Single sign-on atau SSO adalah skema autentikasi yang memungkinkan pengguna untuk masuk satu kali saja menggunakan satu set kredensial dan mengakses beberapa aplikasi dalam satu sesi yang sama.
Single sign-on menyederhanakan autentikasi pengguna, meningkatkan pengalaman pengguna, dan, jika diterapkan dengan benar, dapat meningkatkan keamanan. Sistem ini sering digunakan untuk mengelola otentikasi dan mengamankan akses ke intranet atau intranet perusahaan, portal siswa, layanan cloud publik, dan lingkungan lain di mana pengguna perlu berpindah di antara aplikasi yang berbeda untuk menyelesaikan pekerjaan mereka. Sistem ini juga semakin banyak digunakan di situs web dan aplikasi yang menghadap pelanggan–seperti situs perbankan dan e-commerce–untuk menggabungkan aplikasi dari penyedia pihak ketiga menjadi pengalaman pengguna yang mulus dan tanpa gangguan.
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Single sign-on atau masuk tunggal didasarkan pada hubungan kepercayaan digital antara penyedia layanan—aplikasi, situs web, layanan—dan penyedia identitas (IdP), atau solusi SSO. Solusi SSO sering kali merupakan bagian dari solusi manajemen identitas dan akses (IAM) yang lebih besar.
Secara umum, autentikasi SSO berfungsi sebagai berikut:
Seorang pengguna masuk ke salah satu penyedia layanan, atau ke portal pusat (seperti intranet perusahaan atau portal mahasiswa) menggunakan kredensial masuk SSO.
Ketika pengguna berhasil diautentikasi, solusi SSO menghasilkan token autentikasi sesi yang berisi informasi khusus tentang identitas pengguna, seperti nama pengguna, alamat email, dll. Token ini disimpan pada browser web pengguna, atau dalam sistem SSO.
Saat pengguna mencoba mengakses penyedia layanan tepercaya lainnya, aplikasi akan memeriksa sistem SSO untuk menentukan apakah pengguna sudah diautentikasi untuk sesi tersebut. Jika sudah, solusi SSO memvalidasi pengguna dengan menandatangani token autentikasi dengan sertifikat digital, dan pengguna diberikan akses ke aplikasi. Jika belum, pengguna akan diminta untuk memasukkan kembali kredensial login.
Proses SSO yang dijelaskan di atas—satu kali log-in dan serangkaian kredensial pengguna yang menyediakan akses sesi ke beberapa aplikasi terkait—terkadang disebut SSO sederhana atau SSO murni. Jenis SSO lainnya meliputi:
SSO Adaptif memerlukan satu set kredensial login awal, tetapi meminta faktor autentikasi tambahan atau login baru ketika muncul risiko tambahan—seperti ketika pengguna login dari perangkat baru atau mencoba mengakses data atau fungsionalitas yang sangat sensitif.
Manajemen Identitas Gabungan atau Federated Identity Management (FIM), adalah superset dari SSO. SSO didasarkan pada hubungan kepercayaan digital antara berbagai aplikasi dalam satu domain organisasi, sedangkan FIM memperluas hubungan tersebut ke pihak ketiga, vendor, dan penyedia layanan lain yang tepercaya di luar organisasi. Sebagai contoh, FIM dapat memungkinkan karyawan yang sudah masuk untuk mengakses aplikasi web pihak ketiga (misalnya Slack atau WebEx) tanpa login tambahan, atau dengan login sederhana yang hanya memerlukan nama pengguna.
Login sosial memungkinkan pengguna akhir untuk melakukan autentikasi pada aplikasi menggunakan kredensial yang sama dengan yang mereka gunakan untuk melakukan autentikasi pada situs media sosial populer. Bagi penyedia aplikasi pihak ketiga, login sosial dapat mencegah perilaku yang tidak diinginkan (misalnya login palsu, pengabaian keranjang belanja) dan memberikan informasi berharga untuk meningkatkan aplikasi mereka.
SSO dapat diimplementasikan menggunakan salah satu dari beberapa protokol dan layanan autentikasi.
Security Assertion Markup Language, atau SAML, adalah protokol standar terbuka yang paling lama digunakan untuk bertukar data autentikasi dan otorisasi terenkripsi antara penyedia identitas dan beberapa penyedia layanan. Karena memberikan kontrol yang lebih besar atas keamanan daripada protokol lain, SAML biasanya digunakan untuk mengimplementasikan SSO di dalam dan di antara domain aplikasi perusahaan atau pemerintah.
Otorisasi Terbuka, atau OAuth, adalah protokol standar terbuka yang menukar data otorisasi antara aplikasi tanpa mengungkap kata sandi pengguna. OAuth memungkinkan penggunaan login tunggal untuk memudahkan interaksi di berbagai aplikasi yang biasanya memerlukan login terpisah untuk masing-masing aplikasi. Misalnya, OAuth memungkinkan LinkedIn untuk mencari kontak email Anda untuk calon anggota jejaring baru.
Protokol standar terbuka lainnya, OICD, menggunakan REST API dan token autentikasi JSON agar situs web atau aplikasi dapat memberikan akses kepada pengguna dengan mengautentikasi mereka melalui penyedia layanan lain.
Sebagai lapisan di atas OAuth, OICD digunakan terutama untuk mengimplementasikan login sosial ke aplikasi pihak ketiga, keranjang belanja, dan banyak lagi. Dalam implementasi yang lebih ringan, OAuth/OIDC sering kali digunakan oleh SAML untuk mengimplementasikan SSO di seluruh perangkat lunak sebagai layanan (SaaS) dan aplikasi cloud, aplikasi mobile, dan perangkat Internet of Things (IoT).
Protokol akses direktori ringan atau Lightweight directory access protocol (LDAP) mendefinisikan direktori untuk menyimpan dan memperbarui kredensial pengguna, dan proses untuk mengautentikasi pengguna terhadap direktori tersebut. Diperkenalkan pada tahun 1993, LDAP masih menjadi solusi direktori autentikasi pilihan bagi banyak organisasi yang menerapkan SSO, karena LDAP memungkinkan mereka memberikan kontrol menyeluruh atas akses direktori.
Layanan Federasi Direktori Aktif, atau Active Directory Federation Services (ADFS), berjalan pada Microsoft Windows Server untuk memungkinkan manajemen identitas federasi—termasuk masuk tunggal atau single sign-on—dengan aplikasi dan layanan on premises dan off premises. ADFS menggunakan Active Directory Domain Services (ADDS) sebagai penyedia identitas.
SSO menghemat waktu dan masalah pengguna. Misalnya: Alih-alih login ke beberapa aplikasi beberapa kali per hari, dengan SSO, pengguna akhir korporat dapat login ke intranet korporat hanya sekali untuk akses sepanjang hari ke setiap aplikasi yang mereka perlukan.
Tetapi dengan mengurangi secara signifikan jumlah kata sandi yang perlu diingat oleh pengguna, dan jumlah akun pengguna yang perlu dikelola oleh administrator, SSO dapat memberikan sejumlah manfaat lain.
Pengguna yang memiliki banyak kata sandi yang harus dikelola sering kali terjerumus ke dalam kebiasaan buruk dan berisiko menggunakan kata sandi yang pendek dan lemah yang sama—atau sedikit variasinya—untuk setiap aplikasi. Peretas yang berhasil memecahkan salah satu kata sandi ini dapat dengan mudah mendapatkan akses ke beberapa aplikasi. SSO memungkinkan pengguna mengonsolidasikan beberapa kata sandi pendek yang lemah menjadi satu kata sandi tunggal, panjang, dan kuat yang lebih mudah diingat pengguna dan jauh lebih sulit untuk dibobol oleh peretas.
Menurut IBM X-Force Threat Intelligence Index 2025, untuk tahun kedua berturut-turut penggunaan kredensial akun yang valid yang dibajak adalah vektor akses serangan siber awal yang paling umum (tahun ini terikat untuk pertama kalinya dengan eksploitasi aplikasi yang menghadap publik). SSO dapat mengurangi atau menghilangkan kebutuhan akan pengelola kata sandi, kata sandi yang disimpan dalam spreadsheet, kata sandi yang ditulis pada catatan tempel dan alat bantu memori lainnya—yang semuanya menjadi target peretas atau membuat kata sandi lebih mudah dicuri atau ditemukan oleh orang yang salah.
Menurut analis industri Gartner, 20 hingga 50 persen panggilan ke layanan bantuan IT terkait dengan kata sandi yang terlupakan atau pengaturan ulang kata sandi. Sebagian besar solusi SSO memudahkan pengguna untuk mengatur ulang kata sandi sendiri, dengan panduan dari layanan bantuan.
Sebuah studi IBM Institute for Business Value menemukan bahwa 52% eksekutif mengatakan kompleksitas adalah hambatan terbesar untuk operasi keamanan. SSO memberi administrator kontrol yang lebih sederhana dan lebih terpusat atas penyediaan akun dan izin akses. Ketika pengguna meninggalkan organisasi, administrator dapat menghapus izin dan menonaktifkan akun pengguna dalam beberapa langkah.
SSO dapat mempermudah pemenuhan persyaratan peraturan seputar perlindungan informasi identitas pribadi (PII) dan kontrol akses data, serta persyaratan khusus dalam beberapa peraturan, seperti HIPAA, seputar batas waktu sesi.
Risiko utama SSO adalah jika kredensial pengguna disusupi, maka penyerang dapat memperoleh akses ke semua atau sebagian besar aplikasi dan sumber daya dalam jaringan. Mengharuskan pengguna untuk membuat kata sandi yang panjang dan kompleks, dan dengan hati-hati mengenkripsi dan melindungi kata sandi tersebut di mana pun lokasi penyimpanannya, dapat sangat membantu mencegah skenario terburuk ini.
Selain itu, sebagian besar pakar keamanan merekomendasikan autentikasi dua faktor (2FA) atau autentikasi multi-faktor (MFA) sebagai bagian dari penerapan SSO. 2FA atau MFA mengharuskan pengguna untuk memberikan setidaknya satu faktor otentikasi selain kata sandi—misalnya, kode yang dikirim ke ponsel, sidik jari, kartu identitas. Karena kredensial tambahan ini tidak dapat dengan mudah dicuri atau dipalsukan oleh peretas, MFA dapat secara signifikan mengurangi risiko terkait kredensial yang disusupi di SSO.