O que é Single Sign-On (SSO)? Como o SSO funciona?

Existe algo que todos nós fazemos, mesmo sabendo que não deveríamos. Guardamos aquele arquivo no celular ou um pedaço de papel na carteira, ou pior ainda, um post-it colado na parte de trás do teclado, com nossas senhas e nomes de usuário. Além disso, temos o hábito de usar o nome do nosso animal de estimação com alguns números e caracteres especiais.

O fato é que a vida moderna no mundo da web significa que precisamos, de alguma forma, controlar dezenas de nomes de conta e senhas. A menos que você tenha uma memória extraordinária, elas não serão todos diferentes. Na maioria das vezes, elas são simples, antigas e, se alguém se esforçar bastante, são fáceis de adivinhar. Isso é um prato cheio para potenciais cibercriminosos e pode ser evitado.

O que é SSO (Single Sign-On)?

Essa tecnologia é uma solução parcial para o problema das senhas que nos incomoda tanto no trabalho quanto na vida pessoal. Ela nos permite fazer login uma vez em um servidor de autenticação, que emite certificados em nosso nome, os quais servem como credenciais verificadas para as aplicações participantes.

É provável que você já tenha usado um sistema assim. Se você optou por fazer login com a Apple, Google ou o sistema de gerenciamento de identidade de algum outro grande provedor, em vez de criar uma nova senha para uma aplicação web, você está usando o SSO. Cada vez mais, o SSO também é usado em empresas, frequentemente em combinação com outras tecnologias de autorização, tanto para proteger os sistemas corporativos quanto para tornar a manutenção de senhas viável em dezenas ou centenas de aplicações e serviços.

Principais conclusões

• O SSO (Single Sign-On) facilita a vida de quem precisa memorizar várias combinações de senhas e nomes de usuário.
• O SSO simplifica a vida das equipes de TI, fornecendo apenas um sistema de autenticação para gerenciar em toda a organização.
• O SSO também permite que as aplicações autentiquem usuários em serviços necessários ao seu funcionamento, como aqueles que gerenciam conexões de rede ou verificam atualizações de software.

SSO explicado

O conceito do single sign-on é simples: em vez de fornecer um nome de usuário e senha ou se identificar de outra forma em cada aplicação, você fornece essas informações apenas uma vez para um servidor de autenticação. Feito isso, o servidor de autenticação envia certificados de identificação em seu nome quando você acessa qualquer aplicação que participe do sistema SSO.

O SSO reduz o número de nomes de usuário e senhas que você precisa saber. Também pode reduzir significativamente o número de vezes que é necessário fornecer credenciais de identificação, facilitando o uso de uma ampla gama de aplicações e aumentando a probabilidade de criar senhas mais fortes. Do ponto de vista dos administradores de TI corporativos, o SSO permite que eles atualizem os procedimentos de segurança e implementem mecanismos de autenticação mais avançados para serem usados ​​pelo servidor de autenticação, permitindo que todas as aplicações habilitadas usem métodos de autenticação mais seguros sem a necessidade de modificações.

Na sua vida pessoal, usar o sistema de autenticação de um grande fornecedor em vez de configurar manualmente um novo nome de usuário e senha em cada aplicação traz diversos benefícios. Uma das principais vantagens é que os grandes fornecedores de serviços de gerenciamento de identidade federada são bons em proteger senhas e outros dados pessoais que recebem dos clientes. Um novo fornecedor com uma nova aplicação pode não proteger as credenciais fornecidas com a mesma eficácia.

Como o SSO funciona?

O SSO funciona solicitando que os usuários se autentiquem em um servidor SSO, em vez de em aplicações individuais. Após a conclusão do processo de autenticação, o servidor SSO fornece certificados às aplicações que o usuário autenticado deseja acessar. Os certificados servem para verificar a identidade do usuário.

Geralmente, os certificados são válidos por um determinado período e costumam estar vinculados ao sistema no qual os usuários se autenticaram. Para participar, as aplicações devem ser desenvolvidas de forma a permitir o uso do serviço de SSO. Em empresas, os administradores de TI normalmente escolhem um modelo de SSO e exigem que as aplicações o utilizem para verificar a identidade dos funcionários. Isso pode ser um problema para aplicações mais antigas e monolíticas que criam seus próprios repositórios de credenciais de usuário ou que podem não ser compatíveis com arquiteturas SSO comuns.

