Como funciona o logon único (SSO)

O que é logon único?

O logon único, às vezes chamado de SSO, é um tipo de autenticação que permite aos usuários usar um único conjunto de credenciais de login (por exemplo, nome de usuário e senha) para acessar vários aplicativos, sites ou serviços. Ao contrário de outras opções de controle de acesso, o logon único pode ser usado por organizações de pequeno, médio e grande porte para eliminar a necessidade de fazer login várias vezes ou lembrar várias senhas.

Como funciona o logon único

O logon único é baseado em um arranjo de gerenciamento de identidade federada (às vezes chamado de federação de identidade) entre vários domínios confiáveis (por exemplo, uma organização que permite que seus usuários usem os mesmos dados de identificação para acessar todos os recursos). Os sistemas locais usam domínios confiáveis para autenticar usuários.

O logon único usa padrões abertos, como Security Assertion Markup Language (SAML), OAuth ou OpenID, para permitir que as informações da conta dos usuários sejam usadas por serviços de terceiros (por exemplo, sites, aplicativos) sem expor suas senhas. As informações de identidade são encaminhadas como tokens que contêm informações sobre os usuários, como e-mail ou nome de usuário.

A seguir está um resumo do processo de logon único.   

• O usuário abre o site ou aplicativo e, se não estiver conectado, vê um prompt de login com uma opção de logon único. 
• O usuário insere suas credenciais de login (por exemplo, nome de usuário e senha) no formulário de login. 
• O site ou aplicativo gera um token de logon único e envia uma solicitação de autenticação para o sistema de logon único. 
• O sistema de logon único verifica o domínio confiável para determinar se o usuário foi autenticado.  
• Se o usuário não tiver sido autenticado, ele será enviado para um sistema de login para autenticar por meio de credenciais de login. 
• Se o usuário tiver sido autenticado, é enviado um token de ao site ou aplicativo para confirmar a autenticação bem-sucedida e conceder acesso ao usuário. 

Se um usuário inserir credenciais incorretas, ele será solicitado a inseri-las novamente. Normalmente, várias tentativas fracassadas fazem com que o usuário seja bloqueado por um certo período ou totalmente bloqueado após muitas tentativas. 

Tokens de logon único

Um token de logon único é um arquivo digital usado para passar um conjunto de dados ou informações entre sistemas durante o processo de logon único. Ele contém informações de identificação do usuário, como nome de usuário ou endereço de e-mail, além de e informações sobre o sistema que envia o token.  

Para garantir que os tokens sejam originários de uma fonte confiável, eles devem ser assinados digitalmente. Durante o processo inicial de configuração de logon único, ocorre a troca de certificados digitais.   

Logon único e segurança

O logon único é amplamente usado porque simplifica o acesso e elimina a proliferação de nomes de usuário e senhas que causam dores de cabeça para usuários e administradores, especialmente em empresas com centenas ou milhares de aplicativos. No entanto, o logon único não está isento de riscos.  

As organizações que implementam o logon único precisam contabilizar e mitigar os riscos, pois um único conjunto de credenciais pode fornecer acesso não autorizado a vários aplicativos e processos. As preocupações de segurança comumente citadas em relação ao logon único são:

• Sequestro de conta 
• Violações de dados que podem resultar em vazamentos de dados, perda de dados e perda financeira
• Falsificação de identidade 
• Sequestro de sessão 

Duas medidas de segurança eficazes que podem ser implementadas juntamente com o logon único para fornecer exploração de proteção são a governança de identidade e a autenticação multifator.

Governança de identidade

A governança de identidade é uma iniciativa baseada em políticas que ajuda os administradores a gerenciar e controlar melhor o acesso de logon único. A governança de identidade fornece aos administradores uma visibilidade abrangente para saber quais funcionários têm acesso a quais sistemas e dados, bem como para detectar credenciais fracas, acesso indevido e violações de políticas.  

Os administradores usam ferramentas de governança de identidade para alterar, revogar ou remover vários níveis de acesso se houver suspeita (ou prova) de que as credenciais de logon único de um usuário foram comprometidas.

Autenticação multifator (MFA)

A implementação de autenticação multifator ou de dois fatores (2FA) com logon único ajuda a manter a segurança de domínios confiáveis. Isso ocorre porque é necessária uma verificação de identidade adicional além das credenciais de logon único para obter acesso. A autenticação multifator pode ser implantada em todas as contas vinculadas por logon único para fornecer proteção máxima. 

Como implementar o login único

1. Estabelecer objetivos para a implementação de logon único.
2. Determinar usuários e requisitos. 
3. Avaliar as capacidades existentes e identificar as lacunas. 
4. Definir o controle de acesso e outros requisitos. 
5. Verificar se a arquitetura de TI das organizações pode suportar o logon único e fazer ajustes para resolver as deficiências. 
6. Criar uma lista de soluções que atendam aos critérios principais. 
7. Realizar uma avaliação das opções para identificar a solução ideal. 
8. Trabalhar com as equipes de TI e segurança para garantir que a implementação de logon único atenda aos requisitos de usuário e de TI. 

