Onko SSO turvallista käyttää VPN:n kanssa?

Kyllä, SSO on turvallista käyttää VPN:n kanssa – erityisesti kun se yhdistetään monivaiheiseen todentamiseen. SSO:n avulla IT-tiimit voivat hallita pääsyoikeuksia keskitetysti ja peruuttaa ne välittömästi tarvittaessa, mikä parantaa yleistä tietoturvaa verrattuna erillisten VPN-salasanojen hallinnointiin.

Mitä tapahtuu, jos identiteetintarjoaja kaatuu?

Jos identiteetintarjoaja (IdP) kaatuu tai on tilapäisesti poissa käytöstä, et voi kirjautua sisään mihinkään SSO:hon yhdistettyyn palveluun – mukaan lukien VPN. Tämä on SSO:n keskeinen heikkous, minkä vuoksi on tärkeää valita luotettava ja korkean saatavuuden palvelutasosopimuksen tarjoava identiteetintarjoaja.

Eroaako SSO monivaiheisesta todentamisesta (MFA)?

Kyllä, SSO ja MFA ovat eri asioita, mutta ne täydentävät toisiaan. SSO antaa sinulle mahdollisuuden kirjautua kerran ja päästä useisiin palveluihin. MFA lisää ylimääräisen todennuskerroksen – kuten tekstiviestikoodin tai todennussovelluksen – varmistaakseen, että todella olet se, kuka väität olevasi. Parhaassa tapauksessa SSO ja MFA toimivat yhdessä.

Voivatko pienet yritykset käyttää SSO:ta, vai onko se tarkoitettu vain suurille yrityksille?

SSO ei ole pelkästään suuryritysten työkalu. Monet pienet ja keskisuuret yritykset hyötyvät siitä merkittävästi, sillä se yksinkertaistaa pääsynhallintaa ja parantaa tietoturvaa. Palvelut kuten Google Workspace, Microsoft 365 ja Okta tarjoavat SSO-ominaisuuksia erikokoisille organisaatioille kohtuullisin kustannuksin.

Single Sign-On (SSO)

Single Sign-On (SSO): Yksi kirjautuminen kaiken hallitsemiseksi

Eri salasanan muistaminen jokaista sovellusta, työkalua ja palvelua varten on uuvuttavaa – ja vaarallista. Single Sign-On, eli SSO, ratkaisee tämän ongelman antamalla sinulle mahdollisuuden todentaa henkilöllisyytesi kerran ja päästä käyttämään kaikkea, mihin sinulla on valtuudet. Ajattele sitä kuin yleisavainta, joka avaa jokaisen oven rakennuksessa sen sijaan, että kantaisit erillistä avainta jokaiseen huoneeseen.

Mitä SSO tarkoittaa käytännössä?

SSO on todennuskehys, joka keskittää kirjautumisprosessin. Sen sijaan, että ylläpitäisit erillisiä käyttäjätunnuksia ja salasanoja sähköpostillesi, projektinhallintasovelluksellesi, pilvitallennustilallesi, HR-alustallesi ja VPN-asiakkaallesi, kirjaudut sisään kerran – yleensä luotetun identiteetintarjoajan kautta – ja tämä yksittäinen istunto myöntää sinulle pääsyn kaikkiin yhdistettyihin palveluihin.

Olet lähes varmasti käyttänyt SSO:ta huomaamattasi. Kun verkkosivusto tarjoaa vaihtoehdot "Kirjaudu Googlella" tai "Jatka Applella", SSO on toiminnassa.

Miten SSO toimii käytännössä?

SSO perustuu luottamussuhteeseen kahden keskeisen osapuolen välillä:

Identiteetintarjoaja (IdP): Keskusviranomainen, joka vahvistaa henkilöllisyytesi. Esimerkkejä ovat Okta, Microsoft Azure Active Directory ja Google Workspace.
Palveluntarjoaja (SP): Yksittäinen sovellus tai työkalu, johon yrität päästä (VPN-hallintapaneelisi, SaaS-sovellus, yrityksen intranet jne.).

