Single sign-on (SSO) är en autentiseringsmetod som gör det möjligt för användare att få tillgång till flera resurser med en enda inmatning av sina inloggningsuppgifter (krav och hemlighet). SSO levererar denna användarupplevelse över olika system och domäner. För att upprätthålla friktionsfri åtkomst måste SSO sträcka sig över de olika tjänster som körs och resurser som finns i de datacenter och plattformar som användarna använder. Dessa plattformar kan existera som IaaS, PaaS eller som en fullservicetjänst (SaaS), som kanske eller kanske inte stöder en förtroendemodell.
SSO-initiativ faller ofta under kategorin autentisering av katalogservrar: Varje tjänst använder samma autentiseringsuppgifter från en enda katalog, t.ex. Active Directory, eller så skickar miljöerna autentiseringstoken till konfigurerade applikationer. Team använder också credential injection och andra tekniker för att leverera SSO. Oavsett tillvägagångssätt måste alla lösningar också innehålla en mekanism för enkel inloggning.
OpenText™ NetIQ™ Advanced Authentication erbjuder en omfattande uppsättning identitets- och åtkomsttjänster som gör det möjligt för medarbetare att på ett säkert sätt få tillgång till resurser var som helst, på vilken enhet som helst, var som helst och vid rätt tidpunkt. NetIQ ger också organisationer möjlighet att interagera med sina kunder på ett effektivt och säkert sätt.
Läs mer i broschyrenDu kan åstadkomma SSO med hjälp av olika tekniker. Ett säkrare tillvägagångssätt är en implementering där användarna inte känner till inloggningsuppgifterna för varje tjänst de använder, utan bara för huvudtjänsten. Eftersom användarna inte känner till alla referenser finns det ingen risk att de kringgår ditt autentiseringscenter eller delar dem på mindre säkra plattformar.
Organisationer levererar vanligen SSO genom en förtroendemodell. En enda identitetsleverantör (IdP) innehar antingen inloggningsuppgifterna eller kontrollerar åtkomsten till dem. I den här modellen förlitar sig varje tjänst på IdP:n för att verifiera identiteten hos den part som begär åtkomst. Även om detta tillvägagångssätt begränsar antalet platser där inloggningsuppgifterna lagras, är det inte säkert att användarna känner till de autentiska inloggningsuppgifterna till tjänsten.
En SSO-design som synkroniserar inloggningsuppgifterna till varje applikation eller tjänst är det minst säkra alternativet och bör sällan, om någonsin, användas. När det gäller säkerhet arbetar organisationer för att minska antalet attackvektorer, inte öka dem.
Som en del av en avancerad autentiseringsmiljö kan single sign-on kombineras med multifaktorautentisering för att stärka verifieringen av en användares identitet och samtidigt minimera störningar. Detta tillvägagångssätt hjälper organisationer att maximera användbarheten och säkerheten, särskilt när det kombineras med passiva lösenordslösa metoder. Även om vissa typer av passiv autentisering kan vara svagare än andra, kan du använda dem med ytterligare verifieringsmått för olika digitala resurser. Som en del av planeringen av risktjänster kan säkerhetsteam organisera sina resurser i känslighetskategorier och tilldela motsvarande autentiseringsstyrkor.
Det vanligaste skälet till att IT-säkerhetsteam utökar användarnas single sign-on är att de vill erbjuda säker åtkomst till information snabbt och enkelt. När organisationer implementerar denna nivå av bekvämlighet till sin skyddade information uppnår de högre effektivitet och produktivitet. SSO gör att användarna bara behöver autentisera sig en gång för de många applikationer och andra digitala resurser som de har tillgång till under dagen. Förutom att användarna blir nöjda minskar SSO lösenordströttheten, vilket är en grundläggande faktor för att uppmuntra till god behörighetshygien. Andra fördelar är mätbar effektivitet och produktivitet. Det minskar hindren för åtkomst, som ibland kan vara orsaken till att man skjuter upp slutförandet av en affärsprocess. Detta kan vara särskilt sant för medarbetare som arbetar på distans eller efter kontorstid, som ofta ställs inför högre säkerhetsrisker på grund av sin geografiska placering. Enkel åtkomst minskar friktionen för affärsprocesser som utförs på mobila enheter, vilket gör att de kan ske snabbt när någon är på språng eller arbetar utanför ordinarie arbetstid.
