O que é SSO e como funciona?

Índice

Índice

Índice

MostrarMostrar tudo

Ocultar

O que é Single Sign-On (SSO)?

Single Sign-On (ou logon único em uma tradução direta) é um método de autenticação que permite que os usuários realizem login em diversos sistemas de software independentes através de uma única ID, o que facilita o acesso a diversas contas e aplicativos.

O Single Sign-On permite o login único e o acesso aos serviços sem que o usuário precise digitar novamente os elementos de autenticação (como códigos únicos, nomes de usuário, e-mails e senhas pessoais).

A tecnologia SSO é muito usada em ambientes comerciais, para aplicações de usuário que são atribuídas e geridas por equipes internas de TI. Ela também é muito comum no uso de SaaS (Software as a Service, ou software como serviço) para garantir acesso remoto a plataformas profissionais e comerciais.

Uma das principais características da tecnologia SSO é facilitar a acessibilidade a soluções de IAM (Identity Access Management, ou gerenciamento de identidade de acesso), tanto para identificar cada usuário quanto para determinar o nível de acesso para cada conta.

Como o SSO funciona?

O objetivo principal da tecnologia SSO é garantir facilidade na autenticação e nas configurações de nível de acesso para cada conta ou usuário. Ela estabelece uma ponte segura entre uma aplicação, plataforma ou serviço e um provedor externo, que também é chamado de IdP (Identity Provider, ou provedor de identidade).

Este processo todo é feito a partir de várias etapas de validação, autenticação, identificação e comunicação, realizadas entre a plataforma, aplicação, ou serviço e o SSO.

Existem os serviços de SSO, que são serviços centrais aos quais as aplicações recorrem sempre que um usuário realiza o processo de login. Caso os usuários não sejam autenticados e solicitem um acesso, o SSO faz o redirecionamento dos usuários não-autenticados até a aplicação original, geralmente para uma página inicial ou página de registro e criação de uma nova conta.

Os tokens de SSO são arquivos digitais com informações usadas para identificar os usuários, com dados como nomes de usuário, endereços de e-mail, números de telefone ou outros tipos de informações de acordo com as configurações de segurança das aplicações. Ao solicitar acesso, o token de SSO realiza uma troca com o serviço vinculado a ele para que a autenticação do usuário seja realizada.

Portanto, os serviços de SSO facilitam as autenticações e evitam que os usuários precisem realizar procedimentos repetidos para acessar suas contas pessoais (como informar códigos de MFA e autenticação de dois fatores, por exemplo) sempre que fizerem um novo login.

Como os tokens de autenticação SSO funcionam?

Outra forma de funcionamento da tecnologia SSO é através de tokens SSO para garantir a autenticação de usuário.

Os tokens de SSO são arquivos digitais com informações usadas para identificar os usuários, com dados como nomes de usuário, endereços de e-mail, números de telefone ou outros tipos de informações que dependem das configurações de segurança das aplicações.

Quando um acesso é solicitado, o token de SSO realiza uma troca com o serviço vinculado a ele para que a autenticação de usuário seja realizada.

Quais são os tipos de SSO?

Há protocolos diferentes usados pelas soluções SSO e cada um tem as suas próprias características e funcionalidades. Apesar de todos eles serem usados na validação e autenticação de usuários, há diferenças interessantes entre cada um deles. Confira:

Enterprise SSO

Esse é um tipo de SSO muito popular, que permite aos usuários acessar várias aplicações, programas e plataformas de nível empresarial através de uma única credencial. Este tipo de SSO é bastante útil para empresas que usam várias aplicações em seus ambientes, já que simplifica o processo de login e autenticação e melhora os níveis de produtividade das equipes.

As soluções de Enterprise SSO exigem um nível de customização mais avançado, além da integração com infraestruturas de TI preexistentes. Muitas vezes, elas também requerem um servidor dedicado para executar a aplicação SSO. AuthO, IBM Security Access Manager e Ping Identity são alguns exemplos de serviços de Enterprise SSO.

Web SSO

O Web SSO é um tipo bem difundido de SSO que facilita e simplifica o acesso a múltiplas plataformas web através de um conjunto único de credenciais atribuídas a cada usuário. Esse modelo é muito útil para empresas e pessoas que usam várias aplicações em nuvem, já que os usuários não precisam se lembrar de várias credenciais diferentes para acessar cada aplicação. O Microsoft Azure Active Directory, OneLogin, CyberArk, Frontegg, OneLogin, Ping Identity Corporation e Okta são alguns exemplos de Web SSO.

Além da facilidade de acesso, os serviços de Web SSO são capazes de oferecer melhor nível de controle de segurança. Isso acontece porque eles permitem que o acesso seja revogado para todas as aplicações web caso um usuário sofra com problemas de segurança (como ataques com clickjacking, por exemplo) ou não faça mais parte do ambiente corporativo e empresarial que utiliza os serviços em nuvem acessados durante o período de trabalho.

Federated SSO

O Federated SSO é um tipo de SSO que facilita o acesso a recursos de organizações diferentes. Isso o diferencia dos outros tipos de SSO usados para integrar o acesso a diferentes plataformas dentro de um mesmo ambiente empresarial.

Ele é bastante prático e útil para empresas que precisam trabalhar com parceiros comerciais e clientes que usam sistemas de identificação diferentes. SAML, OAuth, Google Identity, Okta, Microsoft Active Directory Federation Services e OpenID Connect são alguns exemplos de Federated SSO.

Quais são os protocolos e padrões SSO?

Há vários protocolos e padrões SSO diferentes usados para integrar e realizar os processos de autenticação entre diferentes plataformas e sistemas:

Central Authentication Service

O CAS é um protocolo usado para permitir a comunicação entre servidores (server-to-server). O cliente é usado para iniciar a solicitação de token, mas a verificação final é executada por uma comunicação back-end entre o servidor CAS e o provedor do serviço.

O CAS é um protocolo SSO típico usado principalmente em instituições de ensino graças aos métodos mais diretos de verificação. Nenhuma senha é compartilhada através do token SSO usado neste tipo de protocolo.

SSO com base em Cookie

O SSO com base em cookies é usado por cookies HTTPS para transportar as credenciais dos usuários entre os navegadores para os servidores sem que os usuários precisem inserir credenciais pessoais. As credenciais presentes na máquina cliente são reunidas e criptografadas (para evitar ameaças como cyberstalking, por exemplo) antes de serem armazenadas nos cookies e, então, são enviadas até o servidor de destino. O servidor recebe os cookies, descriptografa e extrai as informações de credenciais e, por fim, realiza o processo de validação ao comparar os dados com uma base de dados mantida em um diretório de servidor interno com as informações dos usuários.

SSO com base em Shibboleth

Esse também é um protocolo muito usado em instituições educacionais, principalmente quando diferentes instituições compartilham as mesmas plataformas e serviços entre si. O Shibboleth é construído com SAML e também usa DS (Discovery Service, ou descoberta de serviço) para melhorar a organização SAML de dados para um número grande de fontes.

Além disto, o Shibboleth ajuda a automatizar o gerenciamento de metadados para entregar atualizações nos certificados de segurança e outras configurações que podem ser ajustadas por instituições individualmente.

SSO com base em NTLM

O NTLM permite que os usuários provem que sabem suas senhas pessoais sem precisar fornecer estas senhas. Isto é possível graças ao uso de um protocolo de desafios e respostas. Primeiro, ele determina qual tipo de mecanismo de criptografia NTLM o cliente e o servidor utilizam e, depois, envia a senha criptografada do usuário e realiza o envio da senha para o servidor, solicitando a autenticação.

SSO com base em Kerberos

O Kerberos é um protocolo que permite que os usuários realizem login em contas de domínio Windows e, então, recebam um SSO para acessar aplicações internas. No Windows, cada controlador de domínio de Diretório Ativo age como um KDC (Key Distribution Center, ou centro de distribuição de chaves) para o serviço específico que o usuário quer usar.

SSO com base em SPNEGO

Esse protocolo é usado quando a aplicação e o servidor remoto não sabem qual tipo de autenticação é suportada uma pela outra. O SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism, ou Mecanismo de Negociação GSSAPI Simples e Protegido) pode ser usado para descobrir qual mecanismo de autenticação está disponível tanto para o servidor remoto quanto para a aplicação.

SSO com base em Solicitações

É um SSO que realiza a autenticação por meio de solicitações feitas por partes que confiam mutuamente umas nas outras. Estas solicitações são geralmente empacotadas em um token com assinatura digital que pode ser enviado pela rede através de um SAML (Security Assertion Markup Language, ou linguagem de marcação de declaração de segurança).

SSO de Preenchimento de Formulário

É um protocolo SSO que permite o armazenamento de informações que normalmente são preenchidas em formulários. Para usuários que preenchem formulários de maneira recorrente, principalmente para acessos de segurança, essa tecnologia memoriza e armazena as informações relevantes de maneira segura com uma senha única. Para acessar as informações, os usuários só precisam se lembrar de uma única senha de acesso e então o restante das informações pode ser inserido de maneira automática nos formulários.

