Tegenwoordig vereist bijna elke website authenticatie zodat u toegang krijgt tot de inhoud, toepassingen en functies ervan. Helaas, hoe meer pagina’s u bezoekt of diensten u gebruikt, hoe verwarrender de wachtwoordenjungle wordt. Met behulp van Single Sign-On krijgt u toegang tot verschillende bronnen of diensten na één enkele aanmelding en bespaart u zich dus aparte aanmeldingen. In dit artikel leggen we uit hoe de procedure werkt, welke voor- en nadelen SSO heeft ten opzichte van andere authenticatiemethoden en waar het in de praktijk te vinden is.
In de praktijk wordt bij single sign-on vooral onderscheid gemaakt tussen portaaloplossingen, ticketsystemen en lokale oplossingen.
Hoewel SUSP ook gebruik maakt van dezelfde aanmeldingsgegevens voor verschillende diensten, is in tegenstelling tot SSO voor elke dienst een aparte aanmelding inclusief invoer nodig.
SSO vermindert het risico om slachtoffer te worden van phishing of een man-in-the-browser aanval. Als de toegangsgegevens echter in verkeerde handen vallen, kan dit verstrekkende gevolgen hebben.
Inhoudsopgave
Definitie: Wat betekent Single Sign-On en hoe werkt het?
Single Sign-On (SSO) laat zich losjes vertalen als “single sign-on” en beschrijft een procedure waarmee je via één authenticatieproces toegang krijgt tot verschillende applicaties, diensten of bronnen. In plaats van meerdere accounts en wachtwoorden heeft u dus slechts één aanmeldingsrecord nodig.
Daartoe kent SSO u een overkoepelende identiteit toe die tegelijkertijd geldig is voor verschillende diensten en bekend is bij alle betrokken toepassingen. Bovendien beschikt het systeem over al uw toegangsgegevens en bevestigt deze aan de betrokken diensten en toepassingen.
Goed om te weten: Het concept van een gecentraliseerde of gekoppelde elektronische identiteit die meerdere systemen omspant, wordt een ‘gefedereerde identiteit’ genoemd.
1.1 SSO-authenticatiesystemen
De mechanismen kunnen op verschillende manieren worden toegepast. In principe zijn er echter drie verschillende authenticatiesystemen:
- OpenID is een gedecentraliseerd open source SSO-authenticatiesysteem dat vooral geschikt is voor webgebaseerde diensten. Om het te gebruiken heeft de gebruiker een zogenaamd OpenID-account (identifier URL) nodig, dat hij of zij ontvangt van een OpenID-identiteitsprovider (bv. Google). Dit wordt gebruikt om de gebruiker te authenticeren bij alle andere SSO-diensten. De bijbehorende OI-provider stuurt vervolgens een token dat dient als bewijs van de identiteit van de gebruiker naar de website in kwestie.
- Het OAuth2-protocol is de laatste jaren een soort standaard geworden voor clientautorisatie in API’s en wordt nu ook gebruikt door veel grote providers zoals Google, Facebook of Twitter. In plaats van zich rechtstreeks bij een website te authenticeren zoals bij OpenID, delegeert de gebruiker deze taak aan een client. Deze logt dan in op de website met een token van de OI-provider. Dit heeft als voordeel dat u uw gegevens niet rechtstreeks aan de betrokken website hoeft over te dragen.
- Het webgebaseerde Single Sign-On protocol SAML (Security Assertion Markup Language) is de oudste van de drie procedures. Het voorziet de browser van de gebruiker van een gecodeerde sessiecookie, inclusief een vervaldatum, waarmee de gebruiker zich uniek kan verifiëren bij de andere diensten. De diensten zelf kunnen zich in het lokale netwerk of op het internet bevinden.
De aanmelding blijft bestaan totdat u zich afmeldt met uw centrale account (“single sign-off”) of er wordt een automatische afmelding geïnitieerd na een vooraf bepaalde periode.
Goed om te weten: Authenticatie is niet hetzelfde als autorisatie. Helaas ontstaat er vaak verwarring door de gelijkenis van beide termen. Terwijl authenticatie wordt gebruikt om een gebruiker te identificeren aan de hand van zijn of haar toegangsgegevens, verleent autorisatie een dienst het recht om bepaalde profielgegevens te gebruiken.
