O que é SSO (Single sign-on)?
Visão aérea de uma mulher e um homem vendo um tablet
O que é SSO (Single sign-on)?

SSO (Single sign-on) é um método de autenticação seguro que permite que um usuário faça login em uma sessão que dá acesso a diferentes aplicativos e serviços relacionados, sem precisar fazer login repetidas vezes.

O SSO, ou login único em português, é comumente usado para gerenciar a autenticação em intranets ou extranets da empresa, portais de alunos, serviços de nuvem pública e outros ambientes em que os usuários precisam alternar entre vários aplicativos para realizar seu trabalho. Ele também é usado cada vez mais em sites e aplicativos voltados para o cliente, como sites bancários e de comércio eletrônico, para combinar aplicativos de fornecedores terceirizados em experiências de usuário perfeitas e ininterruptas.

Como funciona a autenticação SSO?

O SSO é baseado em uma relação de confiança digital entre um grupo de aplicativos, sites e serviços confiáveis e relacionados (chamados de provedores de serviço), e uma solução de login único (chamada de provedor de identidade). A solução de login único geralmente faz parte de uma solução IAM (Gerenciamento de acesso e identidade).

Em geral, a autenticação SSO funciona da seguinte forma:

  1. Um usuário efetua login em um dos aplicativos confiáveis ou em um portal central conectando todos os aplicativos confiáveis (como um portal de funcionário ou site de estudante universitário), usando credenciais de login único.
  2. Quando o usuário é autenticado com sucesso, a solução de login único gera um token de autenticação de sessão contendo informações específicas sobre a identidade do usuário, como nome de usuário, endereço de e-mail etc. Esse token é armazenado no navegador da web do usuário ou no servidor de login único ou IAM.
  3. Quando o usuário tenta acessar outro aplicativo confiável, o aplicativo verifica com o servidor de login único ou IAM para determinar se o usuário já está autenticado para a sessão. Nesse caso, a solução de login único valida o usuário assinando o token de autenticação com um certificado digital e o usuário recebe acesso ao aplicativo. Caso contrário, o usuário será solicitado a inserir as credenciais de login.

O processo pode variar dependendo de vários fatores. Por exemplo, um usuário que ficou ocioso por um período especificado pode precisar efetuar login ao tentar acessar outro aplicativo. Ou, se um usuário autenticado tentar um aplicativo ou serviço que lida com informações particularmente confidenciais, o usuário poderá ser solicitado a fornecer um fator de autenticação adicional, como um código enviado ao celular ou e-mail do usuário (consulte 'Login único adaptável' abaixo).

 

Benefícios do login SSO

Obviamente, o login com SSO economiza tempo e problemas aos usuários. Veja os usuários corporativos, por exemplo: em vez de efetuar login em vários aplicativos várias vezes por dia, com o login único, eles geralmente podem efetuar login na intranet ou extranet corporativa apenas uma vez para acesso durante todo o dia a todos os aplicativos de que precisam.

Mas, ao reduzir drasticamente o número de senhas que os usuários precisam lembrar e o número de contas de usuário que os administradores precisam gerenciar, a login único fortalece a postura de segurança das organizações. Especificamente, o login único pode:

  • Substituir a fadiga da senha por uma senha única e forte. Usuários com muitas senhas para gerenciar geralmente usam as mesmas senhas curtas e fracas, ou pequenas variações delas, para cada aplicativo. Um hacker que decifre uma dessas senhas pode facilmente obter acesso a vários aplicativos. O login único pode muitas vezes reduzir dezenas de senhas curtas e fracas para uma única senha longa, complexa e forte que é mais fácil para os usuários lembrarem e muito mais difícil para os hackers quebrarem.
  • Ajudar a evitar hábitos inseguros de armazenamento de senhas. O login único pode reduzir ou eliminar a necessidade de gerenciadores de senhas, senhas armazenadas em planilhas, senhas escritas em notas autoadesivas e outros auxílios de memória, tudo isso torna as senhas mais fáceis de serem roubadas ou encontradas por pessoas erradas.
  • Reduzir muito as chamadas ao help desk. De acordo com o analista de segmento de mercado Gartner, 20% a 50% das chamadas de suporte técnico de TI estão relacionadas a senhas esquecidas ou redefinições de senha. A maioria das soluções de login único torna mais fácil para os usuários redefinirem suas próprias senhas, com assistência do help desk.
  • Dê aos hackers um alvo menor. De acordo com o relatório Cost of a Data Breach 2021 da IBM, as credenciais comprometidas foram o vetor de ataque inicial mais frequente para uma violação de dados, representando 20% de todas as violações de dados, e as violações que começaram com credenciais comprometidas custaram às vítimas em média US$ 4,31 milhões. Menos senhas significam menos vetores de ataque em potencial.
  • Simplificar o gerenciamento, provisionamento e desatribuição de contas de usuário. Com o login único, os administradores têm controle mais centralizado sobre os requisitos de autenticação e permissões de acesso. E quando um usuário sai da organização, os administradores podem remover permissões e encerrar a conta do usuário em menos etapas.
  • Ajudar a simplificar a conformidade regulamentar. O login único atende ou facilita o atendimento aos requisitos regulamentares em torno da proteção de informações de identificação pessoal (PII) e controle de acesso a dados, bem como requisitos específicos em alguns regulamentos, como HIPAA, em torno de tempos limite de sessão. 
Riscos do single sign-on

