Beranda
Topics
Single Sign On
Diperbarui: 01 Maret 2024 Kontributor: Mark Scapicchio, Amber Forrest
Masuk tunggal, atau SSO adalah skema autentikasi yang memungkinkan pengguna untuk masuk satu kali saja menggunakan satu set kredensial dan mengakses beberapa aplikasi dalam satu sesi yang sama.
Masuk tunggal menyederhanakan autentikasi pengguna, meningkatkan pengalaman pengguna, dan, jika diterapkan dengan benar, dapat meningkatkan keamanan. Sistem ini sering digunakan untuk mengelola otentikasi dan mengamankan akses ke intranet atau intranet perusahaan, portal siswa, layanan cloud publik, dan lingkungan lain di mana pengguna perlu berpindah di antara aplikasi yang berbeda untuk menyelesaikan pekerjaan mereka. Sistem ini juga semakin banyak digunakan di situs web dan aplikasi yang menghadap pelanggan, seperti situs perbankan dan e-commerce, untuk menggabungkan aplikasi dari penyedia pihak ketiga menjadi pengalaman pengguna yang mulus dan tanpa gangguan.
Pelajari dan lihat bagaimana IBM Verify SaaS memungkinkan identitas yang berfokus pada pengguna untuk memperluas pengalaman manajemen akses yang ada menggunakan kredensial yang dapat diverifikasi dan identitas yang terdesentralisasi.
Masuk tunggal didasarkan pada hubungan kepercayaan digital antara penyedia layanan, aplikasi, situs web, layanan, dan penyedia identitas (IdP), atau solusi SSO. Solusi SSO sering kali merupakan bagian dari solusi Manajemen Identitas dan Akses yang lebih besar.
Secara umum, autentikasi SSO berfungsi sebagai berikut:
- .
Seorang pengguna masuk ke salah satu penyedia layanan, atau ke portal pusat (seperti intranet perusahaan atau portal mahasiswa) menggunakan kredensial masuk SSO.
- .
Ketika pengguna berhasil diautentikasi, solusi SSO menghasilkan token autentikasi sesi yang berisi informasi khusus tentang identitas pengguna, seperti nama pengguna, alamat email, dll. Token ini disimpan pada browser web pengguna, atau dalam sistem SSO.
- .
Saat pengguna mencoba mengakses penyedia layanan tepercaya lainnya, aplikasi akan memeriksa sistem SSO untuk menentukan apakah pengguna sudah diautentikasi untuk sesi tersebut. Jika sudah, solusi SSO memvalidasi pengguna dengan menandatangani token autentikasi dengan sertifikat digital, dan pengguna diberikan akses ke aplikasi. Jika belum, pengguna akan diminta untuk memasukkan kembali kredensial login.
- .
Proses SSO yang dijelaskan di atas, satu login dan serangkaian kredensial pengguna yang menyediakan akses sesi ke beberapa aplikasi terkait, terkadang disebut SSO sederhana atau SSO murni. Jenis SSO lainnya meliputi:
SSO Adaptif memerlukan satu set kredensial login awal, tetapi meminta faktor autentikasi tambahan atau login baru ketika muncul risiko tambahan, seperti ketika pengguna login dari perangkat baru atau mencoba mengakses data atau fungsionalitas yang sangat sensitif.
Federated Identity Management (Manajemen identitas gabungan), atau FIM, adalah superset dari SSO. SSO didasarkan pada hubungan kepercayaan digital antara berbagai aplikasi dalam satu domain organisasi, sedangkan FIM memperluas hubungan tersebut ke pihak ketiga, vendor, dan penyedia layanan lain yang tepercaya di luar organisasi. Sebagai contoh, FIM dapat memungkinkan karyawan yang sudah masuk untuk mengakses aplikasi web pihak ketiga (misalnya Slack atau WebEx) tanpa login tambahan, atau dengan login sederhana yang hanya memerlukan nama pengguna.
Login sosial memungkinkan pengguna akhir untuk melakukan autentikasi pada aplikasi menggunakan kredensial yang sama dengan yang mereka gunakan untuk melakukan autentikasi pada situs media sosial populer. Bagi penyedia aplikasi pihak ketiga, login sosial dapat mencegah perilaku yang tidak diinginkan (misalnya login palsu, pengabaian keranjang belanja) dan memberikan informasi berharga untuk meningkatkan aplikasi mereka.
SSO dapat diimplementasikan menggunakan salah satu dari beberapa protokol dan layanan autentikasi.
Security Assertion Markup Language, atau SAML, adalah protokol standar terbuka yang paling lama digunakan untuk bertukar data autentikasi dan otorisasi terenkripsi antara penyedia identitas dan beberapa penyedia layanan. Karena memberikan kontrol yang lebih besar atas keamanan daripada protokol lain, SAML biasanya digunakan untuk mengimplementasikan SSO di dalam dan di antara domain aplikasi perusahaan atau pemerintah.
Open Authorization (Otorisasi Terbuka), atau OAuth, adalah protokol standar terbuka yang mempertukarkan data otorisasi antar aplikasi tanpa mengungkap kata sandi pengguna. OAuth memungkinkan penggunaan login tunggal untuk memudahkan interaksi di berbagai aplikasi yang biasanya memerlukan login terpisah untuk masing-masing aplikasi. Misalnya, OAuth memungkinkan LinkedIn untuk mencari kontak email Anda untuk calon anggota jejaring baru.
Protokol standar terbuka lainnya, OICD menggunakan REST API dan token autentikasi JSON untuk memungkinkan situs web atau aplikasi memberikan akses kepada pengguna dengan mengautentikasi mereka melalui penyedia layanan lain.
