Digitale werkplek
Leestijd 5 min
31 oktober 2019

Welke Single Sign-On (SSO) methodes bieden toegang tot applicaties binnen jouw digitale werkplek?

Kelly van der Horst
digitale werkplek

Het zal je niet ontgaan zijn: het gebruik van Single Sign-On methodes groeit hard en miljoenen mensen gebruiken dit wereldwijd al op hun mobiel. Maar hoe zit het met bedrijven en de SSO in hun digitale werkplek? Hier maken we onderscheid in Single Sign-On naar de digitale werkplek toe en SSO naar de applicaties binnen de digitale werkplek. In deze blog ontdek je welke methodes jij het beste kunt gebruiken om applicaties in één klik toegankelijk te maken.

Federated Single Sign-On (SSO)

Wanneer je een applicatie Single Sign-On toegankelijk wilt maken kun je kiezen uit verschillende authenticatiemogelijkheden. Authenticatie is het proces waarbij er gecontroleerd wordt of jij bent wie jij zegt dat je bent. Federated SSO, een op token gebaseerde SSO, is daarbij veiligste methode. Deze SSO-oplossingen maken gebruik van de identiteitsprovider (IdP) van de organisatie, zoals bijvoorbeeld Azure Active Directory (Azure AD). In de IdP staat al jouw informatie opgeslagen, zoals gebruikersnamen, wachtwoorden en tot welke domeinen mensen toegang hebben, maar ook tot welke onderdelen mensen toegang hebben in bijvoorbeeld een applicatie. Zo kan het zijn dat je toegang hebt tot het bekijken van statistieken, maar niet tot het bewerken ervan.

Bij federated SSO hebben meerdere organisaties een 'federatie' (samenwerking) met elkaar gesloten. Dit betekent dat die organisaties gebruik maken van elkaars systemen om mensen te authenticeren. In de praktijk komt het erop neer dat je met hetzelfde account bij verschillende applicaties kunt inloggen. Dit account wordt namelijk door de andere organisaties vertrouwd. Hierdoor hoef je niet voor iedere applicatie een nieuw wachtwoord aan te maken omdat je de applicatie koppelt aan een bestaand account.

Federated SSO-methodes

Voor het SSO ontsluiten van een applicatie is het het handig om een SSO-provider te kiezen. Enkele bekende aanbieders zijn Azure AD, Okta, NETIQ, HelloID en SecureLogin. Zij ontzorgen je in het SSO ontsluiten van applicaties. Deze SSO-providers hebben vaak een galerij met applicaties die zij ondersteunen. De applicaties van bovenstaande SSO-providers kun je ook toevoegen aan Workspace 365. Deze flowchart van Microsoft helpt je bij het bepalen van de juiste Single Sign-On methode voor jouw situatie.

Zoals te zien is in de flowchart zijn er veel verschillende Single Sign-On methodes. Een aantal hiervan dienen als federated/token gebaseerde SSO. OAuth en SAML worden in de praktijk het meest toegepast. De applicaties die met OAuth of SAML ondersteund zijn, vind je vaak terug in de galerij bij de SSO-provider. Maar hoe werkt de techniek achter deze Single Sign-On methodes?

OAuth (Open Authorisation)

Je herkent het waarschijnlijk wel: je wilt inloggen bij een website en krijgt de keuze om in te loggen met een account van een andere website, zoals Facebook of Microsoft. Vervolgens handelt die andere site, bijvoorbeeld Facebook, de authenticatie af. De website die je bezoekt, logt je in op het moment dat zij toestemming gekregen hebben via Facebook. Facebook heeft dus een federatie gesloten met de website waar jij wilt inloggen.

Een ander voorbeeld is dat wanneer jij je browser opent en inlogt bij een website, je de keren daarna automatisch ingelogd blijft, indien je dezelfde website of applicatie opent via die browser. Dit komt doordat elke keer wanneer jij je browser opent, deze een toegangstoken krijgt. Deze toegangstoken is enkel geldig voor een bepaalde tijd. Binnen die tijd kun je onbeperkt inloggen. Wanneer deze verlopen is, moet je weer opnieuw inloggen.

De achterliggende techniek is OAuth en heeft de volgende voordelen:

  • Er wordt geen inlogcode gebruikt, maar een toegangstoken.
  • Het token heeft een beperkte houdbaarheid, er moet steeds een nieuw token aangevraagd worden.
  • Bij het wijzigen of verwijderen van een account, gaat dit direct in bij het vernieuwen van het token.
  • Het token wordt aangevraagd door middel van een Client ID, dit wordt eenmalig verstrekt.

SAML (Security Assertion Markup Language)

SAML is een systeem dat jou helpt toegang te krijgen tot applicaties die jij nodig hebt. Het is de schakel tussen de identificatieprovider en serviceprovider. Als gebruiker log jij één keer (SSO) in bij de identiteitsprovider (bijvoorbeeld Azure AD) en vervolgens kan de identiteitsprovider al jouw informatie doorgeven aan de serviceprovider wanneer jij probeert toegang te krijgen tot die diensten. De serviceprovider gaat bij de identiteitsprovider na of jij bent wie je zegt dat je bent. Beide systemen communiceren met SAML en daarom hoef jij als gebruiker maar één keer in te loggen. Daarnaast heeft SAML de volgende voordelen:

  • Je hoeft niet langer meerdere gebruikersnamen en wachtwoorden te onthouden.
  • Als iemand uit dienst gaat en je ervoor zorgt dat de medewerker niet meer kan inloggen op de IT-omgeving binnen het bedrijf, geldt dit gelijk ook voor alle cloud en webservices.
  • Wanneer mensen hun wachtwoord veranderen, verandert deze ook in de cloud en webservices.
  • Met SAML kun je aanmeldingen bijhouden voor rapportage in SQL (Structured Query Language) database of Active Directory.

Wat als mijn applicatie niet wordt ondersteund met SAML of OAuth?

Het kan voorkomen dat je een applicatie SSO wilt ontsluiten in je werkplek, maar deze niet wordt ondersteund door de SAML of OAuth methode en ook niet in de applicatie galerij van de SSO-provider staat. Je kunt dan gebruik maken van de volgende methode:

Password-based SSO

Password-based SSO geeft de mogelijkheid om beveiligd een applicatie wachtwoord op te slaan. Vervolgens communiceert een webbrowser extensie dit wachtwoord naar de applicatie. Dit verlengt het inlogproces van de applicatie, maar geeft beheerders de mogelijkheid om de wachtwoorden te beheren, wat een voordeel kan zijn.

Een nadeel van Password-Based SSO is dat er een plugin nodig is (van bijvoorbeeld Azure AD). Deze plugin neemt de inlogvelden over zoals username, password en de submit button en hierdoor kan de plugin in je browser (bijna) alle websites SSO maken. Ook zonder dat je ingewikkelde koppelingen hoeft te maken. Het gebruik van een plugin werkt niet op mobiele apparaten, maar vaak heeft de SSO Provider hier een alternatief voor, in het geval van Azure AD kun je gebruik maken van de Intune Managed Browser. Hierin zit de plugin verwerkt en kan je ook op mobiele apparaten gebruik maken van Password-Based SSO.

Subscribe to our blog

Get the latest tips, resources and updates to help work better!

Related articles