Tipos comuns de configuração de SSO

Os componentes e conceitos comuns de SSO compartilham diversas características, incluindo gerenciamento centralizado de identidades, padronização e medidas de segurança robustas. Uma chave é a interoperabilidade, esses sistemas precisam trabalhar juntos para garantir que o processo de autenticação seja fácil de usar e funcione sem problemas em várias aplicações. Quando isso é alcançado, as equipes de TI podem exigir senhas mais seguras e autenticação de dois fatores com o mínimo de resistência.

• SAML. O Security Assertion Markup Language é uma especificação técnica que descreve a estrutura de um documento que servirá para autenticar usuários em aplicações. O SAML usa o padrão XML amplamente aceito para especificar a estrutura do documento que os servidores de identidade, também conhecidos como provedores de identidade, criam e enviam para as aplicações. Essas aplicações são frequentemente chamadas de "provedores de serviço" na linguagem de SSO. Qualquer provedor de identidade que use SAML criará credenciais de autenticação que podem ser usadas por qualquer aplicação compatível com SAML, tornando-o uma boa opção para aplicações de internet.

  O SAML não fornece um mecanismo para garantir que as informações de autenticação recebidas por uma aplicação permaneçam inalteradas. Isso é tratado por outras tecnologias.

• Kerberos. Criado no MIT no final da década de 1980 como parte do Projeto Athena, o Kerberos é uma arquitetura completa de autenticação e autorização. O Projeto Athena buscava criar uma rede de recursos computacionais universalmente acessível aos estudantes do MIT em todo o campus. Originalmente, o Kerberos utilizava o Data Encryption Standard (DES) para criptografar as mensagens que trafegavam entre os servidores de autenticação e as aplicações. Ele usava chaves simétricas de 48 bits, o que significa que a mesma chave era usada para criptografar e descriptografar mensagens. Na época, o DES era a forma mais segura de criptografia disponível, sendo um padrão mantido pelo National Institute of Standards and Technology (NIST).

  Atualmente, o Kerberos utiliza o Advanced Encryption Standard (AES), que substituiu o DES nos padrões de criptografia do NIST. O AES especifica chaves mais longas (até 256 bits) e permite múltiplos ciclos de criptografia, tornando o sistema muito difícil de ser hackeado.

  Como o Kerberos usa criptografia de chave simétrica, ele exige uma terceira parte confiável para gerenciar as chaves, tornando-o mais adequado para aplicações corporativas onde um domínio de uso pode ser rigorosamente estabelecido, geralmente limitado às LANs e VPNs da empresa. O Kerberos pode ser usado na internet em locais onde os domínios não são estabelecidos iniciando o processo por meio de outro padrão de autenticação (criptografia de chave pública), mas raramente é usado dessa forma. Ele pode usar seu próprio formato de credencial ou ser configurado para usar o SAML. Continua sendo popular, inclusive na Microsoft, que o utiliza por padrão em vez de seu sistema de autenticação NTLM, menos seguro, para redes corporativas.

• OAuth. Como uma estrutura de autorização aberta que não inclui uma estrutura de autenticação, OAuth é o sistema padrão quando uma aplicação da internet precisa acessar os recursos de um serviço protegido em nome de um usuário. A maioria dos provedores de nuvem, incluindo a Oracle com a Oracle Cloud Infrastructure (OCI), usa o OAuth para gerenciar o acesso aos seus recursos de nuvem. A Oracle também oferece bibliotecas e serviços que facilitam aos desenvolvedores a criação de suas próprias aplicações que utilizam o OAuth.

  Os principais componentes de um sistema OAuth são:

  • O sistema cliente, geralmente uma aplicação de usuário final que deseja acessar os recursos de vários serviços disponíveis na internet.
  • O servidor de autorização, que recebe solicitações de tokens que permitirão que um cliente acesse serviços protegidos. O servidor de autorização receberá solicitações de tokens junto com o certificado de autenticação do cliente. Ele emitirá tokens de acesso que foram autorizados pelo proprietário do recurso.
  • O servidor de recursos, que possui as informações ou fornece o serviço que o cliente deseja usar. Ele fornece dados ou serviços quando recebe tokens de acesso válidos do cliente.

