O que é SSO?
O login único (SSO) é uma solução de autenticação que permite que os usuários façam login em várias aplicações e sites com autenticação de usuário única. Como os usuários atuais costumam acessam aplicações diretamente de seus navegadores, as organizações estão priorizando estratégias de gerenciamento de acesso que melhorem a segurança e a experiência dos usuários. O SSO oferece ambos os aspectos, pois os usuários podem acessar todos os recursos protegidos por senha sem logins repetidos depois que sua identidade for validada.
Por que o SSO é importante?
O uso do SSO para simplificar a autenticação dos usuários beneficia as organizações e os próprios usuários de diversas maneiras.
Aumento da segurança da senha
Quando as pessoas não usam o SSO, elas precisam se lembrar de várias senhas para sites diferentes. Isso pode levar a práticas de segurança não recomendadas, como usar senhas simples ou repetitivas para contas diversas. Além disso, os usuários podem esquecer ou digitar incorretamente suas credenciais ao fazer login em um serviço. O SSO evita o excesso de senhas e incentiva os usuários a criarem uma senha forte que possa ser usada para vários sites.
Melhora da produtividade
Geralmente, os funcionários usam mais de uma aplicação empresarial, o que requer autenticação separada. Inserir manualmente o nome de usuário e a senha para cada aplicação é demorado e improdutivo. O SSO simplifica o processo de validação de usuários para aplicações empresariais e facilita o acesso a recursos protegidos.
Redução de custos
Na tentativa de se lembrar de várias senhas, os usuários empresariais podem esquecer suas credenciais de autenticação. Isso resulta em solicitações frequentes para recuperação ou redefinição de senhas, o que aumenta a workload das equipes internas de TI. A implementação do SSO reduz as ocorrências de esquecimentos de senhas e, assim, minimiza os recursos de suporte no tratamento de solicitações de redefinição de senhas.
Melhora da postura de segurança
Ao minimizar o número de senhas por usuário, o SSO facilita a auditoria de acesso do usuário e fornece controle de acesso robusto a todos os tipos de dados. Isso reduz o risco de eventos de segurança direcionados a senhas, enquanto auxilia as organizações no cumprimento dos regulamentos de segurança de dados.
Oferta de uma melhor experiência ao cliente
Os fornecedores de aplicações em nuvem usam o SSO para fornecer aos usuários finais uma experiência de autenticação e gerenciamento de credenciais descomplicada. Os usuários gerenciam menos senhas e ainda podem acessar com segurança as informações e as aplicações de que precisam para concluir seus trabalhos diários.
Como funciona o SSO?
O SSO estabelece confiança entre a aplicação ou o serviço e um provedor de serviços externo, também conhecido como provedor de identidades (IdP). Isso acontece por meio de uma série de etapas de autenticação, validação e comunicação realizadas entre a aplicação e um serviço de SSO centralizado. Veja a seguir os componentes importantes das soluções de SSO.
Serviço de SSO
O serviço de SSO corresponde a um serviço central no qual as aplicações se apoiam quando um usuário faz login. Se um usuário não autenticado solicitar acesso a uma aplicação, ela o redirecionará para o serviço de SSO. Em seguida, o serviço realiza a autenticação e o redirecionamento do usuário à aplicação original. O serviço normalmente é executado em um servidor com política de SSO dedicado.
Token de SSO
O token de SSO corresponde a um arquivo digital que contém informações de identificação do usuário, como nome de usuário ou endereço de e-mail. Quando um usuário solicita acesso a uma aplicação, ela realiza uma troca de token de SSO com o serviço de SSO para autenticar o usuário.
Processo de SSO
Veja a seguir como o processo de SSO ocorre:
- Quando um usuário faz login em uma aplicação, ela gera um token de SSO e envia uma solicitação de autenticação ao serviço de SSO.
- O serviço verifica se o usuário foi previamente autenticado no sistema. Se sim, ele envia uma resposta confirmando a autenticação à aplicação para conceder acesso ao usuário.
- Se o usuário não tiver uma credencial validada, o serviço de SSO o redireciona para um sistema de login central e solicita que ele envie seu nome de usuário e senha.
- Após o envio, o serviço valida as credenciais do usuário e envia a resposta positiva para a aplicação.
- Caso contrário, o usuário receberá uma mensagem de erro e deverá inserir novamente as credenciais. O serviço pode bloquear o usuário de realizar outras tentativas por um determinado período, após várias tentativas falhas de login.
Quais são os tipos de SSO?
Existem diferentes padrões e protocolos que as soluções de SSO usam para validar e autenticar as credenciais do usuário.
SAML
O SAML, ou Security Assertion Markup Language, é um protocolo ou conjunto de regras que as aplicações utilizam para trocar informações de autenticação com o serviço de SSO. O SAML usa XML, uma linguagem de marcação otimizada para navegadores, para trocar dados de identificação do usuário. Os serviços de SSO baseados em SAML oferecem melhor segurança e flexibilidade, pois as aplicações não precisam armazenar credenciais de usuário em seus sistemas.