O principal risco do single sign-on (login único) é que, se as credenciais de um usuário forem comprometidas, ele poderá conceder a um invasor acesso a todos ou à maioria dos aplicativos e recursos na rede.

Exigir que os usuários criem senhas longas e complexas, criptografá-las e protegê-las cuidadosamente onde quer que estejam armazenadas ajudam bastante a evitar esse cenário do pior caso. Mas a maioria dos especialistas em segurança recomenda implementar o login único com autenticação de diversos fatores (Multi-factor authentication).

A autenticação de diversos fatores exige que os usuários forneçam pelo menos um fator de autenticação além de uma senha, por exemplo, um código enviado para um telefone celular, uma impressão digital ou um cartão de identificação. Como essas credenciais adicionais são aquelas que os hackers não podem roubar ou falsificar facilmente, a autenticação de diversos fatores pode reduzir drasticamente os riscos relacionados a credenciais comprometidas no login único.

Variações do login único

O método de login único descrito acima, onde um único login e um conjunto de credenciais de usuário fornece acesso a uma sessão para vários aplicativos relacionados, às vezes é chamado de login único simples ou simplesmente login único. Outros tipos de logins únicos ou métodos de autenticação semelhantes incluem:

  • Login único adaptável: inicialmente requer um nome de usuário e senha no login, mas posteriormente requer fatores de autenticação adicionais ou um novo login quando surgem riscos adicionais, como quando um usuário faz login de um novo dispositivo ou tenta acessar dados ou funcionalidades particularmente sensíveis.
  • Login único federado: mais corretamente chamado de gerenciamento de identidade federada (FIM), é um superconjunto do login único. Enquanto o login único é baseado em um relacionamento de confiança digital entre aplicativos dentro do domínio de uma única organização, o FIM estende esse relacionamento a terceiros confiáveis, fornecedores e outros provedores de serviços fora da organização. Por exemplo, o FIM pode permitir que um funcionário conectado acesse aplicativos da Web de terceiros, como Slack ou WebEx, sem um login adicional ou com um login simples apenas com nome de usuário.
  • Login social: permite que os usuários usem as mesmas credenciais que usam para acessar sites populares de mídia social para acessar aplicativos de terceiros. O login social simplifica a vida dos usuários. Para provedores de aplicativos de terceiros, ele pode desencorajar comportamentos indesejáveis (por exemplo, logins falsos, abandono de carrinho de compras) e fornecer informações valiosas para melhorar seus aplicativos.
Serviços e protocolos de autenticação

O login único pode ser implementado usando qualquer um dos vários protocolos e serviços de autenticação.

SAML/SAML 2.0

SAML (Security Assertion Markup Language) é o protocolo padrão aberto mais antigo para troca de autenticação criptografada e dados de autorização entre um provedor de identidade e vários provedores de serviços. Por fornecer maior controle sobre a segurança do que outros protocolos, o SAML é normalmente usado para implementar o login único dentro e entre domínios de aplicativos corporativos ou governamentais.

OAuth/OAuth 2.0

OAuth/OAuth 2.0 (Open Authorization) é um protocolo padrão aberto que troca dados de autorização entre aplicativos sem expor a senha do usuário. O OAuth permite o uso de um único login para simplificar as interações entre aplicativos que normalmente exigiriam logins separados para cada um. Por exemplo, o OAuth possibilita que o LinkedIn pesquise seus contatos de e-mail para possíveis novos membros da rede.

OpenID Connect (OIDC)

Outro protocolo de padrão aberto, o OICD usa APIs REST e tokens de autenticação JSON para permitir que um site ou aplicativo conceda acesso aos usuários autenticando-os por meio de outro provedor de serviços.

Sobreposto ao OAuth, o OICD é usado principalmente para implementar logins sociais em aplicativos de terceiros, carrinhos de compras e muito mais. Uma implementação mais leve, OAuth/OIDC geralmente é para SAML para implementar o login único em SaaS (software como serviço) e aplicativos em nuvem, aplicativos móveis e dispositivos de Internet das Coisas (IoT).

LDAP

LDAP (lightweight directory access protocol) define um diretório para armazenar e atualizar as credenciais do usuário e um processo para autenticar usuários no diretório. Introduzido em 1993, o LDAP ainda é a solução de diretório de autenticação de escolha para muitas organizações que implementam o login único, porque o LDAP permite que eles forneçam controle granular sobre o acesso ao diretório.