Tipos de SSO

Logon único empresarial

Às vezes chamado de E-SSO, o logon único empresarial é implementado em ambientes de integração de aplicativos corporativos (EAI). O logon único corporativo permite que os usuários acessem todos os aplicativos, sejam eles locais ou hospedados na nuvem, com um único conjunto de credenciais de login.  

Com o logon único empresarial, os administradores obtêm credenciais quando os usuários fazem login inicialmente e as usam automaticamente para autenticar logins subsequentes em outros aplicativos e sistemas. Com a centralização dos nomes de usuário e senhas, o logon único empresarial libera os administradores de tarefas demoradas de gerenciamento de nomes de usuário e senhas. Dependendo dos controles definidos pelos administradores, os usuários podem conceder acesso a aplicativos por determinados períodos sem o suporte do administrador. 

Logon único federado

O logon único federado usa protocolos SSO padrão do setor para conceder aos usuários acesso a sites sem barreiras de autenticação. Ele expande o logon único padrão unindo vários grupos sob um sistema de autenticação centralizado. O logon único federado pode ser usado para fornecer acesso a vários sistemas em uma única empresa ou em empresas diferentes. 

Logon único móvel

Com o logon único móvel, uma única identidade pode fornecer acesso a vários aplicativos móveis conectados. Os tokens de acesso são armazenados no keychain de um sistema operacional de dispositivo móvel, o que permite que as sessões ativas sejam reconhecidas. 

Logon único com cartão inteligente

Em vez de depender de tokens e software digitais, o logon único de cartão inteligente usa um cartão físico para autenticação do usuário. O logon único do cartão inteligente exige que o usuário use as credenciais armazenadas no cartão para o login inicial. Para obter informações do cartão, é necessário utilizar um leitor, e os cartões precisam ter uma tarja magnética ou um método de transferência de dados sem contato. 

Logon único pela web

Com o logon único pela web, os usuários podem acessar vários sites conectados com um login. Depois que um usuário faz login em uma propriedade, ele pode passar de uma propriedade para outra e será reconhecido, autenticado e considerado confiável.

O login único pela web é comumente usado para aplicativos acessados a partir de sites. Existem duas técnicas principais para configurar o logon único pela web. 

1. O logon único é gerenciado no aplicativo da web ou nos agentes em aplicativos protegidos. Um desafio significativo nesse método é que ele exige que os aplicativos sejam modificados para o agente de logon único, e o aplicativo deve estar visível no navegador da Web do usuário.  
2. O logon único usa um proxy reverso para gerenciar dados de autenticação no aplicativo para permitir que os processos de logon único funcionem independentemente dos servidores da web. Nesse caso, o proxy reverso atua como intermediário, gerenciando o acesso e permitindo o processo de logon único. 

Como selecionar uma solução de logon único

As considerações ao selecionar uma solução de logon único variam de acordo com a organização e os casos de uso, mas a seguir estão alguns conceitos básicos que devem ser levados em consideração no processo de avaliação. 

Considerações organizacionais

• A solução de logon único é adequada para os casos de uso da organização?   
• A solução oferece suporte a recursos de TI que exigem logon único (por exemplo, aplicativos, dispositivos, redes)? 
• É uma solução de logon único de curto prazo adequada, que pode ser substituída sem causar transtornos inaceitáveis ou uma carga exagerada para a TI?   
• A solução de logon único poderá ser dimensionada para atender aos requisitos previstos?  
• A solução de logon único funcionará bem com outros sistemas de segurança? 

Considerações sobre a funcionalidade de login único

• Opções de autenticação, como suporte para autenticação multifator, autenticação adaptativa, autenticação forçada automática e via protocolo de acesso ao diretório leve (LDAP)
• Análise e resposta comportamental, como inserção em lista negra ou lista branca de endereços de protocolo de internet (IP), configuração de respostas para combater tentativas de força bruta e provisões para reautenticar usuários 
• Conformidade com os padrões de segurança, como ISO 27017, ISO 27018, ISO 27001, SOC 2 Tipo 2 e leis (por exemplo, Lei Geral de Proteção de Dados [LGPD], Lei de Privacidade do Consumidor da Califórnia [CCPA])
• Recursos de federação para permitir a implantação por meio de provedores de identidade preferenciais, como o Microsoft Active Directory e o Google Directory   
• Opções flexíveis de validação de senha, como limite de expiração de senha personalizável, complexidade da senha e notificações de expiração 
• Recursos de logon único prontos para dispositivos móveis para permitir suporte imediato para dispositivos móveis  
• Conexões pré-definidas e personalizadas para aplicativos Security Assertion Markup Language (SAML) 
• Autenticação usando protocolos padrão abertos, como JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) e SAML 
• Suporte para desenvolvedores, como suporte adequado à interface de programação de aplicativos (API) de gerenciamento de ciclo de vida e kits de desenvolvimento de software (SDKs) para as principais plataformas 

