Yritystason SSO: Mitä se on, miten se toimii ja miksi se on tärkeää

Mitä on yritystason SSO?#

Ennen kuin sukelletaan määritelmiin, on tärkeää selkeyttää ero SSO:n ja yritystason SSO:n välillä, koska se voi usein aiheuttaa sekaannusta.

• SSO (Single Sign-On) on yleistermi, joka viittaa käyttäjän kykyyn kirjautua kerran ja päästä useisiin sovelluksiin tai resursseihin ilman uudelleenkirjautumista.
• Yritystason SSO on erityinen SSO-tyyppi, joka on suunniteltu organisaation työntekijöille.

Etkö ole vieläkään varma? Katsotaanpa esimerkkitapausta:

Verkkokauppasivusto nimeltä Amazed sisältää kaksi verkkosovellusta: yhden asiakkaille ja yhden kaupan omistajille. Asiakkaat kirjautuvat ostossovellukseen ostaakseen tuotteita, kun taas kaupan omistajat kirjautuvat kaupan omistajasovellukseen hallitakseen kauppojaan. Molemmat sovellukset käyttävät samaa identiteetin tarjoajaa todennukseen. Tämän seurauksena käyttäjien tarvitsee kirjautua sisään vain kerran päästäkseen molempiin sovelluksiin, jolloin he saavat yhden kirjautumisen (Single Sign-On) kokemuksen.

Sisäisesti Amazed käyttää useita sovelluksia tiimiviestintään, projektinhallintaan ja asiakastukeen. Jotta päivittäiset työnkulut olisivat sujuvampia, Amazed ottaa käyttöön yritystason SSO:n työntekijöilleen. Yritystason SSO:n avulla työntekijät voivat käyttää kaikkia sisäisiä sovelluksia yhdellä kirjautumiskerralla.

Tyypillisesti yritystason SSO-ratkaisut tarjoavat myös keskitetyn hallintapaneelin, jonka kautta työntekijät voivat yhdellä klikkauksella päästä kaikkiin sovelluksiin. Tätä hallintapaneelia kutsutaan usein SSO-hallintapaneeliksi.

Yksinkertaisesti sanottuna molemmat ovat esimerkkejä yhdestä kirjautumisesta (Single Sign-On). Erona on, että ensimmäinen esimerkki on yleinen SSO, kun taas toinen on yritystason SSO. Nämä ovat tyypillisiä käyttötapauksia asiakas- IAM:lle (identiteetin ja pääsyn hallinta) ja työvoiman IAM:lle.

Miten yritystason SSO toimii?#

Yritystason SSO toimii yhdistämällä useita sovelluksia keskitettyyn identiteetin tarjoajaan. Yhteys voi olla yksisuuntainen (sovelluksesta identiteetin tarjoajaan) tai kaksisuuntainen (sovelluksen ja identiteetin tarjoajan välillä). Näihin yhteyksiin käytetään erilaisia standardeja ja protokollia, kuten SAML, OpenID Connect ja OAuth 2.0.

Riippumatta käytetystä protokollasta, perusprosessi on yleensä samanlainen:

1. Käyttäjä käyttää sovellusta (esim. viestintäsovellus), joka vaatii todennuksen.
2. Sovellus ohjaa käyttäjän identiteetin tarjoajalle todennusta varten.
3. Käyttäjä kirjautuu sisään identiteetin tarjoajalle.
4. Identiteetin tarjoaja lähettää todennusvastauksen takaisin sovellukselle.
5. Sovellus tarkistaa vastauksen ja myöntää käyttäjälle pääsyn.

Kun käyttäjä käyttää toista sovellusta (esim. projektinhallintasovellus), joka on yhdistetty samaan identiteetin tarjoajaan, hän kirjautuu automaattisesti sisään ilman tarvetta syöttää tunnistetietojaan uudelleen. Tässä tapauksessa vaihe 3 ohitetaan, ja koska vaiheet 2, 4 ja 5 tapahtuvat taustalla, käyttäjä ei edes huomaa todennusprosessia.

Tätä prosessia kutsutaan palveluntarjoajan (SP) aloittamaksi SSO:ksi, jossa sovellus (SP) aloittaa todennusprosessin.

Toisessa skenaariossa identiteetin tarjoaja tarjoaa keskitetyn hallintapaneelin, jonka kautta käyttäjät voivat käyttää kaikkia yhdistettyjä sovelluksia. Yksinkertaistettu prosessi on:

1. Käyttäjä kirjautuu sisään identiteetin tarjoajalle.
2. Identiteetin tarjoaja näyttää listan sovelluksista, joita käyttäjä voi käyttää.
3. Käyttäjä klikkaa sovellusta (esim. asiakastukisovellus) päästäkseen siihen.
4. Identiteetin tarjoaja ohjaa käyttäjän sovellukseen todennustietojen kanssa.
5. Sovellus tarkistaa tiedot ja myöntää käyttäjälle pääsyn.

Tätä prosessia kutsutaan identiteetin tarjoajan (IdP) aloittamaksi SSO:ksi, jossa identiteetin tarjoaja (IdP) aloittaa todennusprosessin.