Wat zijn de voor- en nadelen van Single Sign-On in vergelijking met andere authenticatiemethoden?
Een van de grootste voordelen van SSO is zeker de tijdsbesparing. Want door de eenmalige authenticatie hoef je niet steeds nieuwe gebruikersnamen en wachtwoorden in te typen. Dat maakt je niet alleen productiever, maar verhoogt tegelijkertijd de veiligheid, omdat de zin maar één keer wordt doorgegeven en je niet met een lange lijst van (vaak nog onveiligere) wachtwoorden te maken krijgt. Een enkel wachtwoord is meestal gemakkelijker te onthouden, dus mag het iets ingewikkelder zijn.
Als u de toegang voor een gebruiker wilt blokkeren of wijzigen, vereist dit niet langer tijdrovende en foutgevoelige configuraties op meerdere logins op verschillende databases. In plaats daarvan worden de overeenkomstige wijzigingen aangebracht in de algemene identiteit en dus gerepliceerd op alle betrokken instanties.
Een ander pluspunt: omdat de gegevens slechts op één plaats worden opgeslagen, vermindert SSO ook het risico van phishing-aanvallen en man-in-the-browser-aanvallen.
Single sign-on heeft niet alleen voordelen
Maar ondanks alle positieve aspecten heeft de procedure ook enkele nadelen die we natuurlijk niet willen negeren. Zo kan SSO alleen gebruikt worden met diensten die het systeem ook kan beheren. Het wordt echter echt gevaarlijk als je toegangsgegevens in verkeerde handen zouden vallen, want zo krijg je toegang tot meerdere systemen tegelijk.
Bovendien is de beschikbaarheid van de verschillende diensten en toepassingen direct afhankelijk van Single Sign-On. In gewone taal betekent dit dat als het systeem defect is of om een andere reden niet goed werkt, u het niet gedeeltelijk kunt gebruiken. Overigens geldt dit ook voor geblokkeerde gebruikers. Als uw aanmelding voor een SSO-dienst wordt geblokkeerd (bv. wegens herhaalde onjuiste invoer), hebt u ook geen toegang meer tot alle andere diensten.
Welke vormen van SSO zijn er en waar zijn ze in de praktijk te vinden?
Door hun grote gebruiksvriendelijkheid zijn SSO-procedures zowel in de particuliere als in de professionele sector te vinden en er is inmiddels een hele reeks diensten op de markt waarmee ze kunnen worden gerealiseerd. Het gaat daarbij voornamelijk om een van de volgende drie benaderingen:
3.1 Portaaloplossingen
De naam doet het al vermoeden: Bij een portaaloplossing logt u in op een portaal waarin verschillende applicaties, diensten en processen zijn geïntegreerd. Bij uw aanmelding wordt uw identiteit eenmalig geverifieerd en vervolgens krijgt u toegang tot alle content, functies en middelen.
Een typisch voorbeeld van een portaaloplossing is uw Google-account: Met één login kunt u onder meer Gmail en het Cloud Platform gebruiken, winkelen in de Play Store of Maps personaliseren.
3.2 Ticket systemen
Het ticketsysteem is een SSO-oplossing die bestaat uit een netwerk van diensten die bij elkaar bekend zijn. Voor toegang log je eenmalig in en ontvang je een virtueel ticket. Met dit ticket identificeer je jezelf bij de andere deelnemers. Het systeem certificeert u vervolgens als “betrouwbaar” en geeft u vrij voor de andere deelnemers.
De bekendste vertegenwoordigers van de categorie ticketsystemen zijn bijvoorbeeld het Liberty Alliance Project en de Kerberos-authenticatiedienst.
3.3 Lokale oplossingen
Bij lokale oplossingen worden de toegangsgegevens en wachtwoorden op een centrale plaats opgeslagen (bv. een externe gegevensdrager, een netwerkcomputer in het bedrijf of in de cloud) en versleuteld met een enkele gebruikersnaam en een zogenaamd “metawachtwoord”.
Hiervoor wordt meestal een SSO-client gebruikt, die op het regelmatig gebruikte werkstation wordt geïnstalleerd. Deze is zo geconfigureerd dat hij automatisch de informatie uit de betreffende bron ophaalt en invoert in het inlogscherm dat op dat moment geopend is.
De wachtwoorddiensten van bijvoorbeeld Apple (Safari) en Google (Chrome) zijn zulke SSO-clients.