O que é o SSO da Web e como ele funciona?

Publicados: 2019-08-12

O usuário corporativo médio, de acordo com a Security Magazine, gerencia 191 senhas para uso profissional e outras dezenas para uso privado. Uma organização com 50.000 funcionários pode ter até 10 milhões de senhas em uso por seus funcionários. Com tantas senhas, as brechas de segurança que proliferam de ataques cibernéticos vêm principalmente de vulnerabilidades causadas por senhas.

Os riscos vêm de senhas muito simples, fáceis de adivinhar, usadas para mais de um sistema e não alteradas com frequência suficiente. As melhores práticas de segurança incluem não usar a mesma senha em vários sistemas. A maioria dos profissionais conhece essa regra. No entanto, 61% dos usuários corporativos médios admitem usar a mesma senha em todos os lugares.

Outro problema desse inchaço de senhas é que os funcionários perdem uma quantidade enorme de tempo digitando senhas.

Uma solução para o problema de gerenciamento de senhas é eliminar a necessidade de usar tantas. Em vez de usar um grupo de senhas para acessar diferentes serviços online, é possível usar um método de autenticação centralizado que vem de um sistema de “log-on único baseado na web” (Web SSO).

O que é Web SSO?

Um sistema de SSO da Web permite que um usuário faça login usando o serviço da Web de SSO com um conjunto de credenciais para autenticação, que são um nome de usuário e uma senha exclusivos. Então, essa autenticação permite que eles acessem muitos outros aplicativos baseados na Web e sites protegidos por senha.

Serviços online e sites que permitem SSO para autenticação dependem de um provedor terceirizado confiável para verificar a identificação dos usuários.

Como funciona o logon único na Web?

Um sistema de logon único da Web depende de uma relação de confiança entre sistemas online e sites.

Aqui estão as etapas que são executadas pelos sistemas SSO da Web para autenticação quando um usuário faz logon em um serviço online ou em um site protegido por senha:

  1. Verificar Login : O primeiro passo é verificar se o usuário já está logado no sistema de autenticação. Se o usuário estiver conectado, o acesso será concedido imediatamente. Caso contrário, o usuário é direcionado ao sistema de autenticação para fazer login.
  2. Login do usuário : Para cada sessão, o usuário deve primeiro entrar no sistema de autenticação com um nome de usuário e senha exclusivos. O sistema de autenticação usa um token para a sessão que permanece em vigor até que o usuário faça logout.
  3. Confirmação de autenticação : Após o processo de autenticação, as informações de autenticação são passadas para o serviço web ou site solicitando a verificação do usuário.

Web SSO vs. Cofre de senha

O SSO da Web é diferente de ter um cofre seguro de senhas diferentes para vários serviços online. A proteção de senhas está protegendo várias senhas com um único nome de usuário e senha. No entanto, cada vez que um usuário acessa um novo serviço online, isso requer um login no serviço. Mesmo que os campos do formulário sejam preenchidos automaticamente a partir do cofre de senhas, ainda é necessário um processo de login.

Com o SSO da Web, uma vez que um usuário é autenticado, não há necessidade de entrar em nenhum serviço da Web que use esse sistema de autenticação. Isso é chamado de processo de autenticação “entrar uma vez/usar todos”.

Criando uma solução de login único do zero

Para alguns usos, é possível criar uma solução simples de login único a partir do zero. Um exemplo do código-fonte usando Java é fornecido em codeburst.io para aqueles que desejam experimentar esse método. Funciona usando tokens. Um token é um conjunto de caracteres aleatórios e únicos criados para uso único que são difíceis de adivinhar.

O login de um usuário no sistema SSO da web cria uma nova sessão e um token de autenticação global. Este token é dado ao usuário. Quando esse usuário acessa um serviço da Web que requer um login, o serviço da Web obtém uma cópia do token global do usuário e verifica com o servidor SSO para ver se o usuário está autenticado.

Se o usuário já tiver feito login no sistema SSO, o token será verificado como autêntico pelo servidor SSO, que retornará outro token ao serviço da Web com as informações do usuário. Isso é chamado de token local. A troca de tokens é feita automaticamente em segundo plano sem o envolvimento do usuário.

Soluções populares de login único para sites

Para usos mais avançados, existem muitas soluções robustas de login único disponíveis. A autenticação usando as soluções de logon único do site inclui esses sistemas populares de SSO baseados na Web revisados ​​pelo Capterra:

  • Última passagem
  • ADSelfService Plus
  • Nuvem de acesso de última geração
  • SAP Single Sign-On
  • JumpCloud DaaS
  • OneSign
  • Empresa Blulink
  • SecureAuth
  • Perfil de SSO do navegador da Web SAML
  • OpenID

Benefícios do SSO da Web

O logon único baseado na Web é útil porque é conveniente. É mais fácil, rápido e as solicitações de ajuda por senha são reduzidas. Os usuários não precisam se lembrar de várias senhas e não precisam mais entrar em cada serviço baseado na Web individualmente.

