OpenText startsida.
Tekniska ämnen

Vad är single sign-on?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt över SSO (Single Sign-On)

Single sign-on (SSO) är en autentiseringsmetod som gör det möjligt för användare att få tillgång till flera resurser med en enda inmatning av sina inloggningsuppgifter (krav och hemlighet). SSO levererar denna användarupplevelse över olika system och domäner. För att upprätthålla friktionsfri åtkomst måste SSO omfatta de olika tjänster som körs och de resurser som finns i de datacenter och plattformar som användarna använder. Dessa plattformar kan finnas som IaaS, PaaS eller som en fullservice (SaaS), som kanske eller kanske inte stöder en förtroendemodell.

Enkel inloggning

Vilken roll spelar SSO i en säkerhetsstrategi?

Du kan åstadkomma SSO med hjälp av olika tekniker. Ett säkrare tillvägagångssätt är en implementering där användarna inte känner till inloggningsuppgifterna för varje tjänst de använder, utan bara för huvudtjänsten. Eftersom användarna inte känner till varje inloggningsuppgift finns det ingen risk att de kringgår ditt autentiseringscenter eller delar dem på mindre säkra plattformar.

Organisationer levererar vanligen SSO genom en förtroendemodell. En enda identitetsleverantör (IdP) har antingen inloggningsuppgifterna eller kontrollerar åtkomsten till dem. I den här modellen förlitar sig varje tjänst på IdP:n för att verifiera identiteten hos den part som begär åtkomst. Även om denna metod begränsar antalet platser där inloggningsuppgifterna lagras kan det hända att användarna inte känner till de autentiska inloggningsuppgifterna till tjänsten.

En SSO-design som synkroniserar inloggningsuppgifterna till varje applikation eller tjänst är det minst säkra alternativet och bör sällan, om någonsin, användas. När det gäller säkerhet arbetar organisationer för att minska antalet attackvektorer, inte öka dem.

Som en del av en avancerad autentiseringsmiljö kan single sign-on kombineras med multifaktorautentisering för att stärka verifieringen av en användares identitet och samtidigt minimera störningar. Detta tillvägagångssätt hjälper organisationer att maximera användbarheten och säkerheten, särskilt i kombination med passiva lösenordslösa metoder. Även om vissa typer av passiv autentisering kan vara svagare än andra, kan du använda dem med ytterligare verifieringsmått för olika digitala resurser. Som en del av planeringen av risktjänster kan säkerhetsteamen organisera sina resurser i känslighetskategorier och tilldela motsvarande autentiseringsstyrkor.

Hur SSO fungerar

Modern SSO bygger på protokoll för federerade identiteter, t.ex:

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Dessa standarder möjliggör betrodd kommunikation mellan en identitetsleverantör (IdP) - som autentiserar användaren - och tjänsteleverantörer (SP) - som kontrollerar åtkomsten till applikationer. När användarna har autentiserats får de en token som kan återanvändas i olika tjänster utan att de behöver ange sina inloggningsuppgifter på nytt.

SSO-initiativ faller ofta under kategorin autentisering av katalogservrar: Varje tjänst använder samma autentiseringsuppgifter från en enda katalog, t.ex. Active Directory, eller så skickar miljöerna autentiseringstoken till konfigurerade applikationer. Team kan använda credential injection och andra tekniker för att leverera SSO. Modern SSO för företag använder nästan alltid federationsstandarder som SAML eller OpenID Connect (OIDC) med en identitetsleverantör (IdP). Credential injection/synkronisering anses allmänt vara mindre säkert och mindre modernt. Allmänt accepterade federationsprotokoll (SAML, OIDC) är de primära mekanismerna för SSO och anses vara branschstandarder. Oavsett tillvägagångssätt måste varje lösning också innehålla en mekanism för enkel utcheckning.

SSO i en hybrid IT-värld

Dagens organisationer omfattar lokala system, SaaS-appar, IaaS-plattformar och mycket mer. Effektiv SSO måste överbrygga dessa miljöer med federerad identitet, molnbaserad leverans och katalogintegration - med stöd för både äldre och moderna protokoll.

Fördelar med SSO

  • Förbättrad användarupplevelse
    Logga in en gång och få tillgång till alla godkända applikationer, vilket förbättrar produktiviteten och minskar lösenordströttheten.
  • Förbättrad säkerhetsposition
    I kombination med multifaktorautentisering (MFA) och kontextmedveten riskanalys minskar SSO attackytorna samtidigt som kontrollen centraliseras.
  • Bättre efterlevnad och insyn
    Centraliserad identitetskontroll möjliggör bättre loggning, granskning och policygenomförande, vilket är avgörande för att uppfylla sekretess- och cybersäkerhetsregler.
  • Minskade IT-kostnader
    Färre helpdeskärenden för återställning av lösenord och effektiviserade arbetsflöden för onboarding/offboarding.