  Diversos tipos de concessão de acesso podem ser especificados pelo token de acesso. Os diferentes tipos são emitidos dependendo do nível de confiança exigido e da natureza do dispositivo do cliente. Por exemplo, uma smart TV pode receber uma concessão de acesso diferente de um laptop.

• OpenID Connect (OIDC). O OpenID Connect é o sistema de gerenciamento de identidade desenvolvido para uso com OAuth. Juntos, OIDC e OAuth fornecem um ambiente SSO completo para aplicações baseadas na web e sistemas nativos da internet, como aplicativos móveis. Em vez de usar o SAML como base para retornar informações de credenciais, o OIDC usa um documento JSON conhecido como JSON Web Tokens, descrito abaixo, e protocolos RESTful. Ambos são nativos da internet e fáceis para os desenvolvedores usarem.

  Em vez de usar criptografia de chave simétrica como o Kerberos, o OIDC usa criptografia de chave pública, que se adapta melhor a redes sem domínio, como a internet.

• Autenticação por cartão inteligente. Sistemas como o OIDC usam criptografia de chave pública para garantir que apenas os destinatários autorizados possam ver os dados trocados com um provedor de gerenciamento de identidade durante e após a autenticação. A criptografia de chave pública é assimétrica e envolve uma chave pública, que pode ser usada para criptografar mensagens a serem enviadas a um cliente ou servidor, e uma chave privada, secreta, que deve ser usada para descriptografar as mensagens.

  Geralmente, as chaves privadas são armazenadas no dispositivo de um usuário. A maioria dos laptops vem com um chip resistente a adulterações que usa a tecnologia Trusted Platform Module (TPM) para descriptografar mensagens destinadas ao sistema. Os telefones Apple e Android usam sistemas diferentes, mas semelhantes. O da Apple é chamado Secure Enclave, e o do Android é chamado Android Knox. Essas tecnologias permitem que o dispositivo forneça sua chave pública a qualquer sistema que a solicite corretamente e use sua chave privada, que nunca é divulgada, para descriptografar as mensagens recebidas.

  A vantagem desses sistemas é que o usuário do dispositivo não precisa saber nada sobre como a criptografia é tratada em seus sistemas. A desvantagem é que cada dispositivo que o usuário possui terá um par de chaves pública/privada exclusivo, portanto, os dispositivos são conhecidos individualmente no processo de criptografia. Se um laptop ou celular for perdido ou roubado, o sistema de criptografia não impedirá o acesso se o criminoso souber a senha do proprietário.

  O uso de um cartão inteligente com um chip semelhante aos chips incorporados em cartões de crédito permite que os usuários sejam autenticados com um único conjunto de chaves, independentemente dos dispositivos que estejam usando. O chip no cartão é o próprio microprocessador, portanto, precisa ser inserido em um leitor de cartão ou ativado e alimentado por meio de uma tecnologia RFID, como a comunicação de campo próximo. A segurança do cartão inteligente é semelhante à oferecida pelos chips TPM.

• SSO corporativo. Grandes corporações com infraestruturas de aplicações complexas podem criar um sistema SSO corporativo, ou eSSO, limitado aos limites de suas redes. Os funcionários agradecerão por precisarem saber apenas uma ou duas senhas e nomes de usuário para acessar os aplicativos necessários para o trabalho, e a organização se beneficiará de uma segurança melhor e mais gerenciável para sistemas e dados. Esses sistemas de eSSO podem preferir a criptografia de chave simétrica devido à sua capacidade de revogar chaves com mais facilidade e o SAML por seu formato conhecido, e geralmente empregam vários tipos de autenticação multifator para maior segurança dos endpoints.

  À medida que as aplicações SaaS se tornam mais comuns, as empresas têm a opção de migrar para um sistema como o OAuth, mais utilizado na internet, ou exigir que as aplicações SaaS se adaptem à estrutura eSSO escolhida pela empresa. O SAML pode ser usado dentro da rede corporativa e na internet. Muitas aplicações SaaS oferecem suporte a ambas as estruturas para autenticação de usuários.