Um exemplo popular de SSO na web está disponível para qualquer titular de conta do Google Gmail. Com um único login no Gmail, esses usuários obtêm acesso a todos os produtos do Google, que são disponibilizados para o usuário sem precisar fazer login novamente até que eles saiam de sua conta do Gmail. A abertura do Gmail permite que esses usuários tenham acesso instantâneo ao Google Drive, Google Fotos, Google Apps e sua versão personalizada do YouTube.

Com o SSO da Web, o tempo que seria desperdiçado para entrar nos vários serviços é recuperado. Reclamações sobre problemas de senha são praticamente eliminadas para serviços da web. O processo de conexão com serviços online funciona de forma eficiente em todos os dispositivos, incluindo o móvel, o que melhora a produtividade.

Gerenciamento de acesso de identidade em toda a empresa

O SSO baseado na Web pode ser usado por uma grande organização para autenticação. O SSO da web permite um único login para o usuário acessar dados privados da empresa e sistemas em rede, bem como usar recursos online fornecidos por outras entidades que aceitam os mesmos protocolos de autenticação.

Integração SSO com Serviços Populares de Bases da Web

Os serviços externos de inscrição/login único oferecem integração com muitos aplicativos populares baseados na Web, como Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk e muito mais.

Facebook e Google oferecem integração SSO com milhares de sistemas baseados na web. Sempre que um usuário quiser se inscrever em um novo serviço que tenha esse recurso de integração de SSO, a tela de inscrição/login oferecerá um processo de login usando informações do SSO do Facebook, SSO do Google ou um não SSO opção usando a conta de e-mail de um usuário como nome de usuário e uma senha escolhida pelo usuário.

Integração de SSO da Web com Serviços em Nuvem

Os serviços em nuvem têm seus métodos de gerenciamento de acesso de usuários em nuvem e também podem aceitar autenticação de sistemas de terceiros. Por exemplo, a Amazon Web Services (AWS), que é a maior provedora de serviços em nuvem do mundo, oferece seu sistema de gerenciamento de acesso de identidade dentro da AWS e permite a autenticação de usuários por sistemas de terceiros.

A conexão feita com os sistemas de terceiros é feita por meio do conector AWS IAM Authenticator. Esse recurso permite que os administradores do sistema escolham entre muitos serviços que fornecem SSO da web, como a conexão feita com o Amazon EKS ao Kubernetes ou Github de código aberto.

Riscos de segurança do logon único baseado na Web

Existem ferramentas para melhorar a segurança do IAM que ajudam as empresas a gerenciar o risco. O SSO da Web reduz alguns riscos enquanto aumenta outros riscos.

Por exemplo, os ataques de phishing são menos eficazes porque quando um usuário está sendo enganado por uma cópia falsa de um site, ele não faz logon fornecendo um nome de usuário e senha. Se o site for falso, ele não é confiável para o servidor SSO e não obtém um token de sessão local se tentar enviar um token de usuário global para solicitá-lo. Nesse caso, o logon do site falso falhará automaticamente, o que protege o usuário de ser enganado pela tentativa.

O risco aumentado pode vir de ter um único nome de usuário e senha para o sistema de autenticação SSO. Esses dados confidenciais precisam ser extremamente bem protegidos porque, se forem roubados, podem ser usados ​​para fazer login em muitos serviços online.

Estratégias de títulos com base em uma política de confiança zero, como autenticação multifator, redefinições automáticas de senha, exigir senhas complexas diferentes para cada redefinição de senha e controles de acesso ao dispositivo são úteis para aumentar a segurança do sistema SSO

Conclusão

Web SSO é muito conveniente e amplamente utilizado. No entanto, todos os sistemas de SSO da Web não são criados igualmente. A seleção cuidadosa do provedor de autenticação SSO é a primeira regra de uso desse tipo de autenticação. Qualquer violação de dados desse terceiro pode expor credenciais de login que podem acessar muitos sistemas online potencialmente causando sérios danos.

Os CTOs e administradores de TI são incentivados a realizar revisões regulares de segurança de TI de seus procedimentos de autenticação de SSO e seguir uma estratégia de confiança zero. Uma análise de segurança abrangente inclui uma avaliação de segurança detalhada de quaisquer terceiros que forneçam serviços de autenticação.