Português (Brasil)
  • SSO
  • IdP
  • SAML
  • SSO Empresarial
  • OIDC

SSO vs SAML, explicado para todos

SSO e SAML são frequentemente usados de forma vaga e podem ser interpretados de diferentes maneiras. Neste artigo, vamos esclarecer esses conceitos, explicar como eles se relacionam e fornecer exemplos reais para torná-los mais fáceis de entender.

Guamian
Guamian
Product & Design

SSO e SAML são frequentemente usados de forma vaga e podem ser interpretados de diferentes maneiras. Neste artigo, vamos esclarecer esses conceitos, explicar como eles se relacionam e fornecer exemplos reais para torná-los mais fáceis de entender.

O que é SSO?

SSO (Single Sign-On) é um processo de autenticação que permite que um usuário faça login uma vez e acesse vários aplicativos ou serviços sem precisar fazer login novamente para cada um. No entanto, essa definição geral pode se aplicar a diferentes cenários quando o SSO é usado.

Existem vários cenários onde o SSO entra em cena.

SSO Social

Às vezes, as pessoas se referem ao login social como SSO social. Por exemplo, os usuários podem usar o login do Google para criar uma conta em um novo aplicativo, usando diretamente a identidade e as informações armazenadas no Google. Nesse cenário, o usuário gerencia sua própria identidade.

O SSO social facilita para os usuários o controle de suas informações, reduzindo as etapas tediosas no processo de criação de conta e login. O SSO social normalmente depende de protocolos padrão abertos como OAuth 2.0 e OIDC.

sign-in-social-linking.png

SSO Empresarial

Primeiro, vamos entender os conceitos de Provedor de Identidade e Provedor de Serviço em termos simples.

  1. Provedor de Identidade (IdP) é como o "guardião" da sua identidade. É o sistema que guarda suas informações de login e verifica quem você é. Pense como uma autoridade confiável que diz: "Sim, essa pessoa é quem ela afirma ser." Exemplos incluem Google Workspace, Microsoft Entra e Okta Workforce Identity.
  2. Provedor de Serviço (SP) é o "aplicativo" ou "serviço" que você deseja acessar uma vez que sua identidade é verificada. É o lugar onde você está tentando fazer login, como um aplicativo ou site. Por exemplo, Zoom, Slack ou as ferramentas internas da sua empresa são todos provedores de serviço.

Em termos simples, o Provedor de Identidade prova quem você é, e o Provedor de Serviço te dá acesso aos seus serviços uma vez que sua identidade é confirmada.

SSO Empresarial é usado em cenários mais focados em negócios e, dividido por esses dois termos explicados acima, existem dois casos típicos: SSO iniciado pelo IdP e SSO iniciado pelo SP. Embora os termos possam parecer técnicos, os cenários são na verdade bem diretos.

SSO iniciado pelo IdP

Imagine quando você, como funcionário, embarca nos aplicativos e recursos da sua empresa. Tipicamente, o RH criará uma conta para você. Você então usa essa conta para fazer login em uma plataforma como Okta ou Google Workspace. Uma vez logado, você será direcionado para um portal corporativo, onde poderá acessar todos os aplicativos da empresa, como sistemas de folha de pagamento, ferramentas de colaboração, Workday, e mais.

idp-initiated-sso-portal.png

SSO iniciado pelo SP

Vamos mudar de perspectiva e olhar isso de outro ponto de vista. Às vezes, você precisa começar na página de login de um produto específico. Por exemplo, se quiser usar o Zoom para uma reunião online com seus colegas, você verá uma opção para “Fazer login com SSO.” Este cenário é conhecido como SSO iniciado pelo SP.

sso-button-sign-in.png

Que problemas o SSO Empresarial resolve

O primeiro benefício do SSO empresarial é que ele permite que as empresas gerenciem identidades de força de trabalho de maneira fácil, flexível e segura.

Digamos que você gere uma empresa, e todos os seus funcionários precisam de acesso aos produtos e serviços que você comprou. Como os recursos produzidos pela empresa pertencem a ela, é necessário um sistema de identidade corporativo. Se os funcionários usassem identidades pessoais para acessar recursos da empresa, isso criaria desafios de segurança e gerenciamento.

Por outro lado, em um cenário como SSO iniciado pelo SP, os funcionários acessam vários aplicativos e serviços pertencentes à empresa. Quando os funcionários entram ou saem, o RH deve criar e excluir várias contas em todos os produtos e serviços da empresa, o que é tedioso e demorado.

O SSO Empresarial simplifica esse processo através de um sistema de identidade universal, e ferramentas como SCIM (Sistema para Gerenciamento de Identidade entre Domínios) e provisionamento Just-in-Time tornam isso ainda mais eficiente.

Para o SSO iniciado pelo IdP, é benéfico para os desenvolvedores de produtos que desejam estar “prontos para a empresa”. Por exemplo, se você é uma startup que inicialmente foca em consumidores individuais, e posteriormente uma grande empresa quer usar seu produto, eles podem exigir que os funcionários façam login usando Microsoft Entra, por exemplo. Neste caso, você precisaria integrar o SSO empresarial em seu produto para fechar o negócio.

O que é SAML?