OAuth
O OAuth, ou Open Authorization, é um padrão aberto que permite que aplicações obtenham acesso seguro às informações do usuário de outros sites sem necessidade de fornecer senhas. Em vez de solicitar senhas de usuário, as aplicações usam o OAuth para obter permissão do usuário para acessar dados protegidos por senhas. O OAuth estabelece confiança entre aplicações por meio de API, a qual permite que a aplicação envie e responda solicitações de autenticação em uma estrutura estabelecida.
OIDC
O OpenID é uma maneira de usar um único conjunto de credenciais de usuário para acessar vários sites. Ele permite que o provedor de serviços assuma o papel de autenticar as credenciais do usuário. Em vez de passar um token de autenticação para um provedor de identidade terceirizado, as aplicações Web usam o OIDC para solicitar informações adicionais e validar a autenticidade do usuário.
Kerberos
O Kerberos é um sistema de autenticação baseado em tickets que permite que duas ou mais partes verifiquem mutuamente suas identidades na rede. Ele usa criptografia de segurança para impedir o acesso não autorizado às informações de identificação transmitidas entre o servidor, os clientes e o centro de distribuição de chaves.
O SSO é seguro?
Sim, o SSO é uma solução de gerenciamento de acesso de identidade avançada e recomendável. Quando implantada, uma solução de logon único ajuda as organizações no gerenciamento do acesso de usuários em aplicações e recursos empresariais. Uma solução de SSO facilita que os usuários da aplicação configurem e memorizem senhas fortes. Além disso, a equipe de TI pode usar a ferramenta de SSO para monitorar o comportamento do usuário, melhorar a durabilidade do sistema e reduzir os riscos de segurança.
Como o SSO se compara a outras soluções de gerenciamento de acesso?
Existem várias soluções de gerenciamento de identidade e acesso as quais você pode escolher, dependendo de suas necessidades.
Gerenciamento de identidades federadas
O gerenciamento de identidades federadas (FIM) é uma estrutura digital que permite que várias aplicações de diferentes fornecedores compartilhem, gerenciem e autentiquem a identidade do usuário. Por exemplo, o FIM permite que seus funcionários façam login em uma aplicação e, em seguida, acessem diversas outras aplicações empresariais sem a necessidade de fazer login novamente. O FIM autentica a credencial enviada pelo provedor de serviços com um provedor de identidade confiável.
SSO versus gerenciamento de identidades federadas
O gerenciamento de identidades federadas é uma solução abrangente de autenticação e gerenciamento de identidades para aplicações entre domínios. Enquanto isso, o logon único (SSO) é uma funcionalidade específica do modelo de FIM. Enquanto o FIM permite que os usuários acessem serviços de diferentes fornecedores com um único login, o SSO é limitado a aplicações ou serviços hospedados por um único fornecedor.
Mesmo logon
O mesmo logon, que também leva a sigla SSO em inglês, é uma solução digital que armazena e sincroniza as credenciais do usuário em dispositivos acessados por ele. É semelhante a cofres de senhas ou gerenciadores de senhas que permitem que os usuários entrem em diversos aplicativos e em dispositivos diferentes sem a necessidade de se lembrarem das credenciais.
Logon único versus mesmo logon
Os sistemas de logon único exigem uma autenticação de uso único do usuário. Uma vez que o login é realizado, o usuário pode acessar outras aplicações e serviços Web sem a necessidade de se autenticar novamente. Enquanto isso, o mesmo logon exige que o usuário repita o processo de logon todas as vezes, mas utilizando as mesmas credenciais de autenticação.
Autenticação multifator
A autenticação multifator é uma estrutura de autenticação de usuário que utiliza duas ou mais tecnologias para verificação da identidade do usuário. Por exemplo, os usuários inserem seu endereço de e-mail e senha em uma página da Web e digitam uma senha de uso único (OTP) enviada ao celular para permitir o acesso seguro.
SSO versus autenticação multifator
O SSO possibilita que as organizações simplifiquem e reforcem a segurança das senhas ao permitir o acesso a todos os serviços conectados com um único login. A autenticação multifator fornece camadas de segurança adicionais para reduzir a possibilidade de acesso não autorizado por meio de credenciais roubadas. Tanto o SSO quanto a autenticação multifator podem ser integrados para melhorar a postura de segurança das aplicações Web.
Como a AWS pode auxiliar o SSO?
O Centro de Identidade do AWS IAM é uma solução de autenticação em nuvem que permite que as organizações criem ou conectem com segurança as identidades de seus funcionários, bem como gerenciem o acesso a contas e aplicações da AWS de maneira centralizada. Você pode criar identidades de usuário ou importá-las de provedores de identidade externos, como o Okta Universal Directory ou o Azure. Alguns benefícios do Centro de Identidade do AWS IAM incluem:
- Um painel central para gerenciamento de identidades para sua conta da AWS ou aplicações empresariais.
- Suporte de autenticação multifator para fornecimento de uma experiência de autenticação altamente segura para os usuários.
- Suporte de integração com outras aplicações da AWS para autenticação e autorização sem necessidade de configuração.
Comece a usar o SSO na AWS criando uma conta gratuita da AWS hoje mesmo.
Próximas etapas do AWS SSO
Obtenha acesso instantâneo ao nível gratuito da AWS.