här single sign-on kommer in i bilden.

Dagens mobil- och onlineupplevelse kräver en robust plattform som stöds av flera backend-system för att leverera den alltmer sofistikerade upplevelse som konsumenterna förväntar sig. Vanligtvis tolererar de inte att verifiera sin identitet flera gånger på en smartphone. Så även om det är vanligt att mobilappar använder olika backend-system är de inte en del av användarupplevelsen.

Utöver enkel åtkomst spelar SSO en roll i djupare och mer avancerad fjärråtkomst. Att låta dina kunder åstadkomma mer med dina produkter och tjänster fortsätter att vara ett slagfält för konkurrensen inom mobilappar. I takt med att den digitala ekonomin utvecklas används mobilappar för allt fler typer av affärsinteraktioner, även mer riskfyllda sådana. Att erbjuda mer meningsfulla tjänster än konkurrenterna är ett effektivt sätt att differentiera sig. Men det ställer också högre krav på din infrastruktur för autentisering. Bekvämligheten med SSO är viktig, men det är också viktigt med en identitetsverifiering som matchar risken för organisationen. Ju mer en organisation kan mäta den kontextuella risken för en åtkomstbegäran, desto större blir utbudet av mobil åtkomst till privat och känslig information. Fråga dig själv:

  • Befinner sig användaren där den förväntas befinna sig (GSM, geolokalisering, nätverk)?
  • Känns enheten igen?
  • Avspeglar de olika typerna av förfrågningar tidigare beteende?
  • Vilken är risknivån för själva uppgifterna?

Baserat på dessa riskmått kan SSO fungera tillsammans med avancerade autentiseringstyper för att matcha identitetsverifiering med den risken, med multifaktorautentisering vid behov:

  • Erbjuda flera lösenordsfria autentiseringsalternativ, t.ex. fingeravtryck, ansiktsigenkänning, röstigenkänning, "out-of-band push", engångslösenord etc.
  • Avbryt endast konsumenten med en begäran om verifiering när det behövs.
  • Använd en eller flera autentiseringstyper för att uppnå den nödvändiga verifieringsstyrkan.

Single sign-on är bekvämt för konsumenterna, men det innebär också att bekvämlighet och säkerhet balanseras när det används tillsammans med andra autentiseringsmetoder.

Vilka är de vanligaste misstagen vid implementering av SSO?

Både IT-avdelningen och affärsverksamheten bör se det växande värdet av single sign-on som en accelererande kurva. Ju fler inloggningsuppgifter en användare har, desto svårare är det att komma ihåg dem. När verksamheten minskar antalet referenser är det mer sannolikt att användarna följer en sund hantering av referenser.

Samma aggressiva värdekurva drivs av bekvämlighet. Ju mindre du stör användarna, desto mer produktiva (anställda eller entreprenörer) och nöjda (konsumenter) blir de. I idealfallet finns det ett första fingeravtryck, ansiktsigenkänning eller något annat krav när man går in i applikationen eller startar en session och inget mer. Oavsett hur många tjänster eller resurser användarna använder sig av blir de inte avbrutna i sina arbetsuppgifter. På samma sätt gäller att ju mer appen eller webbtjänsten avbryter användaren med en autentiseringsfråga, desto mindre tillfredsställande och kontraproduktivt är det. Av dessa skäl är tekniska beslut eller implementeringar som inte åstadkommer SSO för vanligt förekommande resurser de mest skadliga.

Begränsa autentiseringen till Active Directory (AD)

AD (och även Azure AD) har blivit den primära identitetsleverantören, men de flesta organisationer har viktiga resurser som går utöver detta. Medan yngre eller mindre organisationer kan tycka att AD kompletterat med Microsofts federationslösningar är tillräckligt för att leverera single sign-on, är majoriteten av dem mer heterogena än så.

Beroende uteslutande på teknik för förtroendemodeller

Antagandet av SAML och OIDC har varit utbrett. Men komplicerade miljöer kan oftast inte ge full täckning. Överraskande nog stöder ett antal SaaS-baserade tjänster antingen inte federation eller tar mer betalt för det än vad organisationerna är villiga att betala. Omvänt fyller record/play-teknik eller en centralt hanterad accessgateway luckorna i täckningen av single sign-on.

Missförstå dina användares autentiseringsupplevelse

Ofta känner IT-organisationer inte till de olika användarna som har åtkomst under hela veckan. Utan en tydlig bild kan de inte prioritera vilken resurs de ska lägga till i sin infrastruktur för single sign-on. Dessutom ingår vanligtvis inte tjänster som avdelningar eller affärsområden konsumerar i SSO-planeringen.

OpenText SSO-fördelen

OpenText™ identitets- och åtkomsthantering (IAM) ger säker, standardbaserad SSO med:

  • Inbyggt stöd för SAML, OAuth och OIDC.
  • Integration med Active Directory, LDAP och identitetskällor i molnet.
  • Lösenordsfri och adaptiv autentisering.
  • Fördelad tillit mellan B2B- och B2C-ekosystem.
  • Kompatibilitet med moderna Zero Trust-arkitekturer.

OpenText Access Manager, OpenText Core Identity Foundation och OpenText Advanced Authentication arbetar tillsammans för att leverera enhetlig, flexibel åtkomstkontroll - över alla användare, enheter och miljöer.

Hur gör OpenText tillhandahålla SSO?

OpenText IAM erbjuder fem olika metoder för att leverera SSO:

OpenText Access Manager

Med hjälp av en mängd olika tekniker har OpenText Access Manager flera sätt att leverera SSO för alla intranät eller molnbaserade tjänster. Oavsett vilket gränssnitt dina applikationer har eller inte har, får dina användare (anställda, kunder etc.) snabb och bekväm åtkomst. Samtidigt ger OpenText Access Manager dig full åtkomstkontroll med dina nuvarande processer.
 