Konsumentengagemanget sträcker sig från enkel personalisering ända upp till transaktioner med hög risk. Dessa konsumentplattformar använder ofta beteendedata för att identifiera intressen och leta efter ledtrådar som kan hjälpa till att bekräfta användarens identitet. Konsumenterna har kommit att förvänta sig att deras betrodda varumärken känner dem tillräckligt väl för att erbjuda intressant information och låta dem göra så mycket affärer som möjligt på mobila enheter. Det är här single sign-on kommer in i bilden.
Dagens mobil- och onlineupplevelser kräver en robust plattform som stöds av flera backend-system för att leverera den alltmer sofistikerade upplevelse som konsumenterna förväntar sig. Vanligtvis tolererar de inte att verifiera sin identitet flera gånger på en smartphone. Så även om det är vanligt att mobilappar utnyttjar olika backend-system är de inte en del av användarupplevelsen.
Utöver enkel åtkomst spelar SSO en roll för djupare fjärråtkomst med högre insatser. Att låta dina kunder åstadkomma mer med dina produkter och tjänster fortsätter att vara ett slagfält för konkurrensen mellan mobilappar. I takt med att den digitala ekonomin utvecklas genomför mobilappar fler typer av affärsinteraktioner, även mer riskfyllda sådana. Att erbjuda mer meningsfulla tjänster än konkurrenterna är ett effektivt sätt att differentiera sig. Men det ställer också högre krav på din autentiseringsinfrastruktur. Bekvämligheten med SSO är viktig, men det är också viktigt med identitetsverifiering som matchar risken för organisationen. Ju mer en organisation kan mäta den kontextuella risken för en åtkomstbegäran, desto större blir utbudet av mobil åtkomst till privat och känslig information. Fråga dig själv:
Baserat på dessa riskmått kan SSO fungera tillsammans med avancerade autentiseringstyper för att matcha identitetsverifiering till den risken, med multifaktorautentisering vid behov:
Single sign-on är bekvämt för konsumenten, men det innebär också att bekvämligheten balanseras mot säkerheten när det används tillsammans med andra autentiseringsmetoder.
Både IT-avdelningen och verksamheten bör se det växande värdet av single sign-on som en accelererande kurva. Ju fler inloggningsuppgifter en användare har, desto svårare är det att komma ihåg dem. När verksamheten minskar antalet referenser är det mer sannolikt att användarna följer en sund hantering av referenser.
Samma aggressiva värdekurva drivs av bekvämlighet. Ju mindre du stör användarna, desto mer produktiva (anställda eller entreprenörer) och nöjda (konsumenter) blir de. Idealet är att det finns ett första fingeravtryck, ansiktsigenkänning eller något annat krav när man går in i applikationen eller startar en session och inget mer. Oavsett hur många tjänster eller resurser användarna använder sig av blir de inte avbrutna i sina uppgifter. I samma paradigm gäller att ju mer appen eller webbtjänsten avbryter användaren med en autentiseringsprompt, desto mindre tillfredsställande och kontraproduktivt är det. Av dessa skäl är tekniska beslut eller implementeringar som inte åstadkommer SSO för vanligt förekommande resurser de mest skadliga.
Begränsa autentiseringen till Active Directory (AD)
AD (och även Azure AD) har blivit den primära identitetsleverantören, men de flesta organisationer har viktiga resurser som går utöver det. Medan yngre eller mindre organisationer kan tycka att AD kompletterat med Microsofts federationslösningar är tillräckligt för att leverera single sign-on, är majoriteten av dem mer heterogena än så.
Beroende uteslutande på teknik för förtroendemodeller
Införandet av SAML och OIDC har varit utbrett. Men komplicerade miljöer kan vanligtvis inte ge full täckning. Förvånansvärt nog finns det ett antal SaaS-baserade tjänster som antingen inte stöder federation eller tar mer betalt för det än vad organisationerna är villiga att betala. Omvänt kan record/play-teknik eller en centralt hanterad accessgateway fylla i luckorna i single sign-on-täckningen.
Missförstå dina användares autentiseringsupplevelse
Ofta känner IT-organisationer inte till de olika användarna som har åtkomst under hela veckan. Utan en tydlig bild kan de inte prioritera vilken resurs som ska läggas till i deras infrastruktur för single sign-on. Dessutom är tjänster som avdelningar eller affärsområden använder vanligtvis inte inkluderade i SSO-planeringen.
OpenText NetIQ erbjuder fem olika metoder för att leverera SSO:
OpenText™ NetIQ™ Access Manager
Med hjälp av en mängd olika tekniker harNetIQ Access Manager flera sätt att leverera SSO för alla intranät eller molnbaserade tjänster. Oavsett vilket gränssnitt dina applikationer har eller inte har, får dina användare (anställda, kunder etc.) snabb och bekväm åtkomst. Samtidigt ger NetIQ Access Manager dig full åtkomstkontroll med hjälp av dina nuvarande processer.