• SSO na Web. É provável que as aplicações Web funcionem melhor com ou sejam limitadas ao uso do OAuth para autorizar a atividade do usuário e do OpenID Connect para autenticar usuários. Como a internet é considerada o meio de transporte, os componentes de um sistema de SSO na Web são definidos como um padrão IETF e, portanto, tendem a funcionar da maneira que os desenvolvedores da Web esperam e apreciam. Além disso, a autenticação está intimamente ligada à autorização e utiliza métodos de acesso como protocolos REST e padrões de informação baseados em JSON para criar um sistema completo e extensível. Os sistemas de SSO na Web também são projetados para funcionar em diferentes domínios e em grande escala.

• LDAP. O Lightweight Directory Access Protocol foi introduzido na década de 1990 para permitir que os usuários encontrassem recursos que desejassem utilizar em uma rede local, como servidores ou impressoras. Ele pressupõe um servidor autorizado que conheça todos os recursos dentro de um domínio. Dessa forma, não é adequado para uso na internet.

  Como o LDAP é usado para conceder acesso a recursos de rede, ele inclui um sistema de autenticação de usuário com as credenciais do usuário armazenadas no servidor LDAP. Seus mecanismos de autenticação de usuário não são robustos. Por exemplo, ele envia senhas pela rede em texto não criptografado. A criptografia pode ser fornecida por outro protocolo, como SSL/TLS.

  O LDAP tem a vantagem de ser flexível e extensível, permitindo que as empresas o utilizem para armazenar informações adicionais sobre os funcionários, como funções organizacionais e associações a grupos, além de atributos como localização do escritório e número de telefone. No entanto, privilégios de acesso mais granulares são frequentemente necessários em empresas, como informações sobre quem tem acesso a determinados dados, e esses direitos de acesso não podem ser facilmente gerenciados pelo LDAP.

• JWT. Os JSON Web Tokens (JWTs) são documentos compactos usados ​​para transmitir informações de forma segura e estruturada entre as partes. Eles atendem à mesma necessidade dos documentos SAML, porém em um formato mais conciso, o que os torna adequados para inclusão em URLs. Os JWTs são assinados criptograficamente usando técnicas de criptografia de chave pública para garantir a autenticidade. Na Open Authentication (Oath), após a autenticação do usuário, o servidor de identidade retorna um token de ID JSON.

  As solicitações de autorização para acessar recursos protegidos retornarão, subsequentemente, um token de acesso JSON, que deverá ser incluído em cada solicitação ao servidor de recursos. Essas transações transmitem o status do cliente – autenticado e autorizado, nesse caso – a cada solicitação e, portanto, são chamadas de trocas RESTful. REST, que significa "transferência de estado representacional", é vantajoso porque os servidores de recursos não precisam estabelecer e manter sessões com cada cliente que deseja usar os recursos do servidor.

  Os JWTs são documentos de texto simples, portanto, devem ser usados ​​em conexões criptografadas por HTTPS. Os tokens geralmente são projetados para não conter dados sensíveis, como informações de identificação pessoal. Como cada token é assinado de acordo com o padrão X.509, o padrão internacional para formatação de certificados de chave pública, essa assinatura será validada pelos servidores de recursos para garantir que o token não tenha sido adulterado. Os JWTs são componentes de um sistema de autenticação e autorização OAuth/OpenID. Eles são projetados para uso em aplicações web, são escaláveis ​​e destinados a serem usados ​​em diversos domínios.

Benefícios do SSO

Os profissionais de TI e segurança tendem a ser adeptos do SSO. Eles entendem que isso significa centralizar a autenticação do usuário, proteger informações potencialmente confidenciais e gerenciar a integração com sistemas e aplicações corporativas. Geralmente estão dispostos a lidar com o treinamento necessário dos usuários e a realizar o monitoramento e a manutenção contínuos. Isso é resultado direto de vários benefícios significativos que acompanham a tecnologia.

