Hoe werkt Single Sign-On?

Je kent het wel: voor elke applicatie een nieuwe gebruikersnaam en een uniek wachtwoord. Dit leidt tot wachtwoordmoeheid en verhoogde beveiligingsrisico’s. Single Sign-On (SSO) is de oplossing voor dit probleem: een slimme methode die het inlogproces drastisch vereenvoudigt door na één keer inloggen toegang te geven tot meerdere applicaties. Ook voor IT-beheerders en security officers heeft dit voordelen op gebied van beheer en aantoonbaarheid (compliance). Dit artikel duikt dieper in de werking en de voordelen van SSO, en belicht hoe een IAM-platform zoals Topicus KeyHub deze technologie in de praktijk brengt. 

Hoe werkt Single Sign-On? 

Het principe achter SSO is relatief eenvoudig. Een gebruiker logt in op een centrale applicatie, ook wel een Identity Provider (IDP) genoemd. Deze service verifieert de identiteit van de gebruiker. De gebruiker kan vervolgens inloggen op verschillende doelapplicaties (Service Providers, of SP's) op basis van de eerdere login in de centrale applicatie. De doelapplicaties sturen de gebruiker naar de centrale applicatie, die na verificatie de gebruiker met de benodigde informatie terugstuurt. Deze verificatie gebeurt snel en, als de gebruiker al is ingelogd, vaak ongemerkt in de browser. Dit proces is veilig en betrouwbaar, omdat al het verkeer over beveiligde verbindingen loopt en de identificatie digitaal is ondertekend. 

Er zijn verschillende protocollen die dit proces ondersteunen. De twee meest gebruikte zijn SAML 2 (Security Assertion Markup Language) en OpenID Connect (OIDC, een variant van OAuth 2.0). Elk heeft zijn eigen specificaties, maar de kernfunctionaliteit blijft hetzelfde: eenmalige authenticatie voor meerdere services. 

Requirements voor de implementatie van SSO 

Een succesvolle implementatie van SSO vereist een aantal belangrijke elementen: 

1. Identity Provider (IdP): Er is een centrale IdP nodig die verantwoordelijk is voor de authenticatie van gebruikers. Dit kan een bestaande directory service zijn, zoals Active Directory, of een cloud-gebaseerde oplossing. 
2. Compatibiliteit van applicaties: Om een applicatie (Service Provider) te kunnen aansluiten is het vereist dat deze het SSO-protocol ondersteund. 
3. Gecentraliseerd beheer: Een centraal platform is nodig voor het beheer van gebruikers, groepen en de toegang tot applicaties. Dit is waar Identity and Access Management (IAM) om de hoek komt kijken. 

Voordelen van Single Sign-On (de praktijk) 

SSO biedt voordelen voor zowel gebruikers als beheerders. Gebruikers hoeven slechts één account met bijbehorende logingegevens te onthouden en hoeven typisch maar één keer per dag in te loggen, wat het gebruiksgemak aanzienlijk verhoogt. Voor beheerders betekent dit minder vergeten wachtwoorden en minder handmatig accountbeheer in verschillende applicaties. 

Daarnaast verhoogt SSO de beveiliging en efficiëntie. Wanneer een medewerker uit dienst gaat of de rechten veranderen, hoeft het account alleen in de centrale applicatie (hoofdapplicatie) te worden aangepast of uitgeschakeld. Hierdoor wordt de toegang tot alle doelapplicaties automatisch ingetrokken, waardoor de kans op onbedoeld actieve accounts nihil is. Bovendien geeft de centrale applicatie security officers een overzicht van welke gebruikers op welke doelapplicaties inloggen, wat het monitoren van toegang centraliseert. 

Vormen van SSO en hun toepassing 

Er zijn verschillende protocollen om Single Sign-On (SSO) te regelen. De drie meest voorkomende methodes hebben elk een eigen doel. 

• OpenID Connect (OIDC): De moderne en lichtere standaard voor SSO. Het is een uitbreiding op OAuth 2.0 die authenticatie toevoegt, waardoor het zowel de identiteit kan verifiëren als de toegang kan regelen. Perfect voor consumentenapps en nieuwe web- en mobiele applicaties. 

• SAML (Security Assertion Markup Language): Een ouder, maar robuust protocol voor browser-gebaseerde SSO in zakelijke omgevingen. Ideaal voor het koppelen van on-premise systemen en cloudapplicaties waar sterke beveiliging en digitale ondertekening vereist zijn. 