Hur kan SSO bidra till att förbättra interna processer?

Det vanligaste skälet till att IT-säkerhetsteam utökar användarnas single sign-on är att de vill erbjuda säker tillgång till information snabbt och enkelt. När organisationer implementerar denna nivå av bekvämlighet för sin skyddade information uppnår de högre effektivitet och produktivitet. SSO gör det möjligt för användare att autentisera sig bara en gång för de många applikationer och andra digitala resurser som de använder under dagen. Förutom att användarna blir nöjda minskar SSO lösenordströttheten, vilket är en grundläggande faktor för att uppmuntra till god inloggningshygien. Andra fördelar är mätbar effektivitet och produktivitet. Det minskar hindren för åtkomst, vilket ibland kan vara orsaken till att man drar ut på tiden med att slutföra en affärsprocess. Detta kan vara särskilt sant för medarbetare som arbetar på distans eller efter kontorstid, som ofta möter högre säkerhetskrav på grund av sin geografiska placering. Den enkla åtkomsten minskar friktionen för affärsprocesser som utförs på mobila enheter, vilket gör att de kan ske snabbt när någon är på språng eller arbetar utanför ordinarie arbetstid.


Hur kan SSO hjälpa företag att konkurrera?

Konsumentengagemanget sträcker sig från enkel personalisering till transaktioner med hög risk. Dessa konsumentplattformar använder ofta beteendedata för att identifiera intressen och leta efter ledtrådar för att bekräfta användarens identitet. Konsumenterna har kommit att förvänta sig att deras betrodda varumärken känner dem tillräckligt väl för att erbjuda intressant information och låta dem göra så mycket affärer som möjligt på mobila enheter. Det är här single sign-on kommer in i bilden.

Dagens mobil- och onlineupplevelse kräver en robust plattform som stöds av flera backend-system för att leverera den alltmer sofistikerade upplevelse som konsumenterna förväntar sig. Vanligtvis tolererar de inte att verifiera sin identitet flera gånger på en smartphone. Så även om det är vanligt att mobilappar använder olika backend-system är de inte en del av användarupplevelsen.

Utöver enkel åtkomst spelar SSO en roll i djupare och mer avancerad fjärråtkomst. Att låta dina kunder åstadkomma mer med dina produkter och tjänster fortsätter att vara ett slagfält för konkurrensen inom mobilappar. I takt med att den digitala ekonomin utvecklas används mobilappar för allt fler typer av affärsinteraktioner, även mer riskfyllda sådana. Att erbjuda mer meningsfulla tjänster än konkurrenterna är ett effektivt sätt att differentiera sig. Men det ställer också högre krav på din infrastruktur för autentisering. Bekvämligheten med SSO är viktig, men det är också viktigt med en identitetsverifiering som matchar risken för organisationen. Ju mer en organisation kan mäta den kontextuella risken för en åtkomstbegäran, desto större blir utbudet av mobil åtkomst till privat och känslig information. Fråga dig själv:

  • Befinner sig användaren där den förväntas befinna sig (GSM, geolokalisering, nätverk)?
  • Känns enheten igen?
  • Avspeglar de olika typerna av förfrågningar tidigare beteende?
  • Vilken är risknivån för själva uppgifterna?

Baserat på dessa riskmått kan SSO fungera tillsammans med avancerade autentiseringstyper för att matcha identitetsverifiering med den risken, med multifaktorautentisering vid behov:

  • Erbjuda flera lösenordsfria autentiseringsalternativ, t.ex. fingeravtryck, ansiktsigenkänning, röstigenkänning, "out-of-band push", engångslösenord etc.
  • Avbryt endast konsumenten med en begäran om verifiering när det behövs.
  • Använd en eller flera autentiseringstyper för att uppnå den nödvändiga verifieringsstyrkan.

Single sign-on är bekvämt för konsumenterna, men det innebär också att bekvämlighet och säkerhet balanseras när det används tillsammans med andra autentiseringsmetoder.


Vilka är de vanligaste misstagen vid implementering av SSO?