• Acesso centralizado. Os sistemas SSO simplificam o trabalho de gerenciar contas de usuário e o acesso às diversas aplicações que a maioria das empresas e provedores de nuvem da internet administram. O acesso do usuário a todas as aplicações pode ser concedido e revogado em um só lugar. Se, por exemplo, um funcionário deixar a organização, os administradores não precisarão remover as credenciais do funcionário para cada aplicação individualmente. Os profissionais de segurança também podem fazer alterações nos sistemas de autenticação em um único local, em vez de precisar fazer alterações em cada aplicação.
• Segurança aprimorada. O SSO reduz significativamente o número de pares de nome de usuário e senha que os funcionários precisam memorizar. Com essa carga reduzida, faz sentido, principalmente para as empresas, melhorar a segurança das trocas de autenticação com autenticação multifatorial e políticas de senhas fortes.
• Maior produtividade dos funcionários. Os funcionários terão menos dificuldade em lembrar nomes de usuário e senhas quando o SSO estiver implementado. Após a autenticação, geralmente podem acessar as aplicações sem precisar se autenticar novamente. O SSO deve, portanto, permitir que os funcionários acessem a tarefa planejada mais rápido. Dependendo dos detalhes da implementação, eles ainda podem precisar se autenticar nas aplicações que usam, mas pelo menos só precisarão se lembrar de suas credenciais de SSO.
• Redução da fadiga de senhas. Convenhamos, ninguém quer lidar com dezenas de combinações de nome de usuário e senha. A dificuldade de lembrar senhas complexas, especialmente se precisarem ser alteradas com frequência, pode levar à frustração e resultar no uso de senhas fáceis de adivinhar, na reutilização da mesma senha para várias contas ou no uso do método de gerenciamento de senhas com post-its. O SSO ajuda a aliviar esse problema.
• Conformidade regulatória. O SSO pode facilitar a conformidade regulatória por meio dos benefícios do gerenciamento de acesso centralizado descritos anteriormente. A auditoria e a correção também são simplificadas, já que há apenas uma estrutura de SSO para verificar.
• Integração simplificada. Normalmente, uma empresa gerencia petabytes de dados armazenados em várias instâncias de banco de dados. Não é difícil imaginar um banco de dados para dados de fabricação, outro para dados da cadeia de suprimentos e outros para dados financeiros, de marketing, de vendas e assim por diante. Também é fácil entender como seria útil para os vendedores terem acesso aos dados de estoque, por exemplo. Um sistema de CRM poderia acessar esses dados, mas cada vendedor precisa ser conhecido tanto pelo banco de dados de gerenciamento de estoque quanto pelo sistema de CRM. O SSO pode fornecer a identidade verificada necessária do solicitante, e os tokens de acesso podem ajudar a determinar quais dados uma pessoa em cada função deve ter permissão para visualizar. Sem o SSO, a integração entre o CRM e o sistema de estoque seria muito mais difícil de criar e gerenciar e envolveria outra etapa de autenticação para os usuários ou uma segurança potencialmente mais fraca para os dados de estoque.
• Experiência do usuário simplificada. Reduzir a necessidade de autenticação em aplicações Web e corporativas geralmente proporciona uma melhor experiência do usuário. E como muitas pessoas estão acostumadas ao SSO por meio de sua presença online, geralmente é necessário um treinamento mínimo.

SSO e segurança: o SSO é seguro?

Primeiramente, não existe segurança absoluta, existem apenas graus de segurança. Dito isso, qualquer estrutura de SSO disponível comercialmente será altamente segura. Essa é a essência da tecnologia. Geralmente, o sistema SSO por si só não é uma solução de segurança completa. Na verdade, é um componente importante de um ambiente seguro. Seu papel como um sistema para autenticar usuários e fornecer credenciais de autenticação para aplicações e outros sistemas que fornecem recursos é uma parte crítica de uma estratégia de segurança abrangente.

SSO e privacidade

O SSO proporciona maior privacidade, que pode variar de acordo com cada implementação. Por exemplo, as respostas SAML e JWT conterão, no mínimo, uma declaração de autenticação. Elas também podem conter informações, como grupos e funções aplicáveis ​​ao usuário, bem como outros dados que os implementadores optam por fornecer.

Em lojas virtuais ou redes sociais, pode ser útil para a aplicação saber a idade, a localização e outras informações pessoais de um usuário. Em geral, se você estiver fornecendo informações pessoais ao Facebook, suponha que o Facebook as fornecerá a terceiros, a menos que a política de privacidade diga o contrário ou que a aplicação permita especificar explicitamente que não deseja compartilhar determinadas informações.