Dilapisi di atas OAuth, OICD digunakan terutama untuk mengimplementasikan login sosial ke aplikasi pihak ketiga, keranjang belanja, dan banyak lagi. Implementasi yang lebih ringan, OAuth/OIDC sering kali digunakan untuk mengimplementasikan SSO di seluruh perangkat lunak sebagai layanan (SaaS) dan aplikasi cloud, aplikasi mobile, dan perangkat Internet of Things (IoT).
Protokol akses direktori ringan (LDAP) mendefinisikan direktori untuk menyimpan dan memperbarui kredensial pengguna, dan proses untuk mengautentikasi pengguna terhadap direktori tersebut. Diperkenalkan pada tahun 1993, LDAP masih menjadi solusi direktori autentikasi pilihan bagi banyak organisasi yang menerapkan SSO, karena LDAP memungkinkan mereka memberikan kontrol menyeluruh atas akses direktori.
Active Directory Federation Services (Layanan Federasi Direktori Aktif), atau ADFS, berjalan pada Microsoft Windows Server untuk memungkinkan manajemen identitas federasi, termasuk masuk tunggal, dengan aplikasi dan layanan on premises dan off premises. ADFS menggunakan Active Directory Domain Services (ADDS) sebagai penyedia identitas.
SSO menghemat waktu dan masalah pengguna. Misalnya: Alih-alih login ke beberapa aplikasi beberapa kali per hari, dengan SSO, pengguna akhir korporat dapat login ke intranet korporat hanya sekali untuk akses sepanjang hari ke setiap aplikasi yang mereka perlukan.
Tetapi dengan mengurangi secara signifikan jumlah kata sandi yang perlu diingat oleh pengguna, dan jumlah akun pengguna yang perlu dikelola oleh administrator, SSO dapat memberikan sejumlah manfaat lain.
Pengguna yang memiliki banyak kata sandi yang harus dikelola sering kali terjerumus ke dalam kebiasaan buruk dan berisiko menggunakan kata sandi yang pendek dan lemah yang sama, atau sedikit variasinya, untuk setiap aplikasi. Peretas yang berhasil memecahkan salah satu kata sandi ini dapat dengan mudah mendapatkan akses ke beberapa aplikasi. SSO memungkinkan pengguna mengonsolidasikan beberapa kata sandi pendek yang lemah menjadi satu kata sandi tunggal, panjang, dan kuat yang lebih mudah diingat pengguna dan jauh lebih sulit untuk dibobol oleh peretas.
Menurut IBM X-Force Threat Intelligence Index 2024, pada 2023, terjadi peningkatan tahun ke tahun sebesar 71% dalam serangan siber yang menggunakan kredensial yang dicuri atau disusupi. SSO dapat mengurangi atau menghilangkan kebutuhan akan pengelola kata sandi, kata sandi yang disimpan dalam spreadsheet, kata sandi yang ditulis pada catatan tempel dan alat bantu memori lainnya, yang semuanya menjadi target peretas atau membuat kata sandi lebih mudah dicuri atau ditemukan oleh orang yang salah.
Menurut analis industri Gartner, 20% hingga 50% panggilan ke layanan bantuan IT terkait dengan kata sandi yang terlupakan atau pengaturan ulang kata sandi. Sebagian besar solusi SSO memudahkan pengguna untuk mengatur ulang kata sandi sendiri, dengan panduan dari layanan bantuan.
SSO memberi administrator kontrol yang lebih sederhana dan lebih terpusat atas penyediaan akun dan izin akses. Ketika pengguna meninggalkan organisasi, administrator dapat menghapus izin dan menonaktifkan akun pengguna dalam beberapa langkah.
SSO dapat mempermudah pemenuhan persyaratan peraturan seputar perlindungan informasi identitas pribadi (PII) dan kontrol akses data, serta persyaratan khusus dalam beberapa peraturan, seperti HIPAA, seputar batas waktu sesi.
Risiko utama SSO adalah jika kredensial pengguna disusupi, maka penyerang dapat memperoleh akses ke semua atau sebagian besar aplikasi dan sumber daya dalam jaringan. Tetapi mengharuskan pengguna untuk membuat kata sandi yang panjang dan kompleks, dan dengan hati-hati mengenkripsi dan melindungi kata sandi tersebut di mana pun lokasi penyimpanannya, dapat sangat membantu mencegah skenario terburuk ini.
Selain itu, sebagian besar pakar keamanan merekomendasikan autentikasi dua faktor (2FA) atau autentikasi multifaktor (MFA) sebagai bagian dari setiap implementasi SSO. 2FA atau MFA mengharuskan pengguna untuk memberikan setidaknya satu faktor autentikasi selain kata sandi, misalnya, kode yang dikirim ke ponsel, sidik jari, kartu identitas. Karena kredensial tambahan ini tidak dapat dicuri atau dipalsukan dengan mudah oleh peretas, MFA dapat secara drastis mengurangi risiko yang terkait dengan kredensial yang disusupi dalam SSO.
Memanfaatkan konteks mendalam, kecerdasan, dan keamanan guna memutuskan pengguna mana yang berhak mengakses data dan aplikasi organisasi Anda, baik secara on premises maupun di cloud.
Memusatkan kontrol akses untuk aplikasi cloud dan on premises.
Melampaui autentikasi dasar dengan opsi autentikasi tanpa kata sandi atau multifaktor
Laporan Biaya Pelanggaran Data membantu dalam kesiapan menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biayanya.
IAM adalah disiplin keamanan siber yang berhubungan dengan bagaimana pengguna mengakses sumber daya digital dan apa yang dapat mereka lakukan dengan sumber daya tersebut.
Autentikasi multi-faktor mengharuskan pengguna untuk menyediakan setidaknya dua bukti, selain nama pengguna mereka, untuk membuktikan identitas mereka.