Het zal je niet ontgaan zijn: het gebruik van Single Sign-On methodes groeit hard en miljoenen mensen gebruiken dit wereldwijd al op hun mobiel. Maar hoe zit het met bedrijven en de SSO in hun digitale werkplek? Hier maken we onderscheid in Single Sign-On naar de digitale werkplek toe en SSO naar de applicaties binnen de digitale werkplek. In deze blog ontdek je welke methodes jij het beste kunt gebruiken om applicaties in één klik toegankelijk te maken.
Wanneer je een applicatie Single Sign-On toegankelijk wilt maken kun je kiezen uit verschillende authenticatiemogelijkheden. Authenticatie is het proces waarbij er gecontroleerd wordt of jij bent wie jij zegt dat je bent. Federated SSO, een op token gebaseerde SSO, is daarbij veiligste methode. Deze SSO-oplossingen maken gebruik van de identiteitsprovider (IdP) van de organisatie, zoals bijvoorbeeld Azure Active Directory (Azure AD). In de IdP staat al jouw informatie opgeslagen, zoals gebruikersnamen, wachtwoorden en tot welke domeinen mensen toegang hebben, maar ook tot welke onderdelen mensen toegang hebben in bijvoorbeeld een applicatie. Zo kan het zijn dat je toegang hebt tot het bekijken van statistieken, maar niet tot het bewerken ervan.
Bij federated SSO hebben meerdere organisaties een 'federatie' (samenwerking) met elkaar gesloten. Dit betekent dat die organisaties gebruik maken van elkaars systemen om mensen te authenticeren. In de praktijk komt het erop neer dat je met hetzelfde account bij verschillende applicaties kunt inloggen. Dit account wordt namelijk door de andere organisaties vertrouwd. Hierdoor hoef je niet voor iedere applicatie een nieuw wachtwoord aan te maken omdat je de applicatie koppelt aan een bestaand account.
Voor het SSO ontsluiten van een applicatie is het het handig om een SSO-provider te kiezen. Enkele bekende aanbieders zijn Azure AD, Okta, NETIQ, HelloID en SecureLogin. Zij ontzorgen je in het SSO ontsluiten van applicaties. Deze SSO-providers hebben vaak een galerij met applicaties die zij ondersteunen. De applicaties van bovenstaande SSO-providers kun je ook toevoegen aan Workspace 365. Deze flowchart van Microsoft helpt je bij het bepalen van de juiste Single Sign-On methode voor jouw situatie.
Zoals te zien is in de flowchart zijn er veel verschillende Single Sign-On methodes. Een aantal hiervan dienen als federated/token gebaseerde SSO. OAuth en SAML worden in de praktijk het meest toegepast. De applicaties die met OAuth of SAML ondersteund zijn, vind je vaak terug in de galerij bij de SSO-provider. Maar hoe werkt de techniek achter deze Single Sign-On methodes?
OAuth (Open Authorisation)
Je herkent het waarschijnlijk wel: je wilt inloggen bij een website en krijgt de keuze om in te loggen met een account van een andere website, zoals Facebook of Microsoft. Vervolgens handelt die andere site, bijvoorbeeld Facebook, de authenticatie af. De website die je bezoekt, logt je in op het moment dat zij toestemming gekregen hebben via Facebook. Facebook heeft dus een federatie gesloten met de website waar jij wilt inloggen.
Een ander voorbeeld is dat wanneer jij je browser opent en inlogt bij een website, je de keren daarna automatisch ingelogd blijft, indien je dezelfde website of applicatie opent via die browser. Dit komt doordat elke keer wanneer jij je browser opent, deze een toegangstoken krijgt. Deze toegangstoken is enkel geldig voor een bepaalde tijd. Binnen die tijd kun je onbeperkt inloggen. Wanneer deze verlopen is, moet je weer opnieuw inloggen.
De achterliggende techniek is OAuth en heeft de volgende voordelen:
SAML is een systeem dat jou helpt toegang te krijgen tot applicaties die jij nodig hebt. Het is de schakel tussen de identificatieprovider en serviceprovider. Als gebruiker log jij één keer (SSO) in bij de identiteitsprovider (bijvoorbeeld Azure AD) en vervolgens kan de identiteitsprovider al jouw informatie doorgeven aan de serviceprovider wanneer jij probeert toegang te krijgen tot die diensten. De serviceprovider gaat bij de identiteitsprovider na of jij bent wie je zegt dat je bent. Beide systemen communiceren met SAML en daarom hoef jij als gebruiker maar één keer in te loggen. Daarnaast heeft SAML de volgende voordelen:
Het kan voorkomen dat je een applicatie SSO wilt ontsluiten in je werkplek, maar deze niet wordt ondersteund door de SAML of OAuth methode en ook niet in de applicatie galerij van de SSO-provider staat. Je kunt dan gebruik maken van de volgende methode:
Password-based SSO geeft de mogelijkheid om beveiligd een applicatie wachtwoord op te slaan. Vervolgens communiceert een webbrowser extensie dit wachtwoord naar de applicatie. Dit verlengt het inlogproces van de applicatie, maar geeft beheerders de mogelijkheid om de wachtwoorden te beheren, wat een voordeel kan zijn.
Een nadeel van Password-Based SSO is dat er een plugin nodig is (van bijvoorbeeld Azure AD). Deze plugin neemt de inlogvelden over zoals username, password en de submit button en hierdoor kan de plugin in je browser (bijna) alle websites SSO maken. Ook zonder dat je ingewikkelde koppelingen hoeft te maken. Het gebruik van een plugin werkt niet op mobiele apparaten, maar vaak heeft de SSO Provider hier een alternatief voor, in het geval van Azure AD kun je gebruik maken van de Intune Managed Browser. Hierin zit de plugin verwerkt en kan je ook op mobiele apparaten gebruik maken van Password-Based SSO.