Hvorfor din virksomhed har brug for SSO

Single sign-on, forkortet SSO, er en administrationsløsning, der hjælper med at øge IT-sikkerheden, forbedre brugervenligheden og reducere omkostningerne. Det er næsten umuligt at huske utallige, komplicerede adgangskoder, og det tager tid at rode med password manager. SSO, frit oversat til "engangslogin", tilbyder en vej ud af denne konflikt. Det er en sessions- og brugergodkendelsestjeneste, der gør det muligt at få adgang til flere applikationer med blot et enkelt sæt login-data bestående af brugernavn og adgangskode.

Uden SSO udføres autentificeringen separat for hver hjemmeside eller applikation. Det kræver, at webstedet har sin egen separate database med brugeroplysninger og vedligeholder den i overensstemmelse hermed. For virksomheder, der kombinerer cloud-applikationer og lokale netværk, udgør den store mængde brugerdata en betydelig administrativ arbejdsbyrde. IT-afdelingen skal opbevare og administrere separate legitimationsoplysninger for hver konto (f.eks. medarbejdere, entreprenører eller kunder) for hver enkelt hjemmeside, program eller applikation i deres systemer. Det fører til sikkerhedsrisici, høje administrationsomkostninger og ineffektivitet. SSO forenkler login- og autentificeringsprocessen. Konkret fungerer en SSO-loginproces på følgende måde:

1. Medarbejderne går ind på den serviceudbyders (SP) hjemmeside eller applikation, de ønsker at få adgang til.
2. Tjenesteudbyderen sender denne anmodning og videresender medarbejderen til SSO-systemets identitetsudbyder (IdP).
3. Medarbejderen bliver bedt om at autentificere sig ved at indtaste autentifikations oplysninger, som identitetsudbyderen har bedt om til SSO, f.eks. brugernavn og adgangskode.
4. Når identitetsudbyderen har verificeret medarbejderens autentifikationsoplysninger, sender den en bekræftelse tilbage til tjenesteudbyderen for at bekræfte en vellykket autentificering. Medarbejderen får derefter adgang til den ønskede applikation.
5. Andre tjenesteudbydere, som medarbejderen har adgang til, bekræfter brugerens godkendelse hos identitetsudbyderen. Disse tjenesteudbydere kræver ikke brugernavn og adgangskode.

Hver gang en bruger logger ind på en tjeneste, udgør det en potentiel risiko. Det skyldes, at login-data er et af de mest populære mål for cyberkriminelle. SSO reducerer angrebsfladen, da medarbejderne f.eks. kun skal logge ind én gang om dagen og kun bruge ét sæt login-data. Begrænsning af login til ét sæt legitimationsoplysninger øger derfor virksomhedernes sikkerhed. Hvis medarbejderne skal bruge en separat adgangskode til hver applikation, undlader de jo ofte at gøre det eller bruger adgangskoder, der er lette at huske. Ifølge en nylig undersøgelse er for eksempel 32 procent af alle adgangskoder direkte relateret til virksomheden, såsom firmanavnet eller en variation af det).  Single sign-on reducerer den kognitive belastning. SSO reducerer også risikoen for, at medarbejderne genbruger eller skriver de samme adgangskoder ned, hvilket igen reducerer risikoen for tyveri.

Som i de fleste tilfælde er brugen af SSO-tjenester også teknisk mere sikker end "normalt" login med brugernavn og adgangskode. Det skyldes, at login-dataene er meget bedre beskyttet. SSO er baseret på et tillidsforhold mellem den part, der har identitetsoplysningerne og kan godkende logins, identitetsudbyderen (IdP), og den tjeneste eller applikation, der skal tilgås, tjenesteudbyderen (SP). I stedet for at sende følsomme data frem og tilbage over internettet sender identitetsudbyderen en bekræftelse - ofte via en identitetsstandard som SAML - for at godkende login til tjenesteudbyderen.

En almindelig myte om SSO-løsninger er, at de kompromitterer it-systemernes sikkerhed. Denne falske opfattelse er baseret på ideen om, at alle tilknyttede konti er tilgængelige, hvis hovedadgangskoden bliver stjålet. Dette kan dog forhindres effektivt. En gennemprøvet strategi til at skabe et ekstra lag af sikkerhed er f.eks. at kombinere SSO med multifaktorautentificering (MFA). MFA kræver, at en medarbejder fremlægger to eller flere identitetsbeviser, når han eller hun logger ind. Det kan selvfølgelig være en kode, der sendes til smartphonen.

Risikobaseret autentificering (RBA) er en anden gennemprøvet sikkerhedsfunktion til beskyttelse af SSO. RBA gør det muligt for it-chefer at bruge værktøjer til at overvåge brugeraktivitet og kontekst. Det gør det muligt at opdage uregelmæssig adfærd, der indikerer uautoriserede brugere eller et cyberangreb. Hvis f.eks. flere logins mislykkes, eller der bruges forkerte IP-adresser, kan it-afdelingen anmode om en MFA eller blokere brugeren helt.

