Az SSO önmagában biztonságos, de egyetlen meghibásodási pontot jelent. Ha az identitásszolgáltató fiókját feltörik, az összes csatlakoztatott szolgáltatás veszélybe kerülhet. Ezért az SSO-t mindig erős többtényezős hitelesítéssel kell kombinálni, hogy ez a kockázat minimalizálható legyen.

Mi a különbség az SSO és a jelszókezelő között?

A jelszókezelő tárolja és automatikusan kitölti az egyes szolgáltatásokhoz tartozó jelszavakat, de minden alkalmazásnál külön bejelentkezés szükséges. Az SSO ezzel szemben egyetlen hitelesítési eseményt használ, amely egyszerre biztosít hozzáférést az összes csatlakoztatott szolgáltatáshoz – jelszó megadása nélkül.

Hogyan kapcsolódik az SSO a VPN-hez?

Vállalati környezetben a VPN-hozzáférés integrálható az SSO-rendszerbe, így az alkalmazottak a vállalati identitásszolgáltatón keresztül jelentkezhetnek be a VPN-be. Ez megkönnyíti a hozzáférés-kezelést: ha egy alkalmazott elhagyja a céget, a hozzáférése azonnal visszavonható az összes rendszerből, beleértve a VPN-t is.

Minden vállalat használ SSO-t?

Nem minden vállalat alkalmaz SSO-t, de nagyvállalati és közepes méretű szervezetek körében egyre elterjedtebb, különösen ott, ahol a munkavállalók sok különböző eszközt és alkalmazást használnak. A felhőalapú identitásszolgáltatók – mint az Okta, a Microsoft Azure AD vagy a Google Workspace – elterjedésével az SSO bevezetése egyre egyszerűbbé és elérhetőbbé vált.

Single Sign-On (SSO)

Single Sign-On (SSO): Egy bejelentkezés, ami mindent megnyit

Minden egyes alkalmazáshoz, eszközhöz és szolgáltatáshoz külön jelszót megjegyezni fárasztó – és veszélyes. A Single Sign-On, azaz az SSO ezt a problémát oldja meg azáltal, hogy egyszer hitelesíti a felhasználót, aki ezután hozzáférhet mindenhez, aminek használatára jogosult. Olyan ez, mint egy mesterkulcs, amely egy épület minden ajtaját kinyitja – ahelyett, hogy minden egyes szobához külön kulcsot kellene magunkkal hordani.

Mi az SSO egyszerű nyelven?

Az SSO egy hitelesítési keretrendszer, amely központosítja a bejelentkezési folyamatot. Ahelyett, hogy külön felhasználónevet és jelszót kellene fenntartani az e-mailhez, a projektkezelő eszközhöz, a felhőalapú tárhelyhez, a HR-platformhoz és a VPN-klienshez, egyszer jelentkezik be – általában egy megbízható identitásszolgáltatón keresztül –, és ez az egyetlen munkamenet hozzáférést biztosít az összes csatlakoztatott szolgáltatáshoz.

Szinte biztosan használta már az SSO-t anélkül, hogy tudott volna róla. Amikor egy weboldal „Bejelentkezés Google-fiókkal" vagy „Folytatás Apple-lel" lehetőséget kínál, az már SSO a gyakorlatban.

Hogyan működik az SSO valójában?

Az SSO két kulcsszereplő közötti bizalmi kapcsolaton alapul:

Az identitásszolgáltató (IdP): A központi hatóság, amely ellenőrzi, ki Ön. Ilyen például az Okta, a Microsoft Azure Active Directory és a Google Workspace.
A szolgáltató (SP): Az egyedi alkalmazás vagy eszköz, amelyhez hozzá kíván férni (a VPN-irányítópult, egy SaaS-alkalmazás, a vállalati intranet stb.).

