Het zal je niet ontgaan zijn: het gebruik van Single Sign-On (SSO) groeit hard en miljoenen mensen gebruiken dit wereldwijd al op hun mobiel. Maar hoe zit het met bedrijven en de SSO in hun digitale werkplek? Hier maken we onderscheid in Single Sign-On naar de digitale werkplek toe en SSO naar de applicaties binnen de digitale werkplek. In deze blog ontdek je welke methodes jij het beste kunt gebruiken om applicaties in één klik toegankelijk te maken.

Federated Single Sign-On (SSO)

Wanneer je een applicatie Single Sign-On toegankelijk wilt maken kun je kiezen uit verschillende authenticatiemogelijkheden. Authenticatie is het proces waarbij er gecontroleerd wordt of jij bent wie jij zegt dat je bent. Federated SSO, een op token gebaseerde SSO, is daarbij veiligste methode. Deze SSO-oplossingen maken gebruik van de identiteitsprovider (IdP) van de organisatie, zoals bijvoorbeeld Azure Active Directory (Azure AD). In de IdP staat al jouw informatie opgeslagen, zoals gebruikersnamen, wachtwoorden en tot welke domeinen mensen toegang hebben, maar ook tot welke onderdelen mensen toegang hebben in bijvoorbeeld een applicatie. Zo kan het zijn dat je toegang hebt tot het bekijken van statistieken, maar niet tot het bewerken ervan.

Bij federated SSO hebben meerdere organisaties een ‘federatie’ (samenwerking) met elkaar gesloten. Dit betekent dat die organisaties gebruik maken van elkaars systemen om mensen te authenticeren. In de praktijk komt het erop neer dat je met hetzelfde account bij verschillende applicaties kunt inloggen. Dit account wordt namelijk door de andere organisaties vertrouwd. Hierdoor hoef je niet voor iedere applicatie een nieuw wachtwoord aan te maken omdat je de applicatie koppelt aan een bestaand account.

Federated SSO-methodes

Voor het SSO ontsluiten van een applicatie is het het handig om een SSO-provider te kiezen. Enkele bekende aanbieders zijn Azure AD, Okta, NETIQ, HelloID en SecureLogin. Zij ontzorgen je in het SSO ontsluiten van applicaties. Deze SSO-providers hebben vaak een galerij met applicaties die zij ondersteunen. De applicaties van bovenstaande SSO-providers kun je ook toevoegen aan Workspace 365. Deze flowchart van Microsoft helpt je bij het bepalen van de juiste SSO-methode voor jouw situatie.

Zoals te zien is in de flowchart zijn er veel verschillende SSO methodes. Een aantal hiervan dienen als federated/token gebaseerde SSO. OAuth en SAML worden in de praktijk het meest toegepast. De applicaties die met OAuth of SAML ondersteund zijn, vind je vaak terug in de galerij bij de SSO-provider. Maar hoe werkt de techniek achter deze methodes?

OAuth (Open Authorisation)

Je herkent het waarschijnlijk wel: je wilt inloggen bij een website en krijgt de keuze om in te loggen met een account van een andere website, zoals Facebook of Microsoft. Vervolgens handelt die andere site, bijvoorbeeld Facebook, de authenticatie af. De website die je bezoekt, logt je in op het moment dat zij toestemming gekregen hebben via Facebook. Facebook heeft dus een federatie gesloten met de website waar jij wilt inloggen.

Een ander voorbeeld is dat wanneer jij je browser opent en inlogt bij een website, je de keren daarna automatisch ingelogd blijft, indien je dezelfde website of applicatie opent via die browser. Dit komt doordat elke keer wanneer jij je browser opent, deze een toegangstoken krijgt. Deze toegangstoken is enkel geldig voor een bepaalde tijd. Binnen die tijd kun je onbeperkt inloggen. Wanneer deze verlopen is, moet je weer opnieuw inloggen.