Benefícios do logon único

• Centraliza o processo de acesso a sites, aplicativos e outras contas, incluindo provisionamento e descomissionamento
• Melhora a produtividade, simplificando o acesso aos recursos 
• Expande a adoção de aplicativos promovidos pela empresa, tornando-os mais facilmente acessíveis 
• Facilita a auditoria de acesso do usuário, fornecendo controle de acesso robusto a todos os tipos de dados relacionados ao acesso 
• Libera os usuários da dificuldade de escolher senhas fortes para várias contas 
• Ajuda as organizações a cumprirem os regulamentos de segurança de dados  
• Melhora a postura de segurança, minimizando o número de senhas por usuário 
• Mantém o acesso seguro a aplicativos e sites 
• Permite que os aplicativos tenham outros serviços para autenticar os usuários   
• Minimiza o risco de maus hábitos de senha 
• Impede a TI invisível, permitindo que os administradores de TI melhorem o monitoramento das atividades dos usuários nos servidores do local de trabalho   
• Fornece uma melhor experiência ao cliente  
• Reduz os custos, reduzindo a procura pelos help desks de TI devido a problemas com a senha
• Remove credenciais de login de servidores ou armazenamento de rede para reduzir o risco cibernético
• Reforça a segurança das senhas 

Protocolos de SSO

O logon único valida e autentica as credenciais dos usuários por meio de diferentes padrões e protocolos abertos, como os apresentados a seguir. 

JSON web token (JWT)

O JSON Web Token, ou JWT, é um protocolo de logon único amplamente usado em aplicativos para uso pelo consumidor. Este padrão aberto (RFC 7519) é usado para transmitir informações para logon único como objetos JSON com segurança. 

Kerberos

O Kerberos é um sistema de autenticação baseado em tíquetes que permite que várias entidades verifiquem mutuamente sua identidade usando criptografia para impedir o acesso não autorizado às informações de identificação. No Kerberos para recursos de logon único, depois que as credenciais são validadas, é emitido um tíquete de concessão de tíquete que é usado para recuperar tíquetes de serviço para outros aplicativos que os usuários autenticados precisam acessar. 

Open Authorization (OAuth)

Com o OAuth, ou Open Authorization, os aplicativos podem acessar as informações do usuário de outros sites sem fornecer uma senha. O OAuth é usado no lugar de senhas para obter permissão para acessar informações protegidas por senha. Em vez de solicitar senhas de usuário, os aplicativos usam o OAuth para obter permissão do usuário para acessar dados protegidos por senha.   

OpenID Connect (OIDC)

Padronizado pela OpenID Foundation e baseado na estrutura OAuth 2.0, o OpenID Connect (OIDC) é uma autenticação que fornece uma abordagem descentralizada para logon único. Com o OIDC, o site ou aplicativo autentica as credenciais do usuário. Em vez de passar um token para um provedor de identidade de terceiros, o OpenID Connect faz com que o site ou aplicativo solicite informações adicionais para autenticar os usuários. 

Security Assertion Markup Language (SAML)

O SAML, ou Security Assertion Markup Language, é um protocolo que sites e aplicativos usam para trocar informações de identificação com um serviço de logon único por meio de XML. O SAML permite que os usuários façam login uma vez em uma rede antes de receber acesso a todos os aplicativos dessa rede.  

Com os serviços de logon único baseados em SAML, os aplicativos não precisam armazenar as credenciais do usuário no seu respectivo sistema, tornando-o mais flexível e seguro do que outras opções. Ele também aborda problemas que os administradores de TI têm ao tentar implementar o logon único com o Lightweight Directory Access Protocol (LDAP). 

Casos de uso do logon único

Logon único com autenticação multifator

Usados em conjunto, o logon único e a autenticação multifator tornam a autenticação simples e segura. Essa combinação mantém a segurança aprimorada, aumenta a acessibilidade a aplicativos e sites e reduz o tempo que os administradores devem gastar para fornecer e controlar o acesso. 

Logon único e LDAP

Geralmente usada para armazenar as credenciais dos usuários, a funcionalidade de logon único do LDAP pode ser usada para gerenciar bancos de dados LDAP em vários aplicativos.   

Logon único para equipes remotas  

A adoção generalizada do trabalho remoto expandiu o uso do logon único para quase todos os recursos de TI. O logon único é amplamente usado porque vai além dos outros sistemas de gerenciamento de identidade e acesso. Ele oferece uma abordagem independente de sistema operacional/plataforma, orientada por protocolo e baseada em nuvem para acessar a autenticação e a autorização.

O logon único facilita a autenticação para usuários e administradores

O logon único é uma tecnologia que simplificou os fluxos de trabalho e melhorou a produtividade para usuários e administradores. Com várias opções de implantação, o logon único pode se adequar a praticamente qualquer caso de uso. Por eliminar problemas e vulnerabilidades da disseminação de senhas, o logon único se tornou uma ferramenta amplamente utilizada na segurança de TI. 

Você também pode estar interessado em: