Single Sign-On: O que é, como funciona e por que você precisa dele

Publicados: 2022-05-07

É provável que você tenha feito login em algo por meio do logon único na última semana, mas você entende como funciona e por que sua empresa deve usá-lo?

Qual é a parte mais valiosa do seu site?

Seu doce algoritmo para compactar arquivos de vídeo? Sua coleção cada vez maior de IP original? Ou talvez a experiência de jogo que seus usuários obtêm ao invadir um lugar que é basicamente a Terra Média, mas que – por razões legais – definitivamente não é a Terra Média?

Do ponto de vista de um hacker, nada disso importa. Hackers estão procurando por dados pessoais. Nomes, endereços, e-mails e senhas — detalhes sobre a identidade de um usuário que podem ser usados ​​posteriormente para golpes de phishing, ataques de ransomware e roubo de identidade.

Senhas e outros detalhes de login podem estar no topo da lista nos dias de hoje. A empresa de design de interiores Houzz perdeu mais de 48 milhões de senhas no ano passado. A Zynga, produtora de jogos conhecida por “Words with Friends” e “Draw Something”, também foi atingida por um ataque de segurança, com cerca de 218 milhões de credenciais de usuários roubadas.

Infelizmente, quando se trata de prevenção de violações de segurança, nunca é 100% possível. No entanto, existem maneiras de reduzir as chances de os usuários terem suas senhas roubadas em uma violação. Bem-vindo ao single sign-on, uma estrutura de gerenciamento de identidade que resolve vários problemas comuns de negócios.

O que é logon único (SSO)?

O logon único (SSO) é um sistema de identificação que permite que os sites usem outros sites confiáveis ​​para verificar os usuários. Isso libera as empresas da necessidade de manter senhas em seus bancos de dados, reduz a solução de problemas de login e diminui os danos que um hack pode causar.

Os sistemas SSO funcionam como um provedor de identidade, como um cartão de identificação. Por exemplo, se você for parado por excesso de velocidade, o policial não precisa conhecê-lo pessoalmente; eles podem apenas olhar para sua licença e ver que seu estado atesta sua identidade.

Da mesma forma, com o SSO, seu site não faz você provar sua identidade verificando dentro de si. Em vez disso, ele verifica com um provedor de SSO (como LinkedIn, Microsoft ou Google) para ver se pode verificar sua identidade. Se puder, o site aceita a palavra deles.

Tecnicamente, muito do que está sendo chamado de logon único é, na verdade, uma mistura de SSO puro e delegação ou federação. Há uma espécie de confusão entre todas as plataformas, especialmente quando os provedores de identidade como serviço entram na mistura.

Usaremos SSO aqui, com textos explicativos quando as distinções realmente importam.

Como funciona o SSO?

Explicar o sistema em linhas gerais é simples, mas explicar o processo de implementação do SSO requer um pouco mais de experiência. Normalmente, quando você faz login em um sistema, o provedor de serviços ou domínio (website.com, neste exemplo) o autenticará por conta própria. Igual a:

1. Como usuário, você acessa uma página intermitente em website.com que verifica se você já está logado. caixa de entrada, por exemplo).

2. Se você ainda não estiver logado, será apresentada uma tela de login.

3. Você coloca suas credenciais de login (e-mail e senha) no formulário, website.com verifica essas credenciais em seu banco de dados e, em seguida, você está conectado ou rejeitado.

4. Se você estiver logado, o site.com emitirá algum tipo de rastreador. Isso pode estar no servidor ou pode ser enviado para você como um token.

Agora, sempre que você se movimenta pelo site, o sistema apenas verifica se o rastreador – e, portanto, sua autenticação – está atualizado.

Se você fizesse a mesma coisa com o SSO em vigor, ficaria mais parecido com isto:

1. Como usuário, você acessa uma página intermitente (um portal de SSO) no website.com que verifica se você já está logado. por exemplo.

2. Se você ainda não estiver logado, website.com apresenta opções de autenticação por meio de um provedor de identidade de terceiros (Google, Amazon, Facebook, etc.). Você escolhe o provedor de sua preferência e faz login com esse provedor, digamos, o Google.

3. O Google verifica se você é você, verifica se website.com é o site que afirma ser, então o autentica com base no banco de dados de senhas do Google e emite um token de volta para website.com.

4. Website.com obtém o token do Google, verificando sua identidade. Ele agora associa você ao restante dos dados do usuário — preferências, histórico, carrinho de compras e assim por diante — e está tudo pronto.