De achterliggende techniek is OAuth en heeft de volgende voordelen:

  • Er wordt geen inlogcode gebruikt, maar een toegangstoken.
  • Het token heeft een beperkte houdbaarheid, er moet steeds een nieuw token aangevraagd worden.
  • Bij het wijzigen of verwijderen van een account, gaat dit direct in bij het vernieuwen van het token.
  • Het token wordt aangevraagd door middel van een Client ID, dit wordt eenmalig verstrekt.

SAML (Security Assertion Markup Language)

SAML is een systeem dat jou helpt toegang te krijgen tot applicaties die jij nodig hebt. Het is de schakel tussen de identificatieprovider en serviceprovider. Als gebruiker log jij één keer (SSO) in bij de identiteitsprovider (bijvoorbeeld Azure AD) en vervolgens kan de identiteitsprovider al jouw informatie doorgeven aan de serviceprovider wanneer jij probeert toegang te krijgen tot die diensten. De serviceprovider gaat bij de identiteitsprovider na of jij bent wie je zegt dat je bent. Beide systemen communiceren met SAML en daarom hoef jij als gebruiker maar één keer in te loggen. Daarnaast heeft SAML de volgende voordelen:

  • Je hoeft niet langer meerdere gebruikersnamen en wachtwoorden te onthouden.
  • Als iemand uit dienst gaat en je ervoor zorgt dat de medewerker niet meer kan inloggen op de IT-omgeving binnen het bedrijf, geldt dit gelijk ook voor alle cloud en webservices.
  • Wanneer mensen hun wachtwoord veranderen, verandert deze ook in de cloud en webservices.
  • Met SAML kun je aanmeldingen bijhouden voor rapportage in SQL (Structured Query Language) database of Active Directory.

Wat als mijn applicatie niet wordt ondersteund met SAML of OAuth?

Het kan voorkomen dat je een applicatie SSO wilt ontsluiten in je werkplek, maar deze niet wordt ondersteund door de SAML of OAuth methode en ook niet in de applicatie galerij van de SSO-provider staat. Je kunt dan gebruik maken van de volgende methode:

Password-based SSO

Password-based SSO geeft de mogelijkheid om beveiligd een applicatie wachtwoord op te slaan. Vervolgens communiceert een webbrowser extensie dit wachtwoord naar de applicatie. Dit verlengt het inlogproces van de applicatie, maar geeft beheerders de mogelijkheid om de wachtwoorden te beheren, wat een voordeel kan zijn.

Een nadeel van Password-Based SSO is dat er een plugin nodig is (van bijvoorbeeld Azure AD). Deze plugin neemt de inlogvelden over zoals username, password en de submit button en hierdoor kan de plugin in je browser (bijna) alle websites SSO maken. Ook zonder dat je ingewikkelde koppelingen hoeft te maken. Het gebruik van een plugin werkt niet op mobiele apparaten, maar vaak heeft de SSO Provider hier een alternatief voor, in het geval van Azure AD kun je gebruik maken van de Intune Managed Browser. Hierin zit de plugin verwerkt en kan je ook op mobiele apparaten gebruik maken van Password-Based SSO.

Single Sign-On in Workspace 365

Wil je aan de slag met Single Sign-On naar een applicatie binnen jouw digitale werkplek? Ga dan naar de Support Portal om te ontdekken hoe je de applicaties aanbiedt binnen Workspace 365. Wil je meer weten over werkplekbeheer? Lees dan de volgende artikelen:

Waarom je IT en Management moet betrekken bij de digitale werkplek

How to: Verbeter de digitale werkplek adoptie met A.I. en video

De prijs en Return On Investment (ROI) van jouw digitale werkplek

How to: De digitale werkplek inzetten voor jouw internal branding strategie

Ontvang ons nieuws

Interesse in Workspace 365


Snel up-to-date!

LinkedIn
Youtube
RSS
Twitter
Facebook
Renate Geurtjens

Renate Geurtjens

Storyteller

Heb je vragen over Workspace 365 of wil je partner worden? Neem contact met ons op!

Ontvang ons nieuws

Interesse in Workspace 365


Zelf de werkplek proberen?

Interesse in Workspace 365

Bedankt voor het aanmelden, de demo wordt na bevestiging verzonden naar je mailbox.