Em ambientes corporativos, os sistemas SSO devem retornar declarações de autenticação juntamente com as funções relevantes que o usuário possui na organização. Também pode ser útil fornecer o escritório da empresa onde o usuário trabalha e o número de telefone comercial. Outras informações devem ser mais difíceis de obter. O que é fornecido por padrão geralmente é determinado pelas políticas de RH.

Casos de uso do SSO

O SSO foi projetado para fornecer aos usuários acesso contínuo a várias aplicações e sistemas com apenas um conjunto de credenciais de login. Embora as organizações com requisitos rigorosos de conformidade regulatória possam precisar implementar medidas de segurança adicionais, existem muitos casos de uso para o SSO. Eles incluem o seguinte:

• Aplicações corporativas. Uma empresa normalmente gerencia dezenas ou centenas de aplicações, cada uma exigindo que os usuários sejam autenticados. Criar e manter sistemas de gerenciamento de identidade para cada aplicação individualmente não é prático para usuários, nem equipes de TI. O SSO oferece uma maneira de autenticar funcionários uma única vez e, em seguida, gerenciar sua autorização para usar recursos com base nessa autenticação única.

  As declarações de autenticação geralmente são válidas apenas por um determinado período e em um único sistema. Detalhes mais granulares sobre as funções de cada funcionário dentro da empresa podem ser mantidos pelo sistema SSO e usados ​​por aplicações ou sistemas de autorização para fornecer acesso limitado a aplicações, dados e outros recursos.

• Aplicações baseadas na nuvem. Tanto para uso comercial quanto para uso pessoal, os sistemas baseados em nuvem apresentam necessidades diferentes de identificação e autorização em comparação com os sistemas SSO destinados a empresas. Para os consumidores, a conveniência pode determinar que, uma vez autenticados, os usuários possam usar o serviço indefinidamente a partir daquele dispositivo. Depois de fazer login no Gmail, por exemplo, é possível usar essa ferramenta e outras aplicações do Google, como o Docs ou o Sheets, sem precisar de uma nova autenticação. No âmbito empresarial, os provedores de serviços em nuvem que oferecem aplicações SaaS ou plataformas e infraestrutura como serviço também permitem amplo acesso aos seus serviços assim que a identidade do usuário for confirmada. A autenticação é o primeiro passo em um esquema de autorização de serviço mais amplo que permite aos usuários fazer login uma única vez e usar uma ampla gama de serviços. O acesso aos serviços dependerá da função de cada usuário em cada aplicação. Talvez ele seja administrador em um aplicação, desenvolvedor em outra e usuário final em uma terceira. O acesso também dependerá do que a organização contratou.

Implementação de SSO

Não deixe que a falta de conhecimento especializado em segurança interna seja um impedimento para a adoção do SSO. Provedores de serviços de segurança gerenciados, bem como equipes de implementação de fornecedores de SSO, estão disponíveis para ajudar. Muitas empresas optam por usar serviços de SSO oferecidos por terceiros. A empresa se beneficia de conhecimento especializado, recursos avançados de segurança e escalabilidade, e as equipes de TI podem se concentrar em ajudar no crescimento dos negócios, deixando o gerenciamento do SSO para os especialistas.

Em linhas gerais, a implementação requer três elementos principais:

1. Escolher e distribuir sistemas de autenticação do cliente que coletarão com segurança as informações do usuário final, como nome de usuário e senha. Mesmo em ambientes corporativos, esses sistemas geralmente são disponibilizados como páginas da web, o que facilita manter os processos de autenticação uniformes em todos os dispositivos. Geralmente, em ambientes corporativos, o usuário precisa estar na rede da empresa ou acessá-la por meio de uma VPN. Esse requisito permite à organização criar um sistema único e autorizado de gestão de identidades.
2. Configurar um gerenciador de IDs que autentique usuários e emita certificados em nome da organização. Na maioria das empresas, o gerenciador de IDs fará parte de um sistema que também fornece tokens de autorização de usuário, permitindo que as aplicações saibam o que um indivíduo tem permissão para fazer dentro da aplicação, ou estará estritamente vinculado ao servidor de autorização.
3. Configurar ou modificar as aplicações para usar os certificados e tokens dos sistemas de SSO e autorização, em vez de manter seu próprio sistema de ID de usuário.

