Single Sign-On (SSO)
Single Sign-On - nå allt med en inloggning
Med Single Sign-On ofta förkortad SSO behöver användaren endast logga in en gång för att få tillgång till och nå alla system de ska in i.
Single Sign-On är en process för användarverifiering som innebär att användaren bara behöver logga in med samma uppgifter en enda gång för att sedan få tillgång till flera olika system. Användaren blir inte längre ombedd att exempelvis ange flera olika lösenord för olika datorer, system och program under och mellan specifika sessioner. SSO kan också möjliggöra att inloggningen ser likadan ut oavsett vilken tjänst som ska nås.
Vad menas med SSO?
Vad är Single Sign-On (SSO)?
Att hålla koll på alla sina lösenord är en utmaning för de flesta. Dessutom använder många samma lösenord överallt för att det ska vara enkelt att komma ihåg det – vilket förstås inte är att rekommendera.
Single Sign-On är en autentiseringsprocess som tillåter en användare att få åtkomst till flera system med en och samma uppsättning inloggningsuppgifter, som exempelvis användarnamn och lösenord. SSO kan också möjliggöra att utseendet vid inloggningen ser likadant ut, oavsett tjänst som ska nås. SSO stödjer automatiserad personalisering där slutanvändare har direkt tillgång till sina personliga mappar och inställningar när de loggar in oavsett plats eller IP-adress.
Hur fungerar det?
För att hjälpa användaren att enkelt logga in en gång för att sedan samtidigt komma in i flera system, program och datorer används ett tredjepartsverktyg som är en överenskommelse mellan tre parter.
- User – en person som vill logga in i flera olika system med ett unikt lösenord.
- Identity Provider – en Identity Provider (IdP) talar om vem det är som vill logga in. IdP talar om vad personen har för roll och vilka system hen ska ha tillgång till. En av fördelarna med en central Identity Provider (IdP) är att användarens inloggningsuppgifter aldrig lämnar IdP, det är endast användarinformationen som kommer till tjänsteleverantören.
- Service Provider – en Service Provider (SP) är aktuell tjänsteleverantör till det systemet som användaren ska logga in till.
Google och Skolfederation
Exempel på tredjepartsverktyg
Inom federerade inloggningar finns ett flertal protokoll för kommunikation mellan IdP:er och SP:er. Mest vanlig är SAML (Security Assertion Markup Language). SAML bygger på förhand uppsatta tillit mellan IdP:er och SP:er. Tilliten bygger på utbyte av certifikat samt de olika ändpunkter där respektive tjänster finns. Certifikaten används för kryptering, signering och validering av autentiseringsbegäran och intyget (SAML-biljetten).
Exempel 1: Google
Googles inloggningsprocess för sina produkter som Gmail, Youtube, Google Analytics är ett konkret exempel på Single Sign-On. I det fallet är en person som är inloggad i en av Googles plattformar automatiskt inloggad i andra Google-plattformar eller andra system som användaren har godkänt att koppla till Googlekontot.
Exempel 2: Skolfederation
Identitet- och tjänsteleverantörer är med i en federation där parterna i förhand har satt tillit till varandra. Vid inloggning till en tjänsteleverantör får användaren upp en lista på tillgängliga identitetsutgivare som kan väljas. Hen väljer den utgivare som man har ett konto hos och får upp den personens inloggningssida. Användaren avkrävs där sina inloggningsuppgifter och utgivaren autentiserar användaren. Efter autentiseringen utfärdas en så kallad biljett där utgivaren intygar för användarens identitet och skickas med till tjänsteleverantören. Där valideras biljetten och användaren släpps in om hen har de rätta förutsättningarna till tjänsten.
Vi agerar federationsnav
Vad kan vi hjälpa till med?
Vi kan agera federationsnav mellan de tjänster och identitetsutgivare som kunden har. Vi kan även kunna addera andra inloggningsmetoder med olika säkerhetsklassningar för att uppfylla tjänsteleverantörerna krav på säker inloggning.
Sammanfattning
Så, vad är SSO? Sammanfattningsvis är Single Sign-On en autentiserings-process som tillåter en användare att få åtkomst till flera system med en och samma uppsättning inloggningsuppgifter. Ett tredjepartsverktyg används för att det ska vara enkelt och smidigt för användaren att bara logga in en gång till flera system, program och datorer.
Vi nämner här två exempel där SSO förekommer, Googles inloggningsprocess och Skolfederation. Vi kan hjälpa er att bland annat agera federationsnav mellan de tjänster och identitets utgivare som kunden har.