}

Wat is Single Sign-On?

Wat is Single Sign-On (SSO)?

Single Sign-On, kortweg SSO, is dat eindgebruikers zich eenmalig hoeven in te loggen. De SSO-software zorgt er daarna voor dat authenticatie tot andere applicaties automatisch verloopt.

Jaren geleden was een kleine set applicaties alles wat een gebruiker nodig had om zijn werk te doen. Tegenwoordig maken organisaties gebruik van tientallen tot vele honderden applicaties. De gemiddelde eindgebruiker heeft dagelijks wel 9 verschillende wachtwoorden en gebruikersnamen nodig om in te loggen en zijn werk te kunnen doen [1]. Dat is frustrerend en leidt tot onveilige situaties: zo komt het bijvoorbeeld vaak voor dat eindgebruikers hun wachtwoorden op post-its opschrijven en onder hun toetsenbord bewaren.

De toename van het aantal applicaties zou niet vervelend hoeven zijn voor de eindgebruiker als dezelfde inloggegevens gebruikt kunnen worden voor alle applicaties. Dit is in de praktijk niet wenselijk, want als de logingegevens uitlekken dan is er direct een groot beveiligingsrisico voor alle applicaties die dezelfde logingegevens gebruiken.

Deze obstakels en veiligheidsrisico’s hebben geleid tot het concept Single Sign-On.

De voor en nadelen van Single Sign-On:

  • Eenvoud voor de eindgebruiker
  • De eindgebruiker is productiever
  • Betere beveiliging van het netwerk
  • Minder wachtwoord reset aanvragen bij de IT-helpdesk
  • Lagere servicedesk kosten

Het risico van Single Sign-On is dat wanneer je eenmaal ingelogd bent je overal toegang toe hebt. Het wordt daarom sterk aanbevolen om elke SSO-oplossing te combineren met een extra niveau van authenticatie (Two Factor Authentication).

Hoe functioneert Single Sign-On?

Het basisidee van SSO is dat elke toepassing die een persoon nodig heeft toegankelijk is door zich eenmalig bekend te maken. Applicaties moeten dus op een of andere manier weten dat je al gevalideerd bent. Met een goede SSO-oplossing hebben moderne applicaties geen kopie van de inloggegevens, maar vertrouwen die eenvoudig op wat een identiteitsprovider (IdP) wordt genoemd.

Voordat we toelichten hoe dit werkt, behandelen we eerst de terminologie en bijbehorende definities.

Om een applicatie te gebruiken of toegang te krijgen tot een beveiligd netwerk, moet je jezelf kunnen identificeren. Dit gebeurt vaak met een combinatie van een unieke gebruikersnaam en een wachtwoord. De combinatie van een gebruikersnaam en wachtwoord is een vorm van authenticatie.

Identiteitsprovider (IdP):
Dit is waar inloggegevens worden opgeslagen. Alle authenticatie gebeurt hier. Een identiteitsprovider kan bijvoorbeeld de lokale Active Directory zijn, Azure AD of bijvoorbeeld onze Cloud IDaaS oplossing HelloID.

Serviceprovider (SP):
Dit is het systeem of toepassing waartoe een gebruiker toegang heeft en die verificatie vereist. Wanneer een gebruiker een toepassing opent, praten de service- en identiteitsproviders met elkaar om de identiteit van de gebruiker te verifiëren. Als de identiteitsprovider de gebruiker positief identificeert, worden ze toegelaten tot de toepassing.

Bewering:
Een bewering is een pakket met informatie dat wordt verzonden van de IdP naar de SP. De inhoud van een bewering varieert per SSO-protocol (bijvoorbeeld SAML, OAuth of OpenID), maar bevat meestal de unieke ID, naam en verschillende andere attributen. Deze is ondertekend en gecodeerd door een certificaat waartoe zowel de IdP als de SP toegang hebben. Hiermee kan de SP ervoor zorgen dat de informatie afkomstig is van een vertrouwde bron.Om een ​​applicatie te gebruiken of toegang te krijgen tot een beveiligd netwerk, moet je jezelf kunnen identificeren. Dit gebeurt vaak met een combinatie van een unieke gebruikersnaam en een wachtwoord. De combinatie van een gebruikersnaam en wachtwoord is een vorm van authenticatie.

Hoe werkt Single Sign-On?

Makkelijk gezegd werkt SSO door een gevestigd vertrouwen tussen de identiteitsprovider (IdP) en de serviceprovider (SP). Dit betekent dat wanneer de IdP zegt dat de persoon die de applicatie gebruikt ‘Jan Jansen’ is, de SP dit gelooft en de gebruiker onder het account van ‘Jan Jansen’ logt.

Dit vertrouwen wordt vastgesteld door de beheerder van de systemen. Informatie van de IdP wordt doorgegeven aan de SP samen met een certificaat en vice versa. Wanneer een gebruiker een toepassing opent, gebruikt de IdP het certificaatteken en codeert een bewering. Deze bewering wordt vervolgens verzonden naar de SP in plaats van de inloggegevens van de gebruiker. De SP zorgt ervoor dat dit wordt ontcijferd en geverifieerd.

Door deze vertrouwensrelatie tot stand te brengen hoeven SP’s geen inloggegevens logisch op te slaan.

Hoe werkt Single Sign-On in de praktijk?

Bovenstaand is toegelicht hoe SSO in het algemeen kan functioneren. Maar hoe werkt dit in de praktijk: hoe gaat een gebruiker om met het openen van een applicatie en hoe weet een SP dat hij moet controleren met de IdP?

De meeste Single Sign-On IdP’s worden geleverd met toepassingsportals. Dit zijn vaak webgebaseerde applicaties waar gebruikers overal ter wereld toegang toe hebben. Zodra een gebruiker zich met zijn inloggegevens bij het portaal aanmeldt, krijgt hij toegang tot alle applicaties en resources die hij nodig heeft om zijn werk uit te voeren. Nadat de gebruiker een toepassing heeft gekozen, wordt een SSO-bevestiging naar de SP gestuurd met de informatie van de gebruiker. Als de bewering wordt geaccepteerd, wordt de gebruiker naar de toepassing gebracht en kan hij direct aan slag! Dit type SSO-activiteit wordt 'IdP geïnitieerd' genoemd, omdat het afkomstig is van de identiteitsprovider (IdP) zelf.

Maar wat als de gebruiker niet eerst naar het portaal gaat? Wat gebeurt er bijvoorbeeld als hij via zijn browser direct naar Gmail gaat? In dergelijke gevallen weet de SP wat hij moet doen op basis van de gebruikersnaam of het emaildomein van de gebruiker. In plaats van referenties slaat de SP de informatie van de IdP op en weten ze waar ze de authenticatieaanvraag moeten routeren. Dit type verzoek wordt "SP Initiated" genoemd, omdat het SSO-verzoek afkomstig was van de serviceprovider (SP).

SSO in de praktijk

[1] https://www.businesswire.com/news/home/20170918005033/en/Information-App-Overload-Hurts-Worker-Productivity-Focus