SSO com base em Inscrições

Esse protocolo é muito usado por usuários que acessam websites e que escolhem memorizar as credenciais de acesso neles, para facilitar o acesso às contas. O protocolo cria um cookie criptografado na máquina dos usuários especificamente para o navegador web no qual as credenciais ficam armazenadas. O cookie persiste em diferentes sessões e não é apagado a cada nova sessão, nem mesmo com a reinicialização do dispositivo. A cada novo acesso ao website, o servidor reconhece o cookie, faz a descriptografia dele e, a partir disso, acessa as credenciais do usuário, efetivando a autenticação e o acesso à conta.

SSO Reduzido

O SSO reduzido é muito usado para reduzir o número de vezes que um usuário precisa inserir as credenciais de acesso em diferentes aplicações. Com aplicações críticas, o SSO reduzido também oferece uma técnica para garantir que a pessoa não esteja logada em uma outra conta para, aí sim, permitir a autenticação.

SSO Banner XE/Banner 9

O Banner XE/Banner 9 tem suporte para CAS SSO e aprimora a utilização do Banner. Além disto, ele aumenta os pontos de integração do Banner em várias instituições. Um exemplo são as instituições de educação superior que buscam por opções mais dinâmicas e que, assim, usam o Banner XE/Banner 9, permitindo mais configurações e customizações nele.

Qual é o nível de segurança do SSO?

O nível de segurança do SSO é bastante alto. Trata-se de um método de gerenciamento de acesso muito confiável.

Mas é importante lembrar que o principal objetivo dele é garantir facilidade e rapidez para que as pessoas possam acessar diferentes plataformas com uma única autenticação. O SSO não é um mecanismo de segurança em si, mas sim de gerenciamento de acesso.

É exatamente por isso que as soluções de SSO precisam ser usadas em conjunto com recursos como controles de permissões, registros de atividades, criptografia de ponta a ponta, controles de acessos e outros mecanismos para garantir a segurança das contas dos usuários e dos acessos a elas.

Para usuários no geral, é muito importante usar ferramentas adicionais, como um software VPN, que oferece criptografia de ponta a ponta para a conexão.

No geral, o melhor modo de evitar problemas de vulnerabilidade com SSO e se proteger contra ciberameaças em geral é evitar maus hábitos na internet. Afinal de contas, é melhor prevenir do que remediar, e a maioria das vulnerabilidades de segurança surgem por ações geradas por nós mesmos.

Quais são os benefícios do login com SSO?

Há vários pontos positivos e vantagens no uso de SSO, como:

• Diminuição de riscos de acesso a websites de terceiros, já que as senhas dos usuários não são armazenadas ou gerenciadas externamente.
• Praticidade e rapidez nos processos de autenticação, sem a necessidade de exigir as credenciais de acesso sempre que os usuários acessarem uma plataforma.
• Administração mais simples ao garantir uma única lista de autorizações para todos os usuários em um mesmo repositório em um gerenciamento de rede, o que facilita aos administradores realizar alterações nos acessos.
• Maior produtividade dos usuários, já que as etapas de login são reduzidas e há maior rapidez no processo de autenticação dos acessos para as contas.
• Melhor segurança de rede ao diminuir possíveis danos causados por roubo e vazamento de dados ocasionados por ataques a servidores onde os dados dos usuários estão armazenados. Além disso, eles permitem que os administradores realmente cancelem por completo o acesso de uma conta que comprometa a segurança da plataforma.
• Consolidação de redes heterogêneas, permitindo a integração de redes e ambientes diferentes, além de facilitar a aplicação de políticas de segurança de forma integrada.
• Utilidade para serviços em nuvem, facilitando acessos remotos a ambientes compartilhados, além de aprimorar o gerenciamento de contas de diferentes plataformas que usam os mesmos serviços em nuvem.
• Mais praticidade para aplicações on-premise, o que garante ótimo nível de integração para diferentes plataformas e sistemas usados dentro de uma mesma empresa e que são fundamentais para a execução das atividades em diferentes níveis.
• Dinamismo de soluções híbridas graças à possibilidade de integrar diferentes soluções SSO e fazer com que elas interajam entre si.

Quais são os riscos do login com SSO?