Melhores práticas de SSO

Seja implementando internamente, com a ajuda de terceiros ou optando por um modelo como serviço, existem chaves para o sucesso. Elas incluem o seguinte:

1. Exigir autenticação multifator (MFA). Assim como o SSO permite que as organizações apliquem políticas de senha a partir de uma única estrutura, ele também permite que as organizações implementem uma tecnologia de identificação mais robusta, conhecida coletivamente como autenticação multifator. Esses fatores podem incluir cartões inteligentes, aplicações executadas em smartphones, várias formas de autenticação biométrica, entre outros.
2. Use o controle de acesso baseado em atribuição (RBAC). Autenticar usuários resolve apenas parte do problema de gerenciar o acesso aos recursos corporativos. O outro desafio é limitar o acesso dos usuários apenas aos recursos que eles têm permissão para usar. Ao estabelecer grupos, como marketing, finanças, produção e vendas, e ao definir funções dentro de cada grupo para seus membros, o controle de acesso pode ser ajustado com precisão e mantido em um local central e gerenciável.
3. Auditar e atualizar padrões. Ter a autenticação centrada em uma única estrutura de mecanismos simplifica bastante a auditoria e o processo de atualização para atender a novos padrões à medida que surgem.
4. Implementar o gerenciamento de permissões e funções. O SSO se adapta à filosofia de confiança zero. Os usuários podem acessar apenas os recursos explicitamente necessários para suas funções e visualizar apenas os dados para os quais têm permissão explícita.
5. Aderir às leis de privacidade dos dados. O uso de uma estrutura de SSO não garante a conformidade com as leis de privacidade de dados, mas pode facilitar muito o cumprimento e a comprovação dessa conformidade.

Controle o acesso com segurança e facilidade com a Oracle

Precisa gerenciar identidades de usuários e acesso para a Oracle Cloud Infrastructure (OCI) e em aplicações na nuvem e on-premises? Para organizações que buscam uma estratégia de segurança de confiança zero, o Oracle Cloud Infrastructure Identity and Access Management (IAM) fornece as ferramentas de gerenciamento e integração necessárias.

Interessado em implementar um autenticador universal com suporte à autenticação multifator? O Oracle Access Management oferece um sistema flexível que pode ser executado on-premises ou na nuvem. As organizações podem habilitar essas políticas para acompanhar o usuário, independentemente do dispositivo e da localização, ajudando a proteger o acesso aos dados em qualquer lugar, a qualquer hora e a partir de qualquer dispositivo. Além da MFA, o portfólio de IAM da Oracle oferece suporte a SSO de dispositivo confiável e SSO de aplicação, todos necessários para atender aos princípios e exigências da arquitetura de confiança zero.

À medida que as empresas dependem de mais aplicações e as aplicações dependem de mais serviços e fontes de dados para funcionar, a autenticação e a autorização do usuário tornam-se mais complexas de gerenciar. As estruturas de SSO simplificam a vida tanto dos usuários finais quanto dos arquitetos de aplicações, simplificando o processo de autenticação e autorização.

Perguntas frequentes sobre SSO

O que a sigla SSO significa?

SSO significa single sign-on, ou login único.

O que é a minha conta SSO?

A sua conta SSO é um serviço de autenticação centralizado que permite usar um conjunto de credenciais de login para acessar várias aplicações e sistemas. Isso significa que você precisa se lembrar apenas de um nome de usuário e senha para acessar todos os serviços e recursos que sua organização oferece. As contas SSO simplificam o processo de login, melhoram a segurança e facilitam o acesso dos usuários às informações e ferramentas necessárias para realizar suas tarefas.

Quais são os exemplos de SSO?

No mercado consumidor, grandes fornecedores como Amazon, Google, Meta e Microsoft podem servir como fonte de credenciais de usuário para outras aplicações. Se você já viu uma caixa de diálogo que permite inserir suas credenciais ou fazer login usando um dos serviços mencionados acima, você está usando SSO.