O que é SSO? | Como funciona o login único

O Login Único (SSO) é uma importante tecnologia de segurança em nuvem que reduz todos os logins de aplicativos do usuário a um login para maior segurança e conveniência.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saber o que é login único (SSO) e como funciona
  • Entender as vantagens e benefícios de segurança do uso do SSO
  • Explorar como funcionam os tokens de autenticação de SSO

Copiar o link do artigo

O que é login único (SSO)?

O logon único (SSO) é uma tecnologia que combina as telas de login de vários aplicativos diferentes em uma única tela. Com o SSO, um usuário só precisa digitar suas credenciais de login (nome de usuário, senha etc.) uma vez em uma única página para acessar todos os seus aplicativos SaaS.

O SSO é utilizado com frequência em contextos comerciais, quando os aplicativos do usuário são atribuídos e gerenciados por uma equipe interna de TI. Os funcionários remotos que utilizam aplicativos SaaS também se beneficiam do uso de SSO.

Imagine se fosse solicitado aos clientes que já entraram em um bar mostrar sua carteira de identidade para provar sua idade cada vez que tentassem comprar mais bebidas alcoólicas. Alguns clientes ficariam rapidamente frustrados com as verificações contínuas e poderiam até tentar contornar essas medidas entrando furtivamente com suas próprias bebidas.

No entanto, a maioria dos estabelecimentos só verifica a identificação do cliente uma vez e, em seguida, serve várias bebidas ao cliente ao longo de uma noite. Isso é como um sistema SSO: em vez de estabelecer sua identidade repetidamente, um usuário estabelece sua identidade uma vez e pode acessar vários serviços diferentes.

O SSO é um aspecto importante de muitas soluções de Gerenciamento de Identidade e Acesso (IAM) ou controle de acesso. A verificação da identidade do usuário é essencial para saber quais permissões cada usuário deve ter. O Zero Trust da Cloudflare é um exemplo de solução de controle de acesso que se integra a soluções de SSO para gerenciar as identidades de usuários.

Quais são as vantagens do SSO?

Além de ser muito mais simples e conveniente para os usuários, o SSO é considerado amplamente mais seguro. Isso pode parecer contra-intuitivo: como fazer login uma vez com uma senha, em vez de várias vezes com várias senhas, pode ser mais seguro? Os adeptos do SSO citam os seguintes motivos:

  1. Senhas mais fortes: como os usuários só precisam usar uma senha, o SSO facilita a criação, a memorização e o uso de senhas mais fortes.* Na prática, isso é normalmente o caso: a maioria dos usuários usa senhas mais fortes com SSO.

    * O que torna uma senha "forte"? Uma senha forte não é facilmente adivinhada e é aleatória o suficiente para que um ataque de força bruta não tenha a probabilidade de ser bem-sucedido. w7:g"5h$G@ é uma senha razoavelmente forte; senha123 não é.
  2. Sem senhas repetidas: quando os usuários precisam se lembrar de senhas para vários aplicativos e serviços diferentes, uma condição conhecida como "fadiga de senha" provavelmente se estabelecerá: os usuários reutilizarão senhas em vários serviços. Usar a mesma senha em vários serviços é um grande risco de segurança porque significa que todos os serviços são tão seguros quanto o serviço com a proteção de senha mais fraca: se o banco de dados de senhas desse serviço for comprometido, os invasores também podem usar a senha para hackear todos os outros serviços do usuário. O SSO elimina esse cenário reduzindo todos os logins a um login.
  3. Melhor aplicação da política de senha: com um lugar para entrada de senha, o SSO fornece uma maneira para as equipes de TI aplicarem facilmente as regras de segurança de senha. Por exemplo, algumas empresas exigem que os usuários redefinam suas senhas periodicamente. Com o SSO, as redefinições de senha são mais fáceis de implementar: em vez de redefinições de senha constantes em vários aplicativos e serviços diferentes, os usuários têm apenas uma senha para redefinir. (Embora o valor das redefinições regulares de senha tenha sido questionado, algumas equipes de TI ainda as consideram uma parte importante de sua estratégia de segurança).
  4. Autenticação multifator: a autenticação multifator, ou MFA, refere-se ao uso de mais de um fator de identidade para autenticar um usuário. Por exemplo, além de inserir um nome de usuário e senha, um usuário pode precisar conectar um dispositivo USB ou inserir um código que aparece no seu smartphone. A posse desse objeto físico é um segundo "fator" que estabelece que o usuário é quem diz ser. A MFA é muito mais segura do que a dependência de apenas uma senha. O SSO possibilita ativar a MFA em um único ponto, em vez de precisar ativá-la em três, quatro ou várias dezenas de aplicativos, o que pode não ser viável.
  5. Ponto único para impor a reinserção de senha: os administradores podem impor a reinserção de credenciais após um determinado período de tempo para garantir que o mesmo usuário ainda esteja ativo no dispositivo conectado. Com o SSO, eles têm um local central para fazer isso para todos os aplicativos internos, em vez de precisar impo-la em vários aplicativos diferentes, o que pode não ser compatível com alguns aplicativos.
  6. Gerenciamento interno de credenciais em vez de armazenamento externo: normalmente, as senhas dos usuários são armazenadas remotamente de forma não gerenciada por aplicativos e serviços que podem ou não seguir as melhores práticas de segurança. Com o SSO, no entanto, elas são armazenadas internamente em um ambiente onde a equipe de TI tem mais controle.
  7. Menos tempo perdido na recuperação de senhas: além dos benefícios de segurança acima, o SSO também reduz o tempo perdido para equipes internas. A TI precisa gastar menos tempo ajudando os usuários a recuperar ou redefinir suas senhas para dezenas de aplicativos e os usuários gastam menos tempo entrando em vários aplicativos para realizar seus trabalhos. Com isso é possível aumentar a produtividade da empresa.