  • Em um verdadeiro sistema de SSO , você navegará de um site para outro com acesso total.
  • Em um sistema delegado , o Google retornará uma verificação de identidade e um conjunto de usos autorizados. Website.com pode ter acesso ao seu nome e e-mail, por exemplo, mas não pode mostrar sua localização ou idade. (Veja o exemplo abaixo.)


Um exemplo do fluxo de redirecionamento ao usar o SSO de Auth0 (origem)

Excelente! Mas por que alguém se incomodaria com isso?

Os benefícios para os usuários

Existem alguns benefícios principais para os usuários que interagem com o SSO.

  • Conveniência. Os usuários só precisam lembrar de um conjunto de detalhes de login. Ao conectar seu site aos logins deles no Google, você garante que até mesmo usuários esporádicos possam se lembrar de como fazer login; eles apenas fazem login no Google.
  • Transparência. Os usuários sabem o que está sendo compartilhado de um sistema para outro — pelo menos em um sistema delegado. É como quando você instala um novo aplicativo em seu telefone e ele pede permissão para acessar suas fotos, contatos e conta bancária. Se você não estiver satisfeito com essas opções, poderá optar por sair.
  • Velocidade. Com o SSO, os usuários não precisam passar por longos processos de inscrição e autorização. Como o Google já fez toda a verificação de e-mail e coleta de dados, novos usuários podem se inscrever tão rapidamente quanto podem fazer login no Google.
  • Segurança. Os usuários também ficam tranqüilos ao saber que o proprietário do site, Marlon Rando, não tem sua senha armazenada em texto simples em algum lugar fora da internet. O Google continua sendo o principal ponto de confiança, o que permite ao usuário experimentar coisas novas sem medo.

Os benefícios para o seu negócio

Essa é uma ótima notícia para seus usuários, mas o que você ganha, o proprietário do site?

  • Mais inscrições de usuários. O SSO oferece uma barreira menor à entrada, para que novos clientes possam se inscrever com facilidade e segurança, confiando em uma marca conhecida. O Facebook está gerenciando o processo, então eles não se preocupam com seu sistema e marca desconhecidos. A confiança é aumentada, o que aumenta as conversões.
  • Menos trabalho no back-end. Ou seja, você não terá que brincar com senhas. Embora seja importante reduzir o risco de invasão, ainda mais importante é não ter que redefinir as senhas das pessoas a cada cinco minutos. Todo o trabalho pesado de autenticação e senha é gerenciado pelo autenticador confiável.
  • Coleção de dados. Você também pode acessar mais informações como Google ou Facebook ou quem quer que as disponibilize. São todos os benefícios da coleta de dados sem todos os problemas associados a ela.
  • Risco reduzido. Finalmente, você está removendo aquela torta tentadora do peitoril da janela. Os hackers têm menos incentivo para acessar seu site se você não hospedar uma tonelada de detalhes de login. Também é menos provável que você tenha um monte de usuários com senhas terrivelmente fracas fazendo buracos na segurança geral do seu site.

Em suma, adotar uma solução de SSO pode facilitar a vida de você e de seus clientes.

SSO + MFA: Conveniência sem sacrificar a segurança

O SSO é conveniente, mas tem suas armadilhas. Ou seja, se uma conta SSO for invadida, outras pessoas sob o mesmo sistema de autenticação também poderão ser direcionadas. Uma maneira de neutralizar esse risco é implementar a autenticação multifator (MFA).

Autenticação multifator

Um método de autenticação de usuário que exige que os usuários forneçam dois ou mais fatores de verificação.

O SSO combinado com o MFA faz um trabalho muito melhor na proteção de contas de usuário do que o SSO sozinho. Além disso, fornecer aos usuários a eficiência e a facilidade que o MFA e o SSO oferecem significa reduzir a chance de redefinição de senha ou chamada de suporte técnico.

Começando

Se o seu negócio for tecnicamente inclinado – ou seja, você emprega engenheiros de software de algum tipo – você também pode conferir o protocolo OAuth, que sustenta muitas das soluções comerciais no mercado.

Se você estiver procurando por uma ferramenta que possa integrar com sua pilha de tecnologia atual, você pode navegar no diretório de gerenciamento de identidades do Capterra para obter uma lista completa de provedores de SSO, onde você pode usar a ferramenta de filtragem (lado esquerdo da tela) para navegar pelo MFA- produtos específicos. Nosso software de autenticação e diretórios de logon único são ótimos lugares para encontrar ferramentas de SSO e MFA.