IT InterGroup - Single Sign-On (SSO)

SINGLE SIGN-ON (SSO)

Single Sign-On (SSO) er en metode, som tillader brugerne at tilgå flere systemer uden at skulle angive brugernavn og password mere end én gang. Dette forveksles ofte med password synkronisering, hvor brugeren logger ind på de forskellige systemer flere gange, men benytter det samme brugernavn og password hver gang.

Der skelnes primært mellem to former for SSO: Web-baseret Single Sign-on (WSSO) og Enterprise Single Sign-On (ESSO):

WSSO benyttes ofte i webportaler, hvor en bruger benytter flere forskellige applikationer via sin web-browser. Der benyttes oftest en Access Management løsning, som beskytter de enkelte elementer og applikationer i webportalen.
ESSO giver mulighed for at brugere kan tilgå alle typer applikationer inden for en virksomhed og eksterne web-applikationer med et enkelt login. Brugeren logger ind på SSO løsningen, som kender brugernavne og passwords til applikationerne. Når brugeren tilgår en applikation, sørger SSO løsningen for at brugeren bliver logget ind.

SSO er et centralt emne i relation til adgangsstyringen. Ud fra et sikkerhedsmæssigt synspunkt er der gode argumenter både for og imod at lade adgangen til alle systemer være afhængig af ét enkelt logon.

IT InterGroups anbefaling er helt generelt at en SSO løsning skal suppleres med en to-faktor login, f.eks. chipkort eller token. I sidste ende må det dog være en beslutning/afvejning baseret på en risikovurdering.

ESSO kan opdeles i to typer:

Brugerbaseret SSO, via automatiseret bruger autentifikation
Serverbaseret SSO, via central autentifikation

Løsninger til brugerbaseret SSO.

Der er en lang række løsninger, som konceptuelt ligner hinanden meget. Naturligvis er der forskelle på løsningerne, men grundlæggende arbejder de alle med front-end interaktion. Et par af løsningerne beskrives kort her. For teknisk information henvises til producenternes hjemmesider.

ActivIdentity er blevet til ved Activcards opkøb af Protocom. ActivIdentity er med SecureLogin blevet markedsleder og løsningen udmærker sig bl.a. ved at den baserer sig på Active Directory og Windows login og med fuld integration til smartcard løsninger. Læs mere om SecureLogin på: http://www.actividentity.com/en/solutions/3_3_sso.php

CA har demonstreret en løsning, der har vundet stor anerkendelse, og er i dag en af de førende leverandører på markedet. Der er support for en række standard platforme, ligesom smartcards og biometri integreres via standard interface eller API'er.
Læs mere på: http://www3.ca.com/solutions/Product.aspx?ID=166

IBM havde for år tilbage sin egen løsning: IBM GSO (Global Sign-On). Løsningen er blevet afløst af et noget mere opdateret produkt, som er en OEM-udgave af Passlogix v-GO Single Sign-On.
Læs mere på:
