Atualizado em: 01 de março de 2024
Colaboradores: Mark Scapicchio, Amber Forrest
Single Sign On, ou SSO, é um esquema de autenticação que permite que os usuários façam login uma vez usando um único conjunto de credenciais e acessem várias aplicações durante a mesma sessão.
O Single Sign On simplifica a autenticação do usuário, melhora a experiência do usuário e, quando implementado corretamente, melhora a segurança. Ele é usado frequentemente para gerenciar autenticação e acesso seguro a intranets ou extranets de empresas, portais de estudantes, serviços de nuvem pública e outros ambientes onde os usuários precisam alternar entre diferentes aplicações para realizar seu trabalho. Ele também é cada vez mais usado em sites e aplicativos voltados para o cliente–como sites de bancos e de comércio eletrônico–para combinar aplicações de fornecedores terceirizados em experiências de usuário contínuas e ininterruptas.
O X-Force Threat Intelligence Index oferece novos insights sobre as principais ameaças para ajudar você a se preparar e responder mais rapidamente a ataques cibernéticos, extorsão e muito mais.
Cadastre-se para obter o relatório do custo das violações de dados
O Single Sign On baseia-se em uma relação de confiança digital entre provedores de serviços—aplicações, sites, serviços—e um provedor de identidade (IdP) ou solução de SSO. A solução de SSO frequentemente faz parte de uma solução maior de gerenciamento de identidade e acesso (IAM) .
Em geral, a autenticação SSO funciona da seguinte forma:
Um usuário faz login em um dos provedores de serviços ou em um portal central (como a intranet de uma empresa ou o portal de um estudante universitário) usando as credenciais de login do SSO.
Quando o usuário é autenticado com sucesso, a solução SSO gera um token de autenticação de sessão contendo informações específicas sobre a identidade do usuário: nome de usuário, endereço de e-mail etc. Esse token é armazenado com o navegador do usuário ou no sistema SSO.
Quando o usuário tenta acessar outro provedor de serviços confiável, a aplicação verifica com o sistema SSO para determinar se o usuário já está autenticado para a sessão. Em caso afirmativo, a solução de SSO valida o usuário assinando o token de autenticação com um certificado digital, e o usuário recebe acesso à aplicação. Caso contrário, será solicitado que o usuário insira novamente as credenciais de login.
Inscreva-se para receber atualizações sobre o tema segurança
O processo de SSO descrito acima—um único logon e um conjunto de credenciais de usuário que fornece acesso de sessão a várias aplicações relacionadas—às vezes é chamado de SSO simples ou SSO puro. Outros tipos de SSO incluem:
O SSO adaptável exige um conjunto inicial de credenciais de login, mas solicita fatores de autenticação adicionais ou um novo login quando surgem riscos adicionais, como quando um usuário faz login em um novo dispositivo ou tenta acessar dados ou funcionalidades particularmente confidenciais.
O gerenciamento de identidade federada, ou FIM, é um superconjunto do SSO. Embora o SSO seja baseado em uma relação de confiança digital entre aplicações dentro do domínio de uma única organização, o FIM estende esse relacionamento a terceiros, fornecedores e outros provedores de serviços confiáveis fora da organização. Por exemplo, o FIM pode permitir que um funcionário conectado acesse aplicativos da web de terceiros (por exemplo, Slack ou WebEx) sem um login adicional ou com um login simples somente com nome de usuário.
O login social permite que os usuários finais se autentiquem com aplicações usando as mesmas credenciais que usam para se autenticar em sites populares das mídias sociais. Para provedores de aplicações terceirizados, o login social pode desencorajar comportamentos indesejáveis (por exemplo, logins falsos, abandono do carrinho de compras) e fornecer informações valiosas para melhorar seus aplicativos.
O SSO pode ser implementado usando qualquer um dos vários protocolos e serviços de autenticação.
A Security Assertion Markup Language, ou SAML, é o protocolo padrão aberto mais antigo para troca de dados criptografados de autenticação e autorização entre um provedor de identidade e vários provedores de serviços. Como fornece maior controle sobre a segurança do que outros protocolos, o SAML normalmente é usado para implementar SSO dentro e entre domínios de aplicativos corporativos ou governamentais.
O Open Authorization, ou OAuth, é um protocolo de padrão aberto que troca dados de autorização entre aplicações sem expor a senha do usuário. O OAuth permite o uso de um único login para simplificar as interações entre aplicações que normalmente exigiriam logins separados para cada uma. Por exemplo, o OAuth permite que o LinkedIn pesquise em seus contatos de e-mail possíveis novos membros da rede.
Outro protocolo padrão aberto, o OICD usa APIs REST e tokens de autenticação JSON para permitir que um site ou aplicação conceda acesso aos usuários autenticando-os por meio de outro provedor de serviços.