ADFS

ADFS (serviços de federação do Active Directory) é executado no Microsoft Windows Server para habilitar o gerenciamento de identidade federada, incluindo o login único, com aplicativos e serviços locais e externos. ADFS usa os serviços de domínio Active Directory (ADDS) como um provedor de identidade. 

Login único e uma abordagem zero trust

'Zero trust' adota uma abordagem de segurança 'nunca confie, sempre verifique': qualquer usuário, aplicativo ou dispositivo, seja fora da rede ou já autenticado e dentro da rede, deve verificar sua identidade antes de acessar o próximo recurso de rede que deseja acessar.

À medida que as redes se tornam mais distribuídas, abrangendo infraestrutura local e várias nuvens públicas e privadas, uma abordagem zero trust é essencial para evitar que ameaças que penetram na rede obtenham mais acesso e causem o máximo de danos.

O login único e, particularmente, a login único como parte de uma solução IAM, é amplamente vista como uma tecnologia fundamental para implementar uma abordagem zero trust. O desafio fundamental da abordagem zero trust é criar uma arquitetura de segurança que possa reprimir os invasores que penetram na rede, sem prejudicar a capacidade dos usuários finais autorizados de se movimentar livremente pela rede e realizar seu trabalho ou negócios. Quando combinado com autenticação de diversos fatores, controles de acesso e permissão, microssegmentação de rede e outras técnicas e práticas recomendadas, o login único pode ajudar as organizações a alcançar esse equilíbrio. 

Saiba mais sobre zero trust
Soluções relacionadas Identity and Access Management (IAM)

Conecte cada usuário ao nível certo de acesso com a solução de IAM do IBM Security Verify.

Soluções de SSO (Single sign-on)

Centralize o controle de acesso para aplicativos locais e na cloud

Autenticação avançada

O IBM Security Verify permite que você vá além da autenticação básica com opções de autenticação de diversos fatores ou sem senha.

Acesso adaptável

Proteja proativamente usuários e ativos com autenticação assistida por IA e baseada em risco com o IBM Security Verify.

Soluções de IAM em cloud

Infunda o IAM na nuvem com contexto profundo para autenticação baseada em risco para permitir acesso seguro e de baixo atrito.

Soluções de privacidade de dados

Fortaleça a proteção da privacidade de dados, construa a confiança do cliente e expanda os seus negócios.

IBM Security Verify Trust

Infundir confiança de risco em sistemas IAM para fornecer autenticação mais inteligente com o software IBM Security Verify Trust.

Soluções de confiança zero

Descubra as soluções de segurança que envolvem cada usuário, cada dispositivo e cada conexão.

Soluções de MDM (gerenciamento de dispositivos móveis)

Visibilidade, gerenciamento e segurança para terminais e usuários.

Recursos IBM Security Framing and Discovery Workshop

Entenda seu ambiente de segurança cibernética e priorize iniciativas em conjunto com arquitetos e consultores de segurança sênior da IBM em uma sessão de design thinking de três horas, sem custo, virtual ou presencial.

O que é IAM (Gerenciamento de acesso e identidade)?

O gerenciamento de acesso e identidade (IAM) é uma parte crítica do seu programa de segurança para ajudar a proteger os dados controlando o acesso à rede corporativa.

O que é zero trust?

Zero Trust é um framework que assume que a segurança de uma rede complexa está sempre correndo o risco de sofrer ataques internos e externos.

O que é segurança de dados?

A segurança de dados ajuda a proteger as informações digitais contra acesso não autorizado, corrupção ou roubo durante todo o seu ciclo de vida.

O que é segurança cibernética?

A tecnologia de segurança cibernética e as melhores práticas protegem sistemas importantes e informações confidenciais de um volume cada vez maior de ameaças em constante mudança.

O que são ameaças internas?

Definir ameaças internas, identificar sua origem e descrever medidas para protegê-las.

O que é MDM (Gerenciamento de dispositivo móvel)?

O gerenciamento de dispositivos móveis (MDM) é usado para fornecer ferramentas e aplicativos de produtividade móvel à força de trabalho, mantendo os dados corporativos seguros.

O que é open source?

Open-source software (OSS) é um modelo de desenvolvimento descentralizado que distribui código-fonte publicamente para colaboração aberta e produção participativa

SSO com IBM Security

IBM Security Verify é uma solução única de identidade como serviço (IDaaS) para modernização da força de trabalho e transformação digital do consumidor. O Verify apresenta recursos abrangentes de IAM na nuvem, incluindo login único, autenticação avançada baseada em risco, gerenciamento de acesso adaptável, gerenciamento de consentimento automatizado e muito mais.

Veja como o Verify se compara Saiba mais e comece a usar o Verify sem nenhum custo