Single Sign-On

Introductie tot Single Sign-On (SSO)

Met Single Sign-On (SSO) kan een gebruiker met één inlognaam en wachtwoord in meerdere applicaties inloggen. De gebruiker hoeft dus niet meerdere wachtwoorden te onthouden. SSO gebruiken is niet alleen gebruiksvriendelijker, maar ook veiliger dan meerdere wachtwoorden gebruiken.

Er bestaan on-premise en cloudoplossingen voor SSO. De bekendste on-premise SSO-oplossing is Microsoft Active Directory Federation Services (ADFS) en is onderdeel van Microsoft Windows Server. De markt verschuift zich echter steeds meer naar cloudoplossingen. Verschillende partijen bieden een SSO-cloudoplossing zoals Microsoft Azure, Google G Suite en Okta. Deze cloudoplossingen bieden naast SSO vaak meerdere functionaliteiten aan.

Voor- en nadelen van een uniek wachtwoord per applicatie

In de basis is het veiliger om per applicatie een zeer sterk wachtwoord te gebruiken. Echter brengt deze methode in de praktijk een aantal nadelen met zich mee:

Voordelen gebruik SSO

SSO kan wachtwoordmanagement vereenvoudigen voor zowel de gebruikers als de beheerders:

Nadelen gebruik SSO

Het grootste nadeel van SSO gebruiken is dat één ingang (één inlognaam en wachtwoord) toegang geeft tot meerdere applicaties. Als een kwaadwillend persoon/instantie deze inloggegevens in handen krijgt, dan heeft hij daarmee ook overal toegang toe. In theorie zou een Identity Provider (bijvoorbeeld Okta) gegevens kunnen lekken. Echter zal een Identity Provider doorgaans voldoende middelen inzetten om dit te voorkomen. Vaak hebben zij meer middelen ter beschikking om dit te voorkomen dan een gemiddelde IT-afdeling heeft.

Identity Providers (IdP)

SSO werkt op basis van een IdP en een Service Provider (SP). Een IdP is de poortwachter welke de gebruiker authenticeert. Een IdP authenticeert een gebruiker als een applicatie hier om vraagt (SP initiated) of als de gebruiker vanuit de IdP (via een appdashboard) in een applicatie wilt inloggen (IdP initiated). De applicatie is in beide gevallen de SP.

Stel een SP heeft een SSO-koppeling met een IdP. De SP kan de gebruiker pas inloggen nadat de IdP de gebruiker authenticeert. Dit laat zien dat er een vetrouwensrelatie tussen de IdP en de SP bestaat. De SP vertrouwt erop dat de IdP de gebruiker goed en veilig authenticeert. Andersom vertrouwt de IdP de SP dat de geauthenticeerde gebruiker en niet een andere gebruiker wordt ingelogd.

Het gebruik van SSO in ZIVVER

Als we bovenstaande informatie naar ZIVVER vertalen, dan betekent dit het volgende: als een organisatie een SSO-koppeling met ZIVVER opzet, dan neemt de organisatie de verantwoordelijkheid voor het authenticeren van de gebruiker volledig op zich. De IdP geeft namelijk aan ZIVVER (de SP) aan dat deze specifieke gebruiker in ZIVVER ingelogd mag worden. De organisatie garandeert daarbij dat de IdP de gebruiker op een veilige manier authenticeert (indien noodzakelijk met een MFA) en dat deze authenticatie niet omzeild kan worden door een kwaadwillend persoon/instantie. ZIVVER controleert deze SSO-inlogpoging niet en werpt ook geen MFA meer op. Standaard worden alle ZIVVER-accounts namelijk extra beveiligd met een MFA, tenzij de organisatie deze beveilingslaag uitzet door SSO te gebruiken.

Technische eisen

ZIVVER kan met iedere IdP een SSO-koppeling opzetten als de IdP SAML 2.0 ondersteunt. Op dit moment hebben wij handleidingen beschikbaar om een SSO-koppeling te maken via de volgende IdP’s.

Google G Suite

Microsoft ADFS

Microsoft Azure AD

Okta

Neem contact met ons op via enterprise@zivver.com als jouw organisatie een SSO-koppeling wil opzetten met een IdP waarvoor nog geen handleiding beschikbaar is.

Extern benaderbaar

Niet alle IdP’s zijn extern - buiten het bedrijfsnetwerk - benaderbaar. Een IdP in de cloud is vanzelfsprekend benaderbaar ongeacht de locatie. Om ZIVVER te gebruiken is het belangrijk dat de IdP extern benaderbaar is. De gebruiker kan waar dan ook (thuis of onderweg) inloggen in de webapp (https://app.zivver.com), de Mobile App (voor Android/iOS) en de OWA add-in. Als de IdP niet extern benaderbaar is, dan kan de gebruiker alleen intern in ZIVVER inloggen via SSO.

Notitie

Gebruikers kunnen alleen intern - binnen het bedrijfsnetwerk - inloggen wanneer de IdP niet extern benaderbaar is. Gebruikers mogen namelijk alleen inloggen via SSO wanneer SSO wordt gebruikt in ZIVVER. Beheerders kunnen wel extern inloggen met hun ZIVVER-wachtwoord, want beheerders hebben zowel een ZIVVER-wachtwoord als SSO-inloggegevens.