Existindo em camadas sobre o OAuth, o OICD é usado principalmente para implementar logins sociais em aplicações de terceiros, carrinhos de compras e muito mais. Uma implementação mais leve, o OAuth/OIDC costuma ser o SAML para implementar o SSO em software como serviço (SaaS) e aplicações em nuvem, aplicativos móveis e dispositivos de Internet das coisas (IoT).
O Lightweight Directory Access Protocol (LDAP) define um diretório para armazenar e atualizar as credenciais do usuário e um processo para autenticar usuários no diretório. Lançado em 1993, o LDAP ainda é a solução de diretório de autenticação preferida para muitas organizações que implementam SSO, porque o LDAP permite que elas forneçam controle granular sobre o acesso ao diretório.
O Active Directory Federation Services, ou ADFS, é executado no Microsoft Windows Server para permitir o gerenciamento de identidade federada, incluindo Single Sign On, com aplicaçõles e serviços locais e externos. O ADFS usa o Active Directory Domain Services (ADDS) como um provedor de identidade.
O SSO economiza tempo e problemas para os usuários. Por exemplo: em vez de fazer login em várias aplicações várias vezes ao dia, com o SSO, os usuários finais corporativos podem fazer login na intranet corporativa apenas uma vez para ter acesso diário a todas as aplicações de que precisam.
Mas, ao reduzir significativamente o número de senhas que os usuários precisam lembrar e o número de contas de usuário que os administradores precisam gerenciar, o SSO pode fornecer uma série de outros benefícios.
Usuários com muitas senhas para gerenciar muitas vezes caem no mau e arriscado hábito de usar as mesmas senhas curtas e fracas, ou pequenas variações delas, para cada aplicação. Um hacker que quebra uma dessas senhas pode facilmente obter acesso a várias aplicações. O SSO permite que os usuários consolidem várias senhas curtas e fracas em uma única senha longa e forte, mais fácil de lembrar e muito mais difícil de ser quebrada por hackers.
De acordo com o IBM X-Force Threat Intelligence Index 2024, 2023 observou um aumento de 71% em relação ao ano anterior em ataques cibernéticos que usaram credenciais roubadas ou comprometidas. O SSO pode reduzir ou eliminar a necessidade de gerenciadores de senhas, senhas armazenadas em planilhas, senhas escritas em notas adesivas e outros auxílios de memória, que fornecem alvos para hackers ou facilitam o roubo ou obtenção de senhas para as pessoas erradas.
De acordo com a analista setorial, a Gartner, 20% a 50% das chamadas para o help desk de TI estão relacionadas a senhas esquecidas ou redefinições de senha. A maioria das soluções de SSO facilita a redefinição de senhas pelos próprios usuários, com assistência do help desk.
O SSO oferece aos administradores um controle mais simples e centralizado sobre o provisionamento de contas e as permissões de acesso. Quando um usuário deixa a organização, os administradores podem remover as permissões e desativar a conta do usuário em menos etapas.
O SSO pode facilitar o cumprimento dos requisitos regulamentares em relação à proteção de informações pessoais de identidade (PII) e controle de acesso a dados, bem como requisitos específicos em algumas regulamentações, como a HIPAA, ao longo dos tempos limite da sessão.
O principal risco do SSO é que, se as credenciais de um usuário forem comprometidas, elas poderão conceder a um invasor acesso a todos ou à maioria das aplicações e recursos da rede. Mas exigir que os usuários criem senhas longas e complexas, e criptografem e protejam cuidadosamente essas senhas onde quer que estejam armazenadas, ajuda muito a evitar esse pior cenário possível.
Além disso, a maioria dos especialistas em segurança recomenda a autenticação de dois fatores (2FA) ou a autenticação de vários fatores (MFA) como parte de qualquer implementação do SSO. A 2FA ou a MFA exigem que os usuários forneçam pelo menos um fator de autenticação além de uma senha—por exemplo, um código enviado para um telefone celular, uma impressão digital, um cartão de identificação. Como essas credenciais adicionais são aquelas que os hackers não podem roubar ou falsificar facilmente, a MFA pode reduzir drasticamente os riscos relacionados a credenciais comprometidas no SSO.
Ofereça contexto, inteligência e segurança profundos às decisões sobre quais usuários devem ter acesso aos dados e aplicativos da sua organização, no local ou na nuvem.
Centralize o controle de acesso para aplicativos locais e na nuvem.
Vá além da autenticação básica com opções sem senha ou autenticação multifator.
O relatório do custo das violações de dados ajuda na preparação para violações, ao entender suas causas e os fatores que aumentam ou reduzem seus custos.
O IAM é a disciplina da cibersegurança que trata de como os usuários acessam os recursos digitais e o que eles podem fazer com esses recursos.
A autenticação multifatorial exige que os usuários forneçam pelo menos duas evidências, além do nome de usuário, para provar sua identidade.