Utöver fördelarna med SSO erbjuder NetIQ Access Manager åtkomst till webbappar med ett klick genom ikoner för enkel installation i miniportalen. NetIQ Access Managers inbyggda miniportal är inte avsedd att ersätta det du redan har, utan snarare ett alternativ för dem som inte har någon. Portalen är lätt för administratörer att slå på, konfigurera och underhålla, och den är intuitiv för alla användare. NetIQ Access Managers gränssnitt för snabb åtkomst förbättrar upplevelsen av single sign-on.
NetIQ Access Manager ger din organisation tre alternativ för att implementera SSO (Single Sign-On) i alla dina moln- och intranätbaserade applikationer:
NetIQ Access Manager Gateway
Gateway är en omvänd proxy som du kan placera framför vilken resurs som helst, oavsett om den har sin egen säkerhetsmodell eller åtkomstkontroll. Detta gör att du kan använda samma identitetsleverantör för hantering av referenser. Precis som single sign-on-assistenten erbjuder Gateway formulärutfyllnadspolicyer som kan fylla i HTML-formulär. Policyer för formulärutfyllnad skannar varje inloggningssida, som accelereras via Access Gateway, för att se om den kan fylla i inloggningsinformationen. Oavsett hur många single sign-on-tekniker du använder ger NetIQ Access Manager en central punkt för administration och kontroll.
Single Sign-On genom federation
För enkel inloggning via federation kan du med NetIQ Access Manager konfigurera en förtroenderelation som kan fungera som en identitetsleverantör eller en tjänsteleverantör, baserat på dina behov. Du måste också konfigurera typen av federation (SAML, OAuth, OpenID Connect, WS-Trust eller WS-Federation). Om du använder SAML kan du välja en av de många förkonfigurerade anslutningarna. Om katalogen inte har en förkonfigurerad SAML-koppling för den tjänst du vill ha kan du använda verktygslådan för att konfigurera din egen.
Single Sign-On via assistenten
För molnbaserade tjänster som är för gamla, små eller primitiva för att stödja federation ger Single Sign-On Assistant en SSO-upplevelse med minimal ansträngning. Den uppmanar användarna att ladda ner webbläsarpluginet som på ett säkert sätt hämtar inloggningsuppgifter när de registreras. När assistenten är konfigurerad upplever användarna SSO när de öppnar applikationen. Det första stället att leta efter färdigbyggda assistentanslutningar är NetIQ Access Manager Connector Catalog. Du kan spela in din egen om du inte kan hitta den anslutning du behöver. NetIQ Access Manager uppmanar automatiskt användaren att installera connectorn första gången, varefter den hämtar och skickar användarens autentiseringsuppgifter från NetIQ Access Manager för automatisk inloggning. När du konfigurerar Basic SSO-kopplingarna för de olika applikationerna definierar du kopplingen för den specifika webbplatsen. Basic SSO fångar upp användarnas autentiseringsuppgifter via ett plugin eller tillägg till webbläsaren. Användaruppgifterna lagras på ett säkert sätt på Identity Server, utan att Access Gateway används.
OpenText™ NetIQ™ Advanced Authentication
NetIQ Advanced Authentication ger single sign-on för användare på Windows-klienter. SSO-stödet omfattar .NET, Java, inbyggda applikationer och webbapplikationer i alla populära webbläsare. Det är sömlöst för slutanvändarna, vilket hjälper dem att fokusera på sitt primära jobb. Även för fjärranvändare som inte är anslutna till en centraliserad katalog fortsätter single sign-on att fungera på isolerade bärbara datorer utan internetanslutning. NetIQ Advanced Authentication erbjuder också snabb användarväxling, vilket innebär att det snabbt levererar single sign-on för kiosker eller delade arbetsstationer. Den kan aktiveras med en badge eller någon annan beröringsfri metod som är snabb, enkel och mycket säker.
NetIQ erbjuder fler single sign-on-alternativ för organisationer än någon annan leverantör.
Skapa en återanvändbar uppsättning tjänster för åtkomsthantering för både nya och befintliga applikationer
Möjliggör enkel inloggning och åtkomstkontroll över mobila, molnbaserade och äldre plattformar
Möjliggör lösenordsfri autentisering och multifaktorautentisering för enkelt skydd i hela organisationen
Leverera rätt åtkomst till rätt användare med minsta möjliga friktion
Centralisera kontrollen över administratörskonton i hela IT-landskapet