Miksi yritystason SSO on tärkeää?#

Yritystason SSO työvoima-IAM:ssa#

Keskitetty hallinta#

Yritystason SSO:n ensisijainen etu ei ole vain työntekijöiden mukavuus, vaan myös organisaatioiden turvallisuuden ja säädösten noudattamisen parantaminen. Sen sijaan, että hallitaan useita tunnuksia eri sovelluksille ja määritetään todentaminen ja valtuutus erikseen jokaiselle, organisaatiot voivat keskittää käyttäjätunnusten hallinnan, pääsynhallintapolitiikat ja tarkastuslokit.

Esimerkiksi kun työntekijä lähtee yrityksestä, IT-osasto voi poistaa työntekijän tilin käytöstä identiteetin tarjoajassa, jolloin pääsy kaikkiin sovelluksiin päättyy välittömästi. Tämä on tärkeää luvattoman pääsyn ja tietomurtojen estämiseksi, ja tätä prosessia kutsutaan elinkaaren hallinnaksi.

Käyttöoikeuksien hallinta#

Yritystason SSO-ratkaisut sisältävät usein käyttöoikeuksien hallintaominaisuuksia, kuten roolipohjaisen pääsynhallinnan (RBAC) ja ominaisuuspohjaisen pääsynhallinnan (ABAC). Nämä ominaisuudet mahdollistavat organisaatioille yksityiskohtaisten pääsykäytäntöjen määrittelyn käyttäjäroolien, ominaisuuksien ja muiden kontekstuaalisten tietojen perusteella, varmistaen, että työntekijöillä on oikea pääsy oikeisiin resursseihin.

Yksityiskohtaisen vertailun RBAC:stä ja ABAC:stä löydät artikkelista RBAC ja ABAC: Ne käyttöoikeusmallit, jotka sinun tulisi tietää.

Parannettu turvallisuus#

Toinen etu on kyky pakottaa vahvat todennusmetodit, kuten monivaiheinen todennus (MFA), salasanattomat todennukset ja mukautuva todennus, koskemaan kaikkia sovelluksia. Nämä metodit auttavat suojaamaan arkaluonteisia tietoja ja noudattamaan teollisuuden säädöksiä.

Lisätietoja MFA:sta saat artikkelista Exploring MFA: Looking at authentication from a product perspective.

Yritystason SSO asiakas-IAM:ssa#

Termi "Yritystason SSO" esiintyy myös asiakas-IAM-ratkaisuissa. Mitä se tarkoittaa tässä kontekstissa? Palataanpa Amazed-esimerkkiin: Jotkut kaupan omistajat ovat yrityksiä. Yksi kaupan omistaja, Banana Inc., toteuttaa yritystason SSO:n työntekijöilleen. Osana sopimusta Banana Inc. vaatii, että Amazed ottaa käyttöön yritystason SSO:n kaikille Banana Inc.'iin (esim. *@banana.com) kuuluville sähköpostiosoitteille, kun he käyttävät kaupan omistajasovellusta.

Tässä tapauksessa Amazed tarvitsee integroida identiteetin tarjoajansa Banana Inc.'n identiteetin tarjoajaan mahdollistamaan yritystason SSO Banana Inc.'n työntekijöille. Tämä integraatio, joka usein tehdään standardiprotokollien, kuten SAML, OpenID Connect tai OAuth, avulla, tunnetaan yleisesti nimellä yritystason SSO-yhteys, yritystason SSO-liitin tai SSO-federointi.

Kattavan selityksen asiakas-IAM:sta löydät CIAM-sarjastamme:

• CIAM 101: Todennus, Identiteetti, SSO
• CIAM 102: Valtuutus & roolipohjainen pääsynhallinta

Ole valmis yritystasoasiakkaille#

B2B- (yritysten välinen) skenaarioissa yritystason SSO on oltava SaaS-palveluntarjoajille, kuten Amazed, jotta he voivat tukea yritysasiakkaitaan. Kyse ei ole vain mukavuudesta; kyse on molempien osapuolten turvallisuudesta ja säädösten noudattamisesta. Yritystason SSO voi pakottaa kaikki yritysasiakkaan hallinnoimat identiteetit todennukseen yrityksen identiteetin tarjoajan kautta, varmistaen, että yritys säilyttää hallinnan käyttäjistään, tiedoistaan, pääsy- ja turvallisuuspolitiikoistaan.

Yritystason SSO on keskeinen tekijä yritysvalmiuden saavuttamisessa, mikä tarkoittaa kykyä vastata yritysasiakkaiden tarpeisiin. Kuitenkin identiteetin ja pääsynhallinta, erityisesti yritysasiakkaiden kontekstissa, on monimutkaista ja vaatii huomattavaa investointia aikaa, resursseja ja asiantuntemusta. Nykyaikaiset SaaS-palveluntarjoajat valitsevat usein IAM-alustoja käsittelemään näitä monimutkaisuuksia.

Loppusanat#

Yritystason SSO on voimakas. Se hyödyttää kaikkia osapuolia: työntekijöitä, organisaatioita ja asiakkaita. IT-osasto nauttii pienentyneestä työtaakasta, työntekijät välttävät salasanaväsymystä salasanattoman todennuksen avulla, ja asiakkaat arvostavat parannettua käyttökokemusta. Jos rakennat tai suunnittelet tukevasi yritysasiakkaita SaaS-tuotteella, harkitse Logto-palvelua valmiina, kehittäjäystävällisenä ratkaisuna.