1º de março de 2024
Single Sign On, ou SSO, é um esquema de autenticação que permite que os usuários façam login uma vez usando um único conjunto de credenciais e acessem várias aplicações durante a mesma sessão.
O Single Sign On simplifica a autenticação do usuário, melhora a experiência do usuário e, quando implementado corretamente, melhora a segurança. Ele é usado frequentemente para gerenciar autenticação e acesso seguro a intranets ou extranets de empresas, portais de estudantes, serviços de nuvem pública e outros ambientes onde os usuários precisam alternar entre diferentes aplicações para realizar seu trabalho. Ele também é cada vez mais usado em sites e aplicativos voltados para o cliente (como sites de bancos e de comércio eletrônico) para combinar aplicações de fornecedores terceirizados em experiências de usuário contínuas e ininterruptas.
Fortaleça sua inteligência de segurança
Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.
O logon único baseia-se em uma relação de confiança digital entre provedores de serviços (aplicações, sites ou serviços) e um provedor de identidade (IdP), ou solução de SSO. A solução de SSO costuma ser parte de uma solução maior de gerenciamento de acesso e identidade (IAM).
Em geral, a autenticação SSO funciona da seguinte forma:
Um usuário faz login em um dos provedores de serviços ou em um portal central (como a intranet de uma empresa ou o portal de um estudante universitário) usando as credenciais de login do SSO.
Quando o usuário é autenticado com sucesso, a solução SSO gera um token de autenticação de sessão contendo informações específicas sobre a identidade do usuário: nome de usuário, endereço de e-mail etc. Esse token é armazenado com o navegador do usuário ou no sistema SSO.
Quando o usuário tenta acessar outro provedor de serviços confiável, a aplicação verifica com o sistema SSO para determinar se o usuário já está autenticado para a sessão. Em caso afirmativo, a solução de SSO valida o usuário assinando o token de autenticação com um certificado digital, e o usuário recebe acesso à aplicação. Caso contrário, será solicitado que o usuário insira novamente as credenciais de login.
O processo de SSO descrito acima—um único logon e um conjunto de credenciais de usuário que fornece acesso de sessão a várias aplicações relacionadas—às vezes é chamado de SSO simples ou SSO puro. Outros tipos de SSO incluem:
SSO adaptável
O SSO adaptável exige um conjunto inicial de credenciais de login, mas solicita fatores de autenticação adicionais ou um novo login quando surgem riscos adicionais, como quando um usuário faz login em um novo dispositivo ou tenta acessar dados ou funcionalidades particularmente confidenciais.
Gerenciamento de identidade federada (FIM)
O gerenciamento de identidade federada, ou FIM, é um superconjunto do SSO. Embora o SSO seja baseado em uma relação de confiança digital entre aplicações dentro do domínio de uma única organização, o FIM estende esse relacionamento a terceiros, fornecedores e outros provedores de serviços confiáveis fora da organização. Por exemplo, o FIM pode permitir que um funcionário conectado acesse aplicativos da web de terceiros (por exemplo, Slack ou WebEx) sem um login adicional ou com um login simples somente com nome de usuário.
Login social
O login social permite que os usuários finais se autentiquem com aplicações usando as mesmas credenciais que usam para se autenticar em sites populares das mídias sociais. Para provedores de aplicações terceirizados, o login social pode desencorajar comportamentos indesejáveis (por exemplo, logins falsos, abandono do carrinho de compras) e fornecer informações valiosas para melhorar seus aplicativos.
O SSO pode ser implementado usando qualquer um dos vários protocolos e serviços de autenticação.
SAML/SAML 2.0
A Security Assertion Markup Language, ou SAML, é o protocolo padrão aberto mais antigo para troca de dados criptografados de autenticação e autorização entre um provedor de identidade e vários provedores de serviços. Como fornece maior controle sobre a segurança do que outros protocolos, o SAML normalmente é usado para implementar SSO dentro e entre domínios de aplicações corporativas ou governamentais.
OAuth/OAuth 2.0
O Open Authorization, ou OAuth, é um protocolo de padrão aberto que troca dados de autorização entre aplicações sem expor a senha do usuário. O OAuth permite o uso de um único login para simplificar as interações entre aplicações que normalmente exigiriam logins separados para cada uma. Por exemplo, o OAuth permite que o LinkedIn pesquise em seus contatos de e-mail possíveis novos membros da rede.
OpenID Connect (OIDC)
Outro protocolo padrão aberto, o OICD usa APIs REST e tokens de autenticação JSON para permitir que um site ou aplicação conceda acesso aos usuários autenticando-os por meio de outro provedor de serviços.