Utöver fördelarna med SSO erbjuder OpenText Access Manager åtkomst till webbappar med ett klick genom enkla installationsikoner i miniportalen. OpenText Access Managers inbyggda mini-portal är inte avsedd att ersätta det du redan har, utan snarare ett alternativ för dem som inte har en. Portalen är lätt för administratörer att aktivera, konfigurera och underhålla, och den är intuitiv för alla användare. OpenText Access Managers gränssnitt för snabb åtkomst förbättrar upplevelsen med en enda inloggning.

OpenText Access Manager ger din organisation tre alternativ för att implementera enkel inloggning (SSO) över alla dina moln- och intranätbaserade applikationer:

  • Access gateway - den ultimata accesshanteringen för både åtkomstkontroll och rendering av single sign-on, access gateway är det bästa sättet att leverera en sömlös användarupplevelse över flera tjänster och komplexa miljöer (moln, off-cloud, hybrid).
  • Standardbaserad federation-SAML, OAuth, OpenID Connect, WS-Trust och WS-Federation-OpenText Access Manager stöder dessa applikationer genom en förkonfigurerad anslutningskatalog eller verktygslåda där du kan konfigurera förtroendet mellan en autentiseringsleverantör och en tjänsteleverantör.
  • Assistent för enkel inloggning - för den stora mängd små eller specialiserade appar som inte stöder någon typ av federation, SSO-assistenten hanterar dem alla.

OpenText Access Manager-gateway

Gatewayen är en omvänd proxy som du kan placera framför vilken resurs som helst, oavsett om den har sin egen säkerhetsmodell eller åtkomstkontroll. Detta gör att du kan utnyttja samma identitetsleverantör för hantering av referenser. I likhet med single sign-on-assistenten erbjuder gatewayen formulärutfyllnadspolicyer som kan fylla i HTML-formulär. Policyer för ifyllnad av formulär skannar varje inloggningssida, som accelereras genom accessgatewayen, för att se om den kan fylla i inloggningsinformationen. Oavsett hur många single sign-on-tekniker du använder, OpenText Access Manager ger en central punkt för administration och kontroll.

Single Sign-On genom federation

För enkel inloggning genom federation, OpenText Access Manager låter dig skapa ett förtroendeförhållande som kan fungera som en identitetsleverantör eller en tjänsteleverantör, baserat på dina behov. Du måste också ange vilken typ av federation som ska användas (SAML, OAuth, OpenID Connect, WS-Trust eller WS-Federation). Om du använder SAML kan du välja en av de många förkonfigurerade kopplingarna. Om katalogen inte har en förkonfigurerad SAML-koppling för den tjänst du vill ha kan du använda verktygslådan för att konfigurera din egen.

Enkel inloggning via assistenten

För molnbaserade tjänster som är för gamla, små eller primitiva för att stödja federation ger single sign-on-assistenten en SSO-upplevelse med minimal ansträngning. Den uppmanar användarna att ladda ner webbläsarpluginet som på ett säkert sätt hämtar inloggningsuppgifter när de registreras. När assistenten har konfigurerats upplever användarna SSO när de öppnar applikationen. Det första stället att leta efter färdigbyggda assistentkontakter är OpenText Access Manager Connector Catalog. Du kan spela in din egen om du inte hittar den kontakt du behöver. OpenText Access Manager uppmanar automatiskt användaren att installera kontakten första gången, varefter den hämtar och skickar användarens referenser från OpenText Access Manager för automatisk inloggning. När du konfigurerar Basic SSO-kopplingarna för de olika programmen definierar du kopplingen för den specifika webbplatsen. Basic SSO samlar in användarnas inloggningsuppgifter via ett plugin eller tillägg till webbläsaren. Den lagrar användaruppgifter på ett säkert sätt på identitetsservern och använder aldrig accessgatewayen.

OpenText Advanced Authentication

OpenText Advanced Authentication levererar enkel inloggning för användare på Windows-klienter. SSO-stödet omfattar .NET, Java, inbyggda applikationer och webbapplikationer i alla populära webbläsare. Det är smidigt för slutanvändarna och hjälper dem att fokusera på sina primära arbetsuppgifter. Även för fjärranvändare som inte är anslutna till en centraliserad katalog fortsätter single sign-on att fungera på isolerade bärbara datorer utan internetanslutning. OpenText Advanced Authentication erbjuder också snabb användarväxling, vilket innebär att den snabbt levererar enkel inloggning för kiosker eller delade arbetsstationer. Den kan aktiveras med en badge eller någon annan beröringsfri metod som är snabb, enkel och mycket säker.

OpenText erbjuder fler alternativ för enkel inloggning för organisationer än någon annan leverantör.

OpenText Access Management

Skapa en återanvändbar uppsättning tjänster för åtkomsthantering för både nya och befintliga applikationer

OpenText™ Access Manager

Möjliggör enkel inloggning och åtkomstkontroll över mobila, molnbaserade och äldre plattformar

OpenText™ Advanced Authentication

Möjliggör lösenordsfri autentisering och multifaktorautentisering för enkelt skydd i hela organisationen

OpenText™ Identity Governance and Administration

Leverera rätt åtkomst till rätt användare med minsta möjliga friktion

OpenText™ Privileged Access Manager

Centralisera kontrollen över administratörskonton i hela IT-landskapet

Se alla relaterade produkter

Hur kan vi hjälpa till?

Fotnoter