Português (Portugal)
  • provedor de serviço
  • sso
  • b2b
  • identidade
  • autenticação
  • single sign-on

Saiba mais sobre SSO iniciado por SP para aplicações B2B

Saiba o que é o single sign-on (SSO) iniciado por provedor de serviços (SP-initiated) e como ele pode ajudar o seu produto business-to-business (B2B).

Ran
Ran
Product & Design

Quando se trata de modelos de identidade, os produtos B2B estão numa categoria à parte. Eles devem navegar nas complexidades da multi-tenantidade ao mesmo tempo em que atendem à demanda dos clientes empresariais por identidade unificada e gestão de acesso de funcionários em uma variedade de serviços e aplicações. A Logto também encontrou essas demandas por parte dos clientes. Neste artigo, abordaremos o SSO iniciado por SP a partir de uma perspetiva orientada para o produto e como ele atende às necessidades dos seus clientes.

Conceito

Comecemos por introduzir alguns elementos-chave que você precisa entender:

  • Provedor de serviço (SP): As suas aplicações ou serviços, que podem ser um ou vários aplicativos que compartilham um único sistema de identidade.
  • Provedor de identidade empresarial (IdP): O fornecedor de identidade no qual os seus clientes empresariais confiam para gerir as identidades dos funcionários e as permissões das aplicações. Eles podem usar diferentes provedores, como Okta, Azure AD, Google Workspace ou até mesmo IdPs personalizados.
  • Organização do provedor de serviços (SP Org): As aplicações B2B frequentemente suportam multi-tenantidade para diferentes organizações clientes.
  • Organização do provedor de identidade (IdP Org): Os IdPs também suportam multi-tenantidade para diferentes organizações clientes. Idealmente, uma empresa deveria ser capaz de ligar o seu IdP Org a um SP Org, replicando as identidades dos seus funcionários, mas a realidade pode ser mais complexa.
  • Conta de usuário empresarial: Tipicamente identificada pelo uso de um domínio de e-mail da empresa para fazer login. Esta conta de e-mail empresarial pertence, no final das contas, à empresa.

Depois, mergulhe no SSO e em dois protocolos importantes:

  • Single sign-on (SSO): O SSO permite que os usuários acedam a múltiplos serviços ou aplicações com um único conjunto de credenciais. Simplifica a gestão de acesso e aumenta a segurança.
  • Protocolos SAML e OIDC: O SSO baseia-se nesses protocolos para autenticação e autorização, cada um com as suas próprias vantagens e desvantagens.

Existem dois principais mecanismos de disparo de SSO a considerar:

  • SSO iniciado por IdP: No SSO iniciado por IdP, o Provedor de Identidade (IdP) controla principalmente o processo de single sign-on. Os usuários começam a autenticação a partir da interface do IdP.
  • SSO iniciado por SP: No SSO iniciado por SP, o Provedor de Serviços (SP) é o responsável por iniciar e gerir o processo de single sign-on, sendo frequentemente preferido em cenários B2B.

Agora, vamos explorar o SSO iniciado por SP em detalhe.

Nível superficial: experiência do usuário

Ao contrário dos produtos B2C que podem oferecer alguns botões fixos de login de IdP social, os produtos B2B não podem ditar qual IdP empresarial específico cada cliente utilizará. Portanto, os usuários precisam primeiro declarar a sua identidade. Após confirmar que fazem parte de uma empresa habilitada para SSO, são redirecionados para o seu respetivo IdP Empresarial para login.

Para alcançar isso, você deve, na página de login, determinar se o usuário precisa fazer login via SSO e para qual IdP ele deve ser redirecionado. Métodos comuns incluem:

  1. Mapeamento de domínio de e-mail: Associe um domínio de e-mail a um conector IdP específico. Isso afeta os usuários com endereços de e-mail sob esse domínio. Certifique-se de verificar a propriedade do domínio para evitar configurações maliciosas.
  2. Mapeamento do nome da organização: Ligue o nome de uma organização a um conector IdP, confiando que os usuários se lembrem do nome da sua organização.
  3. Mapeamento de e-mail pessoal do usuário: Isso permite que você determine diretamente se uma conta de usuário está habilitada para SSO, sem depender de domínios de e-mail ou nomes de organizações. Pode conseguir isso convidando os usuários manualmente, personalizando regras de SSO obrigatório ou automaticamente sincronizando suas contas através da sincronização de diretório.

Na concepção da página inicial de login, há geralmente duas formas, que podem ser escolhidas com base no negócio do seu produto:

  1. Produtos B2B: Recomenda-se exibir diretamente os botões de SSO para torná-lo intuitivo para os membros dos seus clientes empresariais que precisam usar o SSO.
  2. Produtos compatíveis com B2C e B2B: Como a maioria dos usuários não utilizará SSO, avalie os domínios de e-mail para determinar se o SSO é necessário. Pode retardar a apresentação da verificação de credenciais, ocultando-a inicialmente e revelando-a uma vez que a identidade do usuário seja confirmada.

Complexidade subjacente: modelo de identidade do usuário

No entanto, integrar o SSO no seu sistema de identidade envolve muito mais complexidade do que simplesmente adicionar um botão de SSO na página de login. Você precisa considerar muitos mais fatores.

As relações entre elementos-chave raramente são um para um; você precisa considerar cenários de um para muitos e até mesmo de muitos para muitos. Para explorar essas variações gradualmente:

  • Um IdP Org com vários domínios de e-mail: Se confiar em domínios de e-mail para determinar a identidade do usuário, deve suportar múltiplas ligações de domínio.
  • Um domínio de e-mail correspondente a múltiplos IdP Orgs: Se um domínio puder pertencer a múltiplos IdP Orgs, os usuários precisam escolher o IdP que desejam para o single sign-on.
  • Um IdP Org ligado a múltiplos SP Orgs: Considere fornecer a capacidade rápida de ligar um IdP a múltiplos SP Orgs.
  • Uma conta de usuário em múltiplos IdP Orgs e SP Orgs: Diferentes SP Orgs podem exigir verificação através de diferentes IdPs.

Ativar ou desativar o SSO dentro de uma empresa pode mudar a forma como os usuários se autenticam, exigindo uma transição segura e fluída.

  • Tomada de decisão para ativação de SSO: Deve-se decidir se o SSO afeta apenas determinados SP Orgs inquilinos ou todos os SP Orgs inquilinos. O primeiro oferece flexibilidade, enquanto o segundo alinha-se com a tendência de controlo de identidade e acesso em toda a empresa.
  • Considerações sobre o período de transição: Como SP, deve acomodar as incertezas dos serviços IdP de terceiros. Os administradores empresariais precisam sempre acessar a sua aplicação via SSO ou credenciais como uma opção, e os membros empresariais podem precisar delas durante a transição.

Estes são apenas alguns pontos para abordar vários cenários; muitas outras capacidades e detalhes podem ser explorados.

Conclusão

Esperamos que esta análise do SSO iniciado por SP ofereça novas perspetivas sobre soluções de identidade empresarial. A boa notícia é que a Logto está a desenvolver diligentemente soluções que oferecem simples configuração e experiências de autenticação SSO prontas para uso. Fique atento para o nosso próximo lançamento, onde exploraremos mais profundamente soluções específicas de SSO iniciado por SP.

Desenvolva o seu sistema de autenticação com Logto