Begrebet "skygge-it" er ikke nyt i cybersikkerhedens verden. Det henviser til uautoriserede downloads fra arbejdspladsen. Tidligere var skygge-it hovedsageligt begrænset til medarbejdere, der brugte ulicenseret eller uautoriseret software. Med den stigende popularitet af cloud-baserede downloads øges potentialet for risici også. For at løse dette problem kan it-administratorer bruge SSO til at overvåge, hvilke applikationer medarbejderne bruger. På den måde minimeres også risikoen for identitetstyveri, hvilket er et yderligere plus i forhold til sikkerheden.

Single sign-on øger også medarbejdernes effektivitet, da de bruger mindre tid på at logge ind og administrere adgangskoder. I betragtning af, at mange medarbejdere skifter mellem forskellige applikationer flere gange i timen, bør denne faktor ikke ignoreres. Ifølge estimater fra Gartner (https://www.gartner.com/smarterwithgartner/embrace-a-passwordless-approach-to-improve-security ) er problemer med adgangskoder ansvarlige for 40 % af alle opkald til helpdesk. En anden undersøgelse fra Forrester (https://www.forrester.com/report/best-practices-selecting-deploying-and-managing-enterprise-password-managers/RES139333 ) viser, at nulstilling af adgangskoder koster virksomheder op til 70 amerikanske dollars pr. problemløsning. SSO reducerer derfor også supportomkostningerne, da processen reducerer antallet af nødvendige adgangskoder til kun én. Derudover forenkler SSO administratorernes arbejde, da de kan administrere brugerkonti og adgangsrettigheder på en centraliseret måde. Sidst, men ikke mindst, øger det arbejdsglæden generelt, da medarbejderne kan arbejde uden afbrydelser og hurtigere få adgang til alle de tjenester, de har brug for. Nem adgang er især værdifuld for medarbejdere, der arbejder i marken eller fra flere enheder.

Der bruges forskellige metoder til single sign-on (SSO). Den mest udbredte metode er i øjeblikket SAML-baseret SSO. Dette system er populært af forskellige årsager:

• Meget udbredt: SAML har været på markedet i mange år og understøttes af et stort antal identitetsudbydere og tjenesteudbydere. Mange virksomheder har allerede investeret i SAML-infrastruktur og bruger det med succes.
• Sikkerhed: SAML tilbyder robuste sikkerhedsmekanismer til overførsel af autentificerings- og autorisationsdata mellem identitetsudbydere og tjenesteudbydere. For eksempel bruges digitale signaturer og kryptering til at sikre integriteten og fortroligheden af de overførte data.
• Let at bruge: SAML gør det muligt at logge ind én gang hos en identitetsudbyder og derefter problemfrit få adgang til forskellige tjenesteudbydere uden at skulle logge ind to gange. Det forbedrer brugervenligheden og reducerer login-arbejdet.
• Interoperabilitet: SAML er en åben standard, som mange organisationer støtter. Det gør det muligt for systemer og applikationer fra forskellige udbydere at arbejde problemfrit sammen, hvilket gør samarbejdet mere effektivt.

Selvom SAML er den mest udbredte SSO-metode, bliver moderne protokoller som OpenID Connect (OIDC) også stadig vigtigere, især i webapplikationer og cloud-scenarier. OIDC tilbyder yderligere funktioner som f.eks. understøttelse af OAuth 2.0 og en forbedret brugeroplevelse for moderne applikationer og API'er.

SSO har også systemrelaterede ulemper. Hvis SSO-systemet f.eks. svigter eller ikke er tilgængeligt, kan brugerne miste adgang til forbundne applikationer og tjenester. Det kan føre til afbrydelser og problemer med produktiviteten. Når virksomheder bruger SSO, skal de også være sikre på, at deres SSO-leverandør beskytter login-dataene på passende vis. Ellers er der risiko for, at angribere kompromitterer eller misbruger autentificeringsdata.

Implementering og vedligeholdelse af SSO er en kompleks opgave. Det kræver omhyggelig planlægning, problemfri integration i eksisterende systemer og sikring af kompatibilitet med forskellige platforme og godkendelsesprotokoller.

Autentificeringsprocesser er en vigtig del af en virksomheds økosystem. Jo større organisationen er, jo flere autentificeringsdata skal den administrere og opbevare. Fordelene ved SSO i denne sammenhæng er betydelige: øget sikkerhed, forbedret brugervenlighed, reducerede omkostninger og indsats i forbindelse med administration af adgangskoder. Der kan dog også være ulemper, som f.eks. øget afhængighed af eksterne tjenester. En grundig vurdering af din virksomheds behov vil hjælpe dig med at beslutte, om SSO er det rigtige valg for din organisation.

Vil du gerne vide mere om SSO og de relaterede aspekter? Så tag kontakt til os. Traxion har været en kompetent partner på dette område siden 1990'erne. RSA SecurID-produktet (https://www.sits-group.ch/losungen/rsa-securid/ ) gør det muligt for virksomheder i alle størrelser at minimere identitetsrisici og sikre compliance uden at gå på kompromis med brugernes produktivitet. Det sikrer, at alle brugere har den rette adgang og bekræfter deres identitet på en moderne og bekvem måde.