• OAuth 2.0 (Open Authorization): Een autorisatieprotocol dat wordt gebruikt om applicaties van derden toegang te verlenen tot resources, zonder de inloggegevens van de gebruiker te delen. OAuth2 is strikt genomen geen SSO, maar de flow lijkt erop en kan voor de gebruiker nauwelijks te onderscheiden zijn van SSO. Veel gebruikt door grote platforms en voor mobiele en desktopapps. 

Hoe werkt Single Sign-On bij Topicus KeyHub? 

Topicus KeyHub is een Nederlands Identity & Access Management (IAM) platform. Simpel gezegd helpt het organisaties om grip te krijgen op digitale toegang en het aantoonbaar maken van informatiebeveiliging, wat helpt bij audits en compliance. 

Het meest gebruikelijke manier waarop Single Sign-On verloopt is via de OIDC-flow, waarbij Topicus KeyHub fungeert als de centrale Identity Provider (IdP). 

KeyHub als de centrale identiteitsprovider 

Topicus KeyHub fungeert als de centrale Identity Provider (IdP) in het SSO-landschap. Dit betekent dat het de primaire bron van waarheid is voor de identiteit van de gebruiker. In plaats van in te loggen op elke individuele applicatie, loggen medewerkers één keer in op KeyHub. Dit gebeurt altijd met Two-Factor Authentication (2FA), wat een extra beveiligingslaag toevoegt aan elke gekoppelde applicatie. 

De voordelen van SSO  

Door SSO te integreren met Topicus KeyHub profiteer je als IT-beheerder en security officer van de volgende voordelen: 

• Verhoogde veiligheid: Verhoogde veiligheid: Omdat de inlog altijd via KeyHub verloopt, is elke gekoppelde applicatie beschermd door de 2FA van KeyHub. Bovendien hoeven gebruikers minder wachtwoorden te onthouden, wat de kans op zwakke wachtwoorden of wachtwoordhergebruik verkleint. Daarnaast heb je centrale controle: niet alleen via de auditlog, maar ook doordat al het toegangsbeheer in KeyHub plaatsvindt. Je kunt realtime inzien wie toegang heeft tot welke applicaties en via auditing aantonen dat die toegang periodiek wordt beoordeeld. Zo houdt KeyHub een levende autorisatiematrix bij. 

• Verbeterd gebruiksgemak: Medewerkers hoeven nog maar één keer in te loggen per werkdag en krijgen direct toegang tot alle benodigde applicaties. Dit bespaart tijd en vermindert frictie in de dagelijkse werkprocessen. 

• Geautomatiseerd beheer: De toewijzing van toegangsrechten is niet langer een handmatig proces. Wanneer een medewerker wordt toegevoegd aan een groep in KeyHub, krijgt hij of zij direct de juiste toegangsrechten tot de bijbehorende applicaties. Hetzelfde geldt bij het verwijderen van een medewerker uit een groep: de toegangsrechten worden dan direct ingetrokken. 
• Uitgebreide controle en audit: KeyHub houdt een gedetailleerde auditlog bij van welke medewerker wanneer toegang heeft gevraagd tot welke applicatie. Dit zorgt voor transparantie en maakt het eenvoudiger om te voldoen aan compliance-eisen zoals ISO 27001 en BIO 2.0.
   

Groepslidmaatschappen bepalen de toegang 

De kracht van KeyHub's SSO-functionaliteit ligt in het concept van groepstoegang. Na een succesvolle login op KeyHub, worden de autorisaties van de medewerker niet individueel beheerd, maar bepaald door de groepen waarvan hij of zij lid is. Dit betekent dat als een medewerker lid is van de groep "Financiële Administratie", hij of zij automatisch toegang krijgt tot alle applicaties die gekoppeld zijn aan die groep. 

Wanneer een medewerker een applicatie bezoekt die is gekoppeld aan KeyHub via SSO, vindt het volgende proces plaats: 

1. De applicatie (de Service Provider) herkent dat de gebruiker niet is ingelogd. 
2. De applicatie leidt de gebruiker door naar Topicus KeyHub voor authenticatie. 
3. De gebruiker is al ingelogd op KeyHub (met 2FA) en deelt een beveiligd token met de applicatie. 
4. KeyHub bevestigt de identiteit van de gebruiker en verstrekt de autorisaties op basis van de groepslidmaatschappen. 
5. De applicatie verleent toegang aan de gebruiker, zonder dat er een nieuw wachtwoord nodig is. 
6. Dit hele proces verloopt naadloos en razendsnel, dankzij het gebruik van de bekende protocollen zoals SAML en OIDC. 

Meer weten? 

Wil je meer weten over Single Sign-On? Neem dan contact met ons op.