Både IT-avdelningen och affärsverksamheten bör se det växande värdet av single sign-on som en accelererande kurva. Ju fler inloggningsuppgifter en användare har, desto svårare är det att komma ihåg dem. När verksamheten minskar antalet referenser är det mer sannolikt att användarna följer en sund hantering av referenser.

Samma aggressiva värdekurva drivs av bekvämlighet. Ju mindre du stör användarna, desto mer produktiva (anställda eller entreprenörer) och nöjda (konsumenter) blir de. I idealfallet finns det ett första fingeravtryck, ansiktsigenkänning eller något annat krav när man går in i applikationen eller startar en session och inget mer. Oavsett hur många tjänster eller resurser användarna använder sig av blir de inte avbrutna i sina arbetsuppgifter. På samma sätt gäller att ju mer appen eller webbtjänsten avbryter användaren med en autentiseringsfråga, desto mindre tillfredsställande och kontraproduktivt är det. Av dessa skäl är tekniska beslut eller implementeringar som inte åstadkommer SSO för vanligt förekommande resurser de mest skadliga.

Begränsa autentiseringen till Active Directory (AD)

AD (och även Azure AD) har blivit den primära identitetsleverantören, men de flesta organisationer har viktiga resurser som går utöver detta. Medan yngre eller mindre organisationer kan tycka att AD kompletterat med Microsofts federationslösningar är tillräckligt för att leverera single sign-on, är majoriteten av dem mer heterogena än så.

Beroende uteslutande på teknik för förtroendemodeller

Antagandet av SAML och OIDC har varit utbrett. Men komplicerade miljöer kan oftast inte ge full täckning. Överraskande nog stöder ett antal SaaS-baserade tjänster antingen inte federation eller tar mer betalt för det än vad organisationerna är villiga att betala. Omvänt fyller record/play-teknik eller en centralt hanterad accessgateway luckorna i täckningen av single sign-on.

Missförstå dina användares autentiseringsupplevelse

Ofta känner IT-organisationer inte till de olika användarna som har åtkomst under hela veckan. Utan en tydlig bild kan de inte prioritera vilken resurs de ska lägga till i sin infrastruktur för single sign-on. Dessutom ingår vanligtvis inte tjänster som avdelningar eller affärsområden konsumerar i SSO-planeringen.

OpenText SSO-fördelen

OpenText™:s identitets- & -åtkomsthantering (IAM) erbjuder säker, standardbaserad SSO med:

  • Inbyggt stöd för SAML, OAuth och OIDC.
  • Integration med Active Directory, LDAP och identitetskällor i molnet.
  • Lösenordsfri och adaptiv autentisering.
  • Fördelad tillit mellan B2B- och B2C-ekosystem.
  • Kompatibilitet med moderna Zero Trust-arkitekturer.

OpenText™ NetIQ™ Access Manager, OpenText™ NetIQ™ Identity Foundation och OpenText™ NetIQ™ Advanced Authentication samverkar för att erbjuda en enhetlig och flexibel åtkomstkontroll – för alla användare, enheter och miljöer.


Hur gör OpenText tillhandahålla SSO?

OpenText IAM erbjuder fem olika metoder för att leverera SSO:

OpenText™ NetIQ™ Access Manager

Genom att utnyttja en rad olika teknikererbjuder OpenText™ NetIQ™ Access Manager flera olika sätt att tillhandahålla SSO för alla typer av intranät eller molnbaserade tjänster. Oavsett vilket gränssnitt dina applikationer har – eller inte har – får dina användare (anställda, kunder osv.) snabb och smidig åtkomst. Samtidigt ger OpenText™ NetIQ™ Access Manager dig fullständig åtkomstkontroll med hjälp av dina befintliga processer.
 
Utöver fördelarna med SSO erbjuder OpenText™ NetIQ™ Access Manager åtkomst till webbapplikationer med ett enda klick via ikoner för enkel konfiguration i miniportalen. OpenText™ NetIQ™ Access Manager’s inbyggda miniportal är inte avsedd att ersätta den lösning ni redan har, utan är snarare ett alternativ för dem som saknar en sådan. Portalen är enkel för administratörer att aktivera, konfigurera och underhålla, och dessutom intuitiv för alla användare. OpenText™ NetIQ™ Access Manager’s gränssnitt för snabb åtkomst förbättrar upplevelsen av enkel inloggning.

