Introductie tot Single Sign-On (SSO)

Met Single Sign-On (SSO) kan een gebruiker met één set inloggegevens in meerdere applicaties inloggen. De gebruiker hoeft dus niet meerdere wachtwoorden te onthouden. SSO is niet alleen gebruiksvriendelijker, maar ook veiliger dan het gebruik van meerdere wachtwoorden.

De bekendste On-Premise SSO-oplossing is Microsoft Active Directory Federation Services (ADFS), onderdeel van Microsoft Windows Server. Diverse derde partijen bieden cloudgebaseerde SSO-oplossingen, zoals Microsoft Entra ID, Google Workspace en Okta. Deze cloudoplossingen bieden vaak extra functionaliteiten naast SSO.

Voor- en nadelen van per-app toegang

Het gebruik van een sterk wachtwoord voor elke applicatie is in principe veiliger, omdat het de impact van een mogelijke datalek beperkt. Deze methode kent echter enkele nadelen:

• Wachtwoordbeheer voor elke applicatie verhoogt de administratieve last. Gebruikers vergeten vaak hun wachtwoorden en hoe meer wachtwoorden een gebruiker moet beheren, hoe groter de kans op verlies.
• Het is lastig om een consistente per-applicatie wachtwoordbeleid binnen de organisatie te implementeren.
• Het voorkomen van hergebruik van wachtwoorden over applicaties heen is moeilijk, waardoor de theoretische voordelen van per-app wachtwoorden afnemen.
• Monitoring en logging van toegang tot individuele applicaties is complex, waardoor het moeilijker is datalekken te detecteren.

Voordelen van SSO

SSO vereenvoudigt het wachtwoordbeheer voor zowel beheerders als gebruikers:

• Een gebruiker hoeft slechts één wachtwoord te onthouden en kan altijd in meerdere applicaties inloggen.
• Beheerders kunnen accounts centraal beheren, wat de administratieve last van wachtwoordherstel vermindert.
• Wanneer een medewerker of aannemer de organisatie verlaat, kan alle toegang in één keer worden ingetrokken.
• Met cloud SSO-oplossingen is het eenvoudig om extra beveiliging toe te voegen met Multi-Factor Authentication (MFA).
• Cloud SSO-oplossingen bieden vaak een app-dashboard. Met één klik kan een gebruiker elke applicatie starten en wordt automatisch ingelogd.
• De meeste cloud SSO-oplossingen bieden goede monitoring, waardoor datalekken snel worden gedetecteerd.

Nadelen van SSO

Het grootste nadeel van SSO is dat één set inloggegevens (gebruikersnaam en wachtwoord) toegang geeft tot meerdere applicaties. Als een kwaadwillende toegang krijgt, kunnen meerdere applicaties tegelijk worden gecompromitteerd. Een gecompromitteerde IdP kan ook inloggegevens lekken, maar IdP’s zoals Okta investeren aanzienlijk meer in beveiliging dan de meeste IT-afdelingen kunnen.

Identity Providers (IdP)

SSO werkt op basis van een Identity Provider (IdP) en een service provider (SP). Er bestaat een vertrouwensrelatie tussen de IdP en de SP. De SP vertrouwt erop dat de IdP gebruikers veilig authenticeert, terwijl de IdP erop vertrouwt dat de SP de geauthenticeerde gebruiker accepteert. De IdP controleert de gebruiker met werkplek-credentials bij het inloggen in Zivver.

Het gebruik van SSO in Zivver

Wanneer een organisatie SSO met Zivver instelt, neemt zij volledige verantwoordelijkheid voor de authenticatie van haar gebruikers. De IdP meldt aan Zivver (de SP) dat een specifieke gebruiker is geauthenticeerd. De organisatie garandeert dat de IdP gebruikers veilig authenticeert, eventueel met meerdere factoren. Zivver voert geen extra MFA uit wanneer SSO actief is. Standaard zijn alle Zivver-accounts beschermd met MFA, tenzij de organisatie dit via SSO uitschakelt.

Technische ondersteuning

Zivver kan SSO instellen met elke IdP die SAML 2.0 ondersteunt. Momenteel ondersteunt Zivver de volgende IdP’s standaard:

Google Workspace

Microsoft ADFS

Microsoft Entra ID

Okta

VMWare

OneLogin

HelloID

Neem contact op met Zivver via enterprise@zivver.com als jouw organisatie SSO wil instellen met een IdP waarvoor nog geen handleiding beschikbaar is.

Externe toegang

Niet alle IdP’s zijn extern bereikbaar, dus vanaf buiten het bedrijfsnetwerk. Cloud IdP’s zijn uiteraard overal bereikbaar. Voor gebruik van Zivver is het belangrijk dat de IdP extern toegankelijk is. Gebruikers kunnen overal inloggen via de Zivver WebApp, de Zivver Mobile App (Android/iOS) en de Zivver Outlook Web Access Add-in.

Opmerking

Als de IdP niet extern bereikbaar is, kunnen gebruikers alleen intern inloggen in Zivver. Beheerdersaccounts kunnen wel extern inloggen met een wachtwoord.

SSO zonder automatische accountaanmaak

Wanneer je SSO gebruikt zonder Zivver Synctool of Zivver Cloud Sync, worden standaard normale Zivver-accounts met tijdelijke wachtwoorden aangemaakt. De gebruiker voert dit tijdelijke wachtwoord bij eerste login in en kan daarna inloggen met SSO-gegevens. Het nadeel is dat het tijdelijke wachtwoord gedeeld moet worden met de gebruiker.

Zivver support kan deze tijdelijke-wachtwoordstap uitschakelen, zodat gebruikers direct met SSO kunnen inloggen. Beheerders hoeven het tijdelijke wachtwoord niet meer te delen.

Opmerking

Gebruikers moeten binnen 4 weken na aanmaak van het Zivver-account inloggen. Als dit niet gebeurt, raadt Zivver aan deze accounts te verwijderen.

Gebruikersaccounts aanmaken met SSO login

Just-in-time Provisioning automatiseert het aanmaken van gebruikersaccounts in Zivver wanneer gebruikers inloggen via SSO. Hierdoor is handmatige accountaanmaak in de WebApp of vooraf synchroniseren via Zivver Synctool of Cloud Sync overbodig. Meer informatie in Just-in-time Provisioning for User Accounts.

Single Sign-on verwijderen

1. Log in bij de Zivver WebApp.
2. Klik Organisatie-instellingen.
3. Vouw Gebruikersbeheer uit.
4. Klik Single Sign-on.
5. Scroll naar de kaart Single sign-on instellingen verwijderen.
6. Klik Single sign-on instellingen verwijderen.
7. Verwijder de SSO-applicatie voor Zivver uit de IdP. De stappen verschillen per IdP.