Apesar das inúmeras vantagens, há alguns riscos envolvidos nos acessos através de serviços de SSO, como:

• Perigos e vulnerabilidades aos acessos, com a possibilidade de comprometimento das contas caso um dispositivo com autenticação via SSO seja roubado e não haja ações rápidas por parte dos administradores para limitar ou bloquear a conta comprometida. Se o criminoso tiver acesso ao dispositivo, ele vai conseguir entrar em todas as contas autenticadas pelo SSO sem precisar informar senhas particulares e outros dados de acesso. Isso reforça a importância de implementar métodos adicionais de segurança, como a autenticação de dois fatores (confira nosso guia sobre segurança em dispositivos Android).
• Falta de compatibilidade entre aplicativos e sistemas diferentes já que existem aplicações e plataformas que não podem ser integradas aos serviços de SSO.
• Vulnerabilidades nos sistemas que não oferecem fatores adicionais para a autenticação dos usuários e recursos eficientes de gerenciamento de contas e de rede.
• Acesso excessivamente facilitado, já que não há a exigência de informar as credenciais de login para acessar a conta depois que o SSO é utilizado, principalmente se os usuários não utilizarem senhas fortes.

Quais são os provedores SSO confiáveis?

É muito importante usar provedores SSO que ofereçam integrações e autenticações confiáveis e seguras, e aqui estão algumas das principais opções disponíveis no mercado:

• Okta: é um dos principais provedores de SSO que conta com software de nuvem, ajudando no gerenciamento e na segurança de autenticações de usuário. Além disso, permite que desenvolvedores construam controles de identidade nas próprias aplicações, websites, dispositivos e serviços web.
• Duo Security: pertencente à Cisco, fornece uma plataforma de autenticação com recursos SSO, além de também incluir opções de autenticação de multifatores (MFA) e de dois fatores (2FA).
• Ping Identity Corporation: esse é um recurso SSO que conta com possibilidade de integração em nuvem e é muito usado por bancos, hospitais e outras empresas.
• LastPass: o LastPass é uma aplicação de gerenciamento de senhas com interface web que também inclui plugins compatíveis com vários navegadores web e aplicativos para dispositivos móveis.
• AuthO: criada pela Okta, a AuthO é uma das primeiras plataformas de autenticação disponíveis no mercado, além de oferecer SSO para garantir integração de autenticação.
• CyberArk: conta com SSO para gerenciamento de identidades e autenticação e é usada principalmente em serviços financeiros e bancários, comércio, energia, saúde e plataformas governamentais.
• OneLogin: plataforma de acesso unificado baseada em nuvem especialmente para empresas e organizações.
• JumpCloud: empresa de software que conta com uma ferramenta de gerenciamento de servidor automatizada, além de uma plataforma em nuvem para gerenciamento de acessos e identidade.
• Microsoft Azure Active Directory: é uma solução de gerenciamento de acessos e de identidade baseada em nuvem, desenvolvida e mantida pela Microsoft. É destinada tanto para plataformas e produtos da própria empresa quanto para terceiros.
• SAML: oferece autenticações e gerenciamento de identidade através de um serviço em nuvem.
• LoginRadius: é uma plataforma de gerenciamento de acessos e identidade de usuários que permite que empresas ofereçam proteção digital e facilidade de acesso a seus usuários.

Como implementar o SSO?

A implementação de recursos de SSO pode variar de acordo com o serviço que for escolhido. Ainda assim, no geral ela inclui as seguintes etapas:

1. Mapeamento das aplicações que serão conectadas à SSO: definir quais aplicações serão incluídas na estrutura SSO é o primeiro passo para implementar um serviço de login único. Dividir a estrutura SSO em compartimentos para cada conjunto de aplicações também é um ponto válido. Verifique se a solução SSO oferece integrações e compatibilidade com os serviços que você quer incluir.
2. Integração com o IDP (Identity Provider): caso você tenha seu próprio provedor de identidade, certifique-se de que a solução SSO vai conseguir realizar a integração e realize os testes necessários.
3. Verificação de dados no seu diretório de identidade: para garantir o funcionamento do SSO, você precisa de informações corretas para identificar seus usuários (como limitações e recursos para assegurar segurança na internet para as crianças em plataformas infantis, por exemplo).
4. Avaliação e configuração dos privilégios de usuários: defina diferentes níveis de acesso e privilégios para as contas de usuários.
5. Garantia do nível de segurança adequado para a solução SSO: como o serviço SSO realiza o gerenciamento e processos de autenticação de usuários de forma centralizada, é importante garantir um bom nível de segurança e confiabilidade no serviço.