Wat je moet weten over Single Sign-On (SSO)

5 minuten, 38 seconden leestijd vrijdag 8 maart 2019 Veiligheid

Single Sign-on of SSO is een manier om het inlogproces te vereenvoudigen. Zo hoeft men niet voor elke applicatie opnieuw in te loggen. Door een enkele maal in te loggen krijgt men automatisch toegang tot de uiteenlopende applicaties binnen het netwerk. Eigenlijk logt men dan in op een centrale server waarin andere services zijn geïntegreerd. Gebruiksgemak ligt voornamelijk aan de basis, hoewel Single Sign-On nog een aantal andere belangrijke voordelen biedt.

Het bestaansrecht van Single Sign-On (SSO)

De laatste jaren doen steeds meer applicaties hun intrede. Gelukkig maar, want zij helpen ons efficiënter te werken. Anderzijds bracht dat een belangrijk nadeel met zich mee: het voortdurend inloggen door medewerkers. Door te kiezen voor Single Sign-On wordt dat nadeel echter vrij eenvoudig buitenspel gezet.

Hiernaast houdt Single Sign-On ook belangrijke voordelen in voor de systeembeheerder. In een kleine onderneming of bij een beperkt aantal applicaties lukt het organiseren van handmatig toegangsbeheer nog net, maar bij grote organisaties wordt dat al snel een zootje. Single Sign-On is dan een ideaal hulpmiddel om niet in chaos te vervallen. Door het aantal inlogprocedures te beperken is het eenvoudiger om toe te zien op rechtenbeheer en beveiliging.

Eenmalige aanmelding: wat is dat?

Bij SSO ligt een eenmalige aanmelding aan de basis. Eigenlijk behoeft dat dan ook weinig verduidelijking. In het geval van SSO hoeft men maar één keer in te loggen en dit met één set credentials. Aan de hand van het SAML-protocol (Security Assertion Markup Language) wordt vervolgens de beveiligingsformatie met andere systemen uitgewisseld.

Gebruikers hoeven dus niet tientallen gebruikersnamen en wachtwoorden te onthouden die ze op verschillende momenten dienen in te geven. Bij een eenmalige aanmelding biedt een enkele inlogprocedure toegang tot alle services die in de centrale server zijn geïntegreerd.

Het klinkt misschien heel innovatief, maar eigenlijk ken je het concept al langer. Steeds meer online applicaties maken bijvoorbeeld gebruik van jouw Facebookaccount om snel in te loggen. Zo hoef je niet telkens opnieuw een account aan te maken en individuele inloggegevens te onthouden. En ook wanneer je op jouw Windows-pc inlogt, meld je je meteen aan op andere netwerkvoorzieningen.

Voordelen van de eenmalige aanmelding bij SSO

Single Sign-On of SSO heeft uiteraard een aantal belangrijke voordelen te bieden. Eerder hadden we het bijvoorbeeld al over de efficiëntie waar zowel de gebruiker als de systeembeheerder van genieten. Toch stoppen de voordelen van SSO ook daar niet. Hieronder zijn de belangrijkste voordelen van Single Sign-On weergegeven.

Een eerste en misschien wel het belangrijkste voordeel van SSO is de eenvoudige schaalbaarheid ervan. Omdat een en ander wordt geautomatiseerd, moet de systeembeheerder niet steeds handmatig de toegang verzorgen door telkens credentials aan te maken. Zo loopt de beheerder minder snel tegen menselijke beperkingen aan, zelfs wanneer er tien nieuwe applicaties het levenslicht zien. Uiteraard beperkt dit ook het risico op menselijke fouten.

In de tweede plaats kunnen we het hebben over de productiviteitsvoordelen die uit Single Sign-On voortvloeien. SSO resulteert immers in een tijdsbesparing, waardoor de productiviteit van medewerkers toeneemt.

Een ander belangrijk voordeel is de verlaging van de toegangsrisico's. Services van derden kunnen immers enkel worden gebruikt in combinatie met de referenties van een medewerker. Toch kan elke vorm van authenticatie voor elke service van derden worden gebruikt. Natuurlijk moet het dan wel compatibel zijn met het centrale authenticatiesysteem. Overigens kan de beheerder eenvoudig een beperkt bereik toevoegen aan de interne accounts van alle medewerkers. Zo hoeft de marketeer echt geen financiële cijfers in te kijken. Even instellen en dergelijke informatie blijft voor hem zo gesloten als een oester.

Volgens sommigen resulteert SSO tot slot ook in een verbeterde veiligheid. Omdat tientallen wachtwoorden niet noodzakelijk zijn, opteren medewerkers immers sneller voor complexere wachtwoorden. Zo'n voordeel kan inderdaad genoemd worden, maar toch vinden wij van DesktopToWork het aangewezen om ook andere veiligheidsvoorzieningen te treffen. Denk hierbij met name aan de introductie van MFA. Dankzij MFA of Multi Factor Authentificatie voorkom je immers dat iemand anders met een enkele gebruikersnaam of wachtwoord toegang zou krijgen tot alle services. En enkel dat is wat ons betreft een upgrade voor de online veiligheid binnen jouw onderneming.