Existindo em camadas sobre o OAuth, o OICD é usado principalmente para implementar logins sociais em aplicações de terceiros, carrinhos de compras e muito mais. Uma implementação mais leve, o OAuth/OIDC costuma ser o SAML para implementar o SSO em software como serviço (SaaS) e aplicações em nuvem, aplicativos móveis e dispositivos de Internet das coisas (IoT).
LDAP
O Lightweight Directory Access Protocol (LDAP) define um diretório para armazenar e atualizar as credenciais do usuário e um processo para autenticar usuários no diretório. Lançado em 1993, o LDAP ainda é a solução de diretório de autenticação preferida para muitas organizações que implementam SSO, porque o LDAP permite que elas forneçam controle granular sobre o acesso ao diretório.
ADFS
O Active Directory Federation Services, ou ADFS, é executado no Microsoft Windows Server para permitir o gerenciamento de identidade federada, incluindo logon único, com aplicações e serviços locais e externos. O ADFS usa o Active Directory Domain Services (ADDS) como um provedor de identidade.
O SSO economiza tempo e problemas para os usuários. Por exemplo: em vez de fazer login em várias aplicações várias vezes ao dia, com o SSO, os usuários finais corporativos podem fazer login na intranet corporativa apenas uma vez para ter acesso diário a todas as aplicações de que precisam.
Mas, ao reduzir significativamente o número de senhas que os usuários precisam lembrar e o número de contas de usuário que os administradores precisam gerenciar, o SSO pode fornecer uma série de outros benefícios.
Usuários com muitas senhas para gerenciar muitas vezes caem no mau e arriscado hábito de usar as mesmas senhas curtas e fracas, ou pequenas variações delas, para cada aplicação. Um hacker que quebra uma dessas senhas pode facilmente obter acesso a várias aplicações. O SSO permite que os usuários consolidem várias senhas curtas e fracas em uma única senha longa e forte, mais fácil de lembrar e muito mais difícil de ser quebrada por hackers.
De acordo com o IBM® X-Force Threat Intelligence Index 2025, pelo segundo ano consecutivo, o uso de credenciais de contas válidas sequestradas foi o vetor de acesso inicial mais comum em ataques cibernéticos (este ano empatou em primeiro lugar com a invasão de aplicações públicas). O SSO pode reduzir ou eliminar a necessidade de gerenciadores de senhas, senhas armazenadas em planilhas, senhas escritas em notas adesivas e outros recursos de memorização, que fornecem alvos para hackers ou facilitam o roubo ou a obtenção de senhas pelas pessoas erradas.
De acordo com a analista setorial, a Gartner, 20% a 50% das chamadas para o help desk de TI estão relacionadas a senhas esquecidas ou redefinições de senha. A maioria das soluções de SSO facilita a redefinição de senhas pelos próprios usuários, com assistência do help desk.
Um estudo do IBM Institute for Business Value descobriu que 52% dos executivos afirmam que a complexidade é o maior impedimento às operações de segurança. O SSO oferece aos administradores um controle mais simples e centralizado sobre o provisionamento de contas e as permissões de acesso. Quando um usuário deixa a organização, os administradores podem remover as permissões e desativar a conta do usuário em menos etapas.
O SSO pode facilitar o cumprimento dos requisitos regulatórios em relação à proteção de informações pessoais de identidade (PII) e controle de acesso a dados, bem como requisitos específicos em algumas regulamentações, como a HIPAA, quanto aos tempos limite das sessões.
O principal risco do SSO é que, se as credenciais de um usuário forem comprometidas, elas poderão conceder a um invasor acesso a todos ou à maioria das aplicações e recursos da rede. Porém, exigir que os usuários criem senhas longas e complexas, e criptografem e protejam cuidadosamente essas senhas onde quer que estejam armazenadas, ajuda muito a evitar esse pior cenário possível.
Além disso, a maioria dos especialistas em segurança recomenda a autenticação de dois fatores (2FA) ou a autenticação multifator (MFA) como parte de qualquer implementação do SSO. A 2FA ou a MFA exigem que os usuários forneçam pelo menos um fator de autenticação além de uma senha, por exemplo, um código enviado para um telefone celular, uma impressão digital ou um cartão de identificação. Como essas credenciais adicionais são aquelas que os hackers não podem roubar ou falsificar com facilidade, a MFA pode reduzir drasticamente os riscos relacionados a credenciais comprometidas no SSO.