Como funciona um login SSO?

Sempre que um usuário entra em um serviço de SSO, o serviço cria um token de autenticação que lembra que o usuário foi verificado. Um token de autenticação é uma peça de informação digital armazenada no navegador do usuário ou nos servidores do serviço de SSO, como um cartão de identificação temporário emitido para o usuário. Qualquer aplicativo que o usuário acessar será verificado com o serviço de SSO. O serviço de SSO passa o token de autenticação do usuário para o aplicativo e o usuário tem permissão para entrar. Se, no entanto, ainda não tiver feito o login, o usuário será solicitado a fazê-lo por meio do serviço de SSO.

Um serviço de SSO não lembra necessariamente quem é um usuário, pois não armazena identidades de usuários. A maioria dos serviços de SSO funciona verificando as credenciais do usuário em relação a um serviço de gerenciamento de identidade separado.

Pense no SSO como um intermediário que pode confirmar se as credenciais de login de um usuário correspondem à sua identidade no banco de dados, sem gerenciar o banco de dados por conta própria — como quando um bibliotecário procura um livro em nome de outra pessoa com base no título do livro. O bibliotecário não tem todo o catálogo de fichas da biblioteca memorizado, mas pode acessá-lo facilmente.

Como funcionam os tokens de autenticação de SSO?

A capacidade de passar um token de autenticação para aplicativos e serviços externos é essencial no processo de SSO. É isso que permite que a verificação de identidade ocorra separadamente de outros serviços em nuvem, tornando o SSO possível.

Pense em um evento exclusivo que apenas algumas pessoas têm permissão para entrar. Uma maneira de indicar que os guardas na entrada do evento verificaram e aprovaram um convidado é carimbar a mão de cada convidado. A equipe do evento pode verificar os carimbos de todos os convidados para garantir que eles possam estar lá. No entanto, não é qualquer carimbo; a equipe do evento saberá o formato e a cor exata do carimbo usado pelos guardas na entrada.

Assim como cada carimbo deve ter a mesma aparência, os tokens de autenticação têm seus próprios padrões de comunicação para garantir que sejam corretos e legítimos. O principal padrão de token de autenticação é chamado de SAML (Linguagem de Marcação para Asserção de Segurança). Assim como as páginas web são escritas em HTML (Linguagem de Marcação de Hipertexto), os tokens de autenticação são escritos em SAML.

Como o SSO se encaixa em uma estratégia de gerenciamento de acesso?

O SSO é apenas um aspecto do gerenciamento de acesso de usuários. Ele deve ser combinado com controle de acesso, controle de permissão, registros de atividades e outras medidas para rastrear e controlar o comportamento do usuário nos sistemas internos de uma organização. No entanto, o SSO é um elemento essencial do gerenciamento de acesso. Se um sistema não souber quem é um usuário, não há como permitir ou restringir as ações desse usuário.

A Cloudflare se integra a soluções de SSO?

O Zero Trust da Cloudflare controla e protege o acesso dos usuários a aplicativos e sites e pode atuar como substituto da maioria das VPNs. A Cloudflare se integra aos provedores de SSO para identificar usuários e aplicar suas permissões de acesso atribuídas.