Welke SSO-providers zijn er?

Het lijstje met veelgebruikte SSO-providers bevat meer dan dertig verschillende namen. Dat maakt de keuze natuurlijk niet eenvoudiger. Je kan immers niet de kool en de geit sparen.

De meeste organisaties kiezen ervoor om hun SSO in te stellen met een directoryservice. Zij komen al snel uit bij Active Discovery van Microsoft, maar ook hier bestaan er een aantal alternatieven. Uiteraard kan je ook nog steeds kiezen voor de zogenoemde oAuth-services, waarbij je echter wel afhankelijk bent van externe diensten.

Microsoft Active Directory en LDAP

Microsoft Active Directory wordt voornamelijk gebruikt bij Windows-systemen. Het LDAP-protocol , dat door Active Directory wordt ondersteund en we onder andere ook kennen van OpenAthens en Keycloack, is dan ook de meest gebruikelijke manier om de toegang tot de directoryservice in te stellen. LDAP of Lightweight Directory Access Protocol is een gestandaardiseerd protocol dat bovendien ook leverancier-neutraal is.

Wanneer een medewerker zich bij een applicatie wil aanmelden, geeft de medewerker zijn interne inloggegevens op. Deze inloggegevens worden naar de LDAP-server verzonden, waar wordt nagegaan of men wel over de vereiste kenmerken beschikt. Is dit het geval? Dan gaat men over tot de verificatie.

oAuth-services en externe afhankelijkheid

Waar een LDAP-server helpt om de touwtjes in handen te houden, geldt bij oAuth-services het omgekeerde. Via dergelijke oAuth-services kan je inloggen via derde partijen zoals Facebook of Google. Het voordeel van oAuth-services is de eenvoud waarmee men kan registreren of inloggen. Vooral applicaties die het grote publiek aanspreken, kunnen er de vruchten van plukken.

Toch zijn er aan zo'n oAuth-services ook een aantal nadelen verbonden. De afhankelijkheid, het verlies van controle en het feit dat dergelijke services in sommige omgevingen kunnen worden geblokkeerd, zijn daar slechts enkele voorbeelden van.

Is Single Sing-On (SSO) ook voor jou een goed idee?

Op deze vraag is geen pasklaar antwoord mogelijk. Eigenlijk is alles ook gewoon afhankelijk van de eisen die binnen de organisatie worden gesteld. De praktijk leert ons dat vooral grotere ondernemingen met uiteenlopende applicaties, gescheiden afdelingen en talloze medewerkers, opteren voor SSO. Maar dat is zeker geen onweerlegbare theorie, integendeel.

Hiernaast is ook de keuze voor een SSO-provider afhankelijk van dergelijke factoren. Een gedegen onderzoek naar de best geschikte verificatiemechanismen is hoe dan ook een must. Bovendien dient men na te gaan of andere ingrepen, zoals de introductie van MFA, al dan niet noodzakelijk zijn. Een goede voorstudie dringt zich met andere woorden al snel op.

Meer weten over de geschiktheid van SSO? Dan komen we graag bij jou op de koffie en bespreken we samen de mogelijkheden.

Jasper Spaan Geschreven door Jasper Spaan op
vrijdag 8 maart 2019
Veiligheid

Volg ons


Werk beter. Leef beter. Hoe maken wij onze beloftes waar?

Door te hard te werken.

Online Desktop

Online Desktop

Wij maken in de cloud werken mogelijk. Zo werk je overal en ben je steeds bereikbaar. Uiteraard sleutelen we ook aan de vereenvoudiging van de processen. Waardoor je nog productiever bent!

Lees meer!
Office 365

Office 365

Via DesktopToWork kan je nu ook werken in de cloud met Office. En dit zonder dat je zelf hoeft te investeren in licenties en hardware. Niet alleen verlaag je de downtime, bovendien maak je gebruik van extra mogelijkheden. Denk maar onze uitgebreide support.

Lees meer!
VoIP en Mobiel

VoIP en Mobiel

De Online Werkplek vergt flexibiliteit. Door te kiezen voor VoIP introduceer je de vrijheid waar iedereen naar hunkert. Zo is eenieder overal bereikbaar, net zoals ook de klant het vraagt. En daar pluk je als bedrijf de voordelen van.

Lees meer!
Connectiviteit

Connectiviteit

Bij DesktopToWork verbinden we de voordelen van de cloud met die van een flexibele werkplek. Voor ons is verbinden nu eenmaal belangrijk. En daarom kennen we er alles van. Wij selecteren voor jou de beste internetlijn en leveren optimale netwerk- en wifi-oplossingen. Waardoor je voortdurend razendsnel werkt.

Lees meer!