A bejelentkezés során lezajló folyamat leegyszerűsítve a következő:

Megpróbál hozzáférni egy szolgáltatáshoz – például a vállalata VPN-portáljához.
A szolgáltató átirányítja Önt az identitásszolgáltató bejelentkezési oldalára.
Megadja hitelesítő adatait (és jellemzően elvégez egy második hitelesítési lépést is, például egy egyszeri kód megadásával).
Az IdP ellenőrzi személyazonosságát, majd kiad egy tokent – egy digitálisan aláírt adatcsomagot, amely megerősíti, ki Ön és mihez férhet hozzá.
Ez a token visszakerül a szolgáltatóhoz, amely hozzáférést biztosít Önnek anélkül, hogy valaha is látná a tényleges jelszavát.

Az SSO-t működtető leggyakoribb protokollok a SAML (Security Assertion Markup Language), az OAuth 2.0 és az OpenID Connect (OIDC). Mindegyik kissé eltérően kezeli az identitásszolgáltatók és a szolgáltatók közötti kommunikációt, de a végcél ugyanaz: biztonságos, zökkenőmentes hozzáférés.

Miért fontos az SSO a VPN-felhasználók számára?

Személyes VPN-t használók számára az SSO elsőre vállalati ügynek tűnhet. Azonban több fontos szempontból is közvetlenül befolyásolja a biztonságát.

Vállalati VPN-telepítések esetén az SSO egyre inkább alapkövetelmény. Az alkalmazottak a vállalat identitásszolgáltatóján keresztül hitelesítik magukat, mielőtt VPN-hozzáférést kapnának. Ez azt jelenti, hogy az informatikai csapatok egyetlen művelettel azonnal visszavonhatják egy távozó alkalmazott hozzáférését az összes rendszerből – beleértve a VPN-t is. Ez jelentős biztonsági előnyt jelent.

A jelszófáradtság csökkentése szempontjából az SSO valódi biztonsági javulást hoz. Ha az embereknek nem kell tucatnyi jelszót kezelniük, kisebb valószínűséggel használnak gyenge jelszavakat újra. A jelszavak újrafelhasználása az egyik fő oka annak, hogy a hitelesítő adatokkal való visszaélési támadások (credential stuffing) sikerrel járnak – a támadók egy adatszivárgásból nyert hitelesítő adatokat százával tesztelik más szolgáltatásokon.

A zero-trust biztonsági modellek esetén az SSO alapvető komponens. A zero-trust architektúra megköveteli minden felhasználó és eszköz ellenőrzését, mielőtt hozzáférést biztosít bármely erőforráshoz. Az SSO a többtényezős hitelesítéssel kombinálva ezt a folyamatos ellenőrzést praktikussá teszi, nem pedig állandó bosszúsággá.

Gyakorlati példák és felhasználási esetek

Távoli munkavállalók az SSO segítségével egyetlen reggeli bejelentkezéssel hozzáférnek a vállalati VPN-hez, az e-mailhez, a Slackhez és a felhőalapú tárhelyhez – anélkül, hogy több eszközön több jelszót kellene kezelniük.
Nagyvállalatok integrálják az SSO-t a VPN-átjárójukkal, így amikor egy alkalmazott fiókját letiltják az Active Directoryban, a VPN-hozzáférése automatikusan megszűnik.
SaaS-platformok SSO-t (Google- vagy Microsoft-fiókon keresztül) alkalmaznak a regisztráció megkönnyítése érdekében, miközben ellenőrizhető személyazonosságot tartanak fenn.
Oktatási intézmények egyetlen intézményi bejelentkezéssel biztosítanak hozzáférést hallgatóknak és oktatóknak könyvtári adatbázisokhoz, tanulási platformokhoz és az intézményi VPN-hez.

Az egyensúly, amelyről érdemes tudni

Az SSO egyetlen meghibásodási pontot vezet be. Ha az identitásszolgáltató fiókját feltörik – vagy az IdP szolgáltatás leáll –, elveszíti a hozzáférést mindenhez, ami ahhoz kapcsolódik. Ezért elengedhetetlen az SSO erős többtényezős hitelesítéssel való párosítása, valamint egy megbízható, jól védett identitásszolgáltató használata.

Helyesen alkalmazva az SSO az egyik leghasznosabb eszköz a biztonság és a használhatóság egyensúlyának megteremtéséhez a modern digitális életben.

Single Sign-On (SSO)Haladó