SAML (Security Assertion Markup Language) é um protocolo padrão aberto usado para autenticação e autorização. Junto com OAuth e OIDC, o SAML é amplamente usado em sistemas de gerenciamento de identidade, particularmente no gerenciamento de identidade da força de trabalho. Provedores de identidade comerciais como Okta e Microsoft Entra comumente suportam SAML como um de seus protocolos padrão.

Alguns sistemas mais antigos e provedores de login social também oferecem suporte ao SAML, portanto, ter o SAML integrado ao seu sistema pode ajudar a garantir compatibilidade com uma gama mais ampla de provedores de identidade e crescimento do ecossistema no futuro.

Quando o SAML é necessário?

O SAML é frequentemente usado em cenários de SSO Empresarial. Por exemplo, considere esta situação:

Sua equipe de vendas contata os desenvolvedores de produto e diz: “Nós temos um grande cliente, e eles exigem login SAML. Precisamos dar suporte a esta tecnologia.”

Para engenheiros que não estão familiarizados com SAML ou IAM (Identity and Access Management), seu primeiro passo provavelmente seria buscar por “SAML” ou “login SAML”.

Em última análise, o objetivo é integrar o SSO empresarial ao seu produto, tornando-o “pronto para a empresa” para atender às necessidades de clientes maiores que dependem de tecnologias como SAML para autenticação segura.

Como o SAML funciona

Aqui está uma explicação simplificada dos dois tipos:

Fluxo Iniciado pelo SP

  1. O usuário tenta acessar o recurso do SP.
  2. O SP redireciona o usuário para o IdP com um pedido de autenticação SAML.
  3. O usuário faz login no IdP e é autenticado.
  4. O IdP gera uma asserção SAML com a identidade do usuário e possivelmente dados de autorização.
  5. O IdP envia a asserção SAML de volta ao SP, tipicamente via navegador do usuário.
  6. O SP processa a asserção, a valida e concede/nega acesso ao usuário.

Fluxo Iniciado pelo IdP

  1. O usuário já está logado no IdP e seleciona um serviço/recurso do portal do IdP.
  2. O IdP gera uma asserção SAML com base na sessão atual do usuário, contendo identidade e atributos.
  3. O IdP envia a asserção diretamente ao SP, sem a solicitação prévia do SP.
  4. O SP processa a asserção, valida sua integridade e extrai a identidade e atributos do usuário.
  5. O SP concede ou nega acesso com base na asserção.

Para ver como o SAML funciona a partir de uma perspectiva técnica, confira Como o SAML funciona.

A diferença entre SAML e SSO

As definições de SAML e SSO são frequentemente confusas, mas aqui está uma explicação simples:

  1. SSO é um processo de autenticação usado por aplicativos e software, que permite que os usuários façam login uma vez e acessem vários serviços.
  2. SAML é um protocolo técnico usado principalmente no gerenciamento de identidade empresarial para trocar dados de autenticação de maneira segura.

Imagine isso: Você entra no seu escritório pela manhã e, em vez de precisar fazer login em cada aplicativo separadamente — seu email, calendário, ferramentas de gerenciamento de projetos — você faz login uma vez e tem acesso a tudo. Essa experiência contínua é o SSO (Single Sign-On). É como ter uma chave universal que abre todas as portas para suas ferramentas de trabalho.

Mas como o SSO funciona?

É aqui que o SAML (Security Assertion Markup Language) entra em cena. Pense no SAML como um mensageiro de confiança entre seu sistema de login (chamado de Provedor de Identidade, ou IdP) e os aplicativos que você deseja usar (chamados de Provedores de Serviço, ou SPs). Quando você faz login através do SSO, o SAML envia de forma segura uma "prova" de sua identidade do IdP para o aplicativo, confirmando que você é quem você diz ser.

Então, em resumo:

  1. O SSO é a experiência do usuário: um login para acessar vários aplicativos.
  2. O SAML é o protocolo por trás dos panos que torna essa experiência sem costura possível ao lidar de forma segura com a verificação de identidade.

Enquanto o SSO melhora a conveniência, o SAML garante que tudo permaneça seguro e conectado, permitindo que você acesse tudo sem ter que pensar duas vezes.

O SSO Empresarial usa outros protocolos?

Sim, além do SAML, OIDC é outro protocolo comumente usado em cenários de SSO Empresarial. Por exemplo, no conector empresarial do Logto, ele suporta tanto o Microsoft Entra (OIDC) quanto o Microsoft Entra (SAML).

standard connector.png

Devo usar SAML SSO?

Se você está vendendo para clientes empresariais, é importante considerar o suporte ao SAML o mais cedo possível. Mas não se concentre apenas em suportar o protocolo SAML — pense no fluxo de autenticação completo do SSO empresarial. Aqui estão alguns cenários-chave a considerar:

  1. Permitir que seus clientes se auto-inscrevam e configurem o SSO empresarial.
  2. Garantir que os funcionários possam se juntar automaticamente às organizações corretas em aplicativos multi-tenant (isso pode ser feito com provisionamento Just-in-Time e SCIM).
  3. Implementar um fluxo de login de ponta a ponta que seja compatível com o seu processo de login voltado para o consumidor.

Implemente SAML e SSO Empresarial com Logto

Logto proporciona fluxos de SSO empresarial de ponta a ponta e suporta vários famosos conectores SAML. Ele pode ser integrado em muitos cenários comuns de que você precisará. Explore todos os recursos do Logto, desde o Logto Cloud até o Logto OSS, no site do Logto.