OpenText™ NetIQ™ Access Manager erbjuder din organisation tre alternativ för att implementera enkel inloggning (SSO) för alla dina moln- och intranätbaserade applikationer:

  • Access gateway - den ultimata accesshanteringen för både åtkomstkontroll och rendering av single sign-on, access gateway är det bästa sättet att leverera en sömlös användarupplevelse över flera tjänster och komplexa miljöer (moln, off-cloud, hybrid).
  • Standardbaserad federation – SAML, OAuth, OpenID Connect, WS-Trust och WS-Federation – OpenText™ NetIQ™ Access Manager stöder dessa applikationer via en förkonfigurerad anslutningskatalog eller verktygslåda, där du kan konfigurera förtroendeförhållandet mellan en autentiseringsleverantör och en tjänsteleverantör.
  • Assistent för enkel inloggning - för den stora mängd små eller specialiserade appar som inte stöder någon typ av federation, SSO-assistenten hanterar dem alla.

OpenText™ NetIQ™ Access Manager gateway

Gatewayen är en omvänd proxy som du kan placera framför vilken resurs som helst, oavsett om den har en egen säkerhetsmodell eller åtkomstkontroller. På så sätt kan du använda samma identitetsleverantör för hantering av inloggningsuppgifter. Precis som assistenten för enkel inloggning erbjuder gatewayen regler för ifyllning av formulär som kan fylla i HTML-formulären. Rutinerna för automatisk ifyllning av formulär genomsöker varje inloggningssida – som dirigeras via åtkomstgatewayen – för att se om de kan fylla i inloggningsuppgifterna automatiskt. Oavsett hur många SSO-tekniker ni använder erbjuder OpenText™ NetIQ™ Access Manager en central plattform för administration och kontroll.

Single Sign-On genom federation

För enkel inloggning via federation låter OpenText™ NetIQ™ Access Manager dig konfigurera en förtroenderelation som kan fungera som identitetsleverantör eller tjänsteleverantör, beroende på dina behov. Du måste också ställa in vilken typ av federation som ska användas (SAML, OAuth, OpenID Connect, WS-Trust eller WS-Federation). Om du använder SAML kan du välja en av de många förkonfigurerade kopplingarna. Om katalogen inte innehåller någon förkonfigurerad SAML-anslutning för den tjänst du vill använda kan du använda verktygssatsen för att konfigurera en egen.

Enkel inloggning via assistenten

För molnbaserade tjänster som är för gamla, små eller primitiva för att stödja federation erbjuder assistenten för enkel inloggning en SSO-upplevelse med minimal ansträngning. Det uppmanar användarna att ladda ner webbläsartillägget som på ett säkert sätt hämtar inloggningsuppgifterna när de spelas in. När assistenten väl är konfigurerad kan användarna utnyttja SSO när de loggar in i applikationen. Det första stället att leta efter färdiga assistentkopplingar är OpenText™ NetIQ™ Access Manager Connector Catalog. Om du inte hittar den kontakt du behöver kan du spela in en egen. OpenText™ NetIQ™ Access Manager uppmanar automatiskt användaren att installera kopplingsprogrammet första gången, varefter programmet hämtar och skickar in användarens inloggningsuppgifter från OpenText™ NetIQ™ Access Manager för automatisk inloggning. När du konfigurerar Basic SSO-anslutningarna för de olika applikationerna anger du vilken anslutning som gäller för den specifika webbplatsen. Basic SSO hämtar användarnas inloggningsuppgifter via ett webbläsartillägg eller en webbläsarextension. Den lagrar användarnas inloggningsuppgifter på ett säkert sätt på identitetsservern och använder aldrig åtkomstgatewayen.

OpenText™ NetIQ™ Avancerad autentisering

OpenText™ NetIQ™ Advanced Authentication erbjuder enkel inloggning (SSO) för användare på Windows-klienter. SSO-stödet omfattar .NET, Java, native-applikationer och webbapplikationer i alla vanliga webbläsare. Det fungerar helt smidigt för slutanvändarna, vilket gör att de kan fokusera på sitt huvudsakliga arbete. Även för fjärranvändare som inte är anslutna till en central katalog fungerar enkel inloggning fortfarande på isolerade bärbara datorer utan internetanslutning. OpenText™ NetIQ™ Advanced Authentication erbjuder även snabb användarväxling, vilket innebär att det snabbt möjliggör enkel inloggning (single sign-on) för kiosker eller delade arbetsstationer. Den kan aktiveras med ett passerkort eller någon annan kontaktlös metod som är snabb, enkel och mycket säker.

OpenText erbjuder fler alternativ för enkel inloggning för organisationer än någon annan leverantör.

Hur kan vi hjälpa till?

Fotnoter