Tässä on yksinkertaistettu kuvaus siitä, mitä tapahtuu, kun kirjaudut sisään:

Yrität käyttää palvelua – esimerkiksi yrityksesi VPN-portaalia.
Palveluntarjoaja ohjaa sinut identiteetintarjoajan kirjautumissivulle.
Syötät tunnistetietosi (ja suoritat tavallisesti toisen todennusvaiheen, kuten kertakäyttöisen koodin).
IdP vahvistaa henkilöllisyytesi ja myöntää tokenin – digitaalisesti allekirjoitetun tietopaketin, joka vahvistaa kuka olet ja mihin sinulla on pääsy.
Token välitetään takaisin palveluntarjoajalle, joka myöntää sinulle pääsyn näkemättä koskaan varsinaista salasanaasi.

Yleisimmät SSO:ta ohjaavat protokollat ovat SAML (Security Assertion Markup Language), OAuth 2.0 ja OpenID Connect (OIDC). Kukin käsittelee identiteetintarjoajien ja palveluntarjoajien välistä viestintää hieman eri tavalla, mutta lopullinen tavoite on sama: turvallinen ja saumaton pääsy.

Miksi SSO on tärkeää VPN-käyttäjille?

Henkilökohtaista VPN:ää käyttäville SSO saattaa tuntua yrityselämän asialta. Se vaikuttaa kuitenkin suoraan tietoturvaasi usealla tärkeällä tavalla.

Yritys-VPN-käyttöönottojen kannalta SSO on yhä vakiintuneempi käytäntö. Työntekijät todentavat henkilöllisyytensä yrityksen identiteetintarjoajan kautta ennen VPN-yhteyden saamista. Tämä tarkoittaa, että IT-tiimit voivat välittömästi peruuttaa lähteneen työntekijän pääsyn kaikista järjestelmistä – mukaan lukien VPN – yhdellä toimenpiteellä. Se on merkittävä tietoturvaetu.

Salasanaväsymyksen vähentämisen kannalta SSO on aito tietoturvaparannus. Kun ihmisten ei tarvitse hallita kymmeniä salasanoja, he käyttävät harvemmin heikkoja salasanoja uudelleen. Salasanojen uudelleenkäyttö on yksi tärkeimmistä syistä siihen, miksi tunnistetietojen täyttöhyökkäykset onnistuvat – hyökkääjät ottavat yhdestä tietomurrosta vuotaneet tunnistetiedot ja testaavat niitä sadoissa muissa palveluissa.

Zero trust -tietoturvamallien kannalta SSO on keskeinen rakennusosa. Zero trust -arkkitehtuuri edellyttää jokaisen käyttäjän ja laitteen todentamista ennen pääsyn myöntämistä mihin tahansa resurssiin. SSO yhdistettynä monivaiheiseen todentamiseen tekee tästä jatkuvasta todentamisesta käytännöllistä eikä jatkuvaa turhautumista.

Käytännön esimerkkejä ja käyttötapauksia

Etätyöntekijät käyttävät SSO:ta päästäkseen yrityksen VPN:ään, sähköpostiin, Slackiin ja pilvitallennustilaan yhdellä aamun kirjautumisella – ilman useiden salasanojen hallinnointia eri laitteilla.
Yritykset integroivat SSO:n VPN-yhdyskäytäväänsä niin, että kun työntekijän tili poistetaan käytöstä Active Directoryssa, VPN-yhteys katkeaa automaattisesti.
SaaS-alustat käyttävät SSO:ta (Googlen tai Microsoftin tilien kautta) vähentääkseen kitkaa rekisteröitymisessä samalla kun ylläpidetään todennettavissa olevaa henkilöllisyyttä.
Oppilaitokset antavat opiskelijoille ja henkilökunnalle pääsyn kirjastotietokantoihin, oppimisalustoihin ja kampuksen VPN-palveluihin yhdellä institutionaalisella kirjautumisella.

Huomionarvoinen kompromissi

SSO luo yhden vikapisteen. Jos identiteetintarjoajatilisi vaarantuu – tai IdP-palvelu kaatuu – menetät pääsyn kaikkeen siihen yhdistettyyn. Tämän vuoksi SSO:n yhdistäminen vahvaan monivaiheiseen todentamiseen ja luotettavan, hyvin suojatun identiteetintarjoajan käyttäminen on välttämätöntä.

Oikein käytettynä SSO on yksi käytännöllisimmistä työkaluista tietoturvan ja käytettävyyden tasapainottamiseksi modernissa digitaalisessa elämässä.

Single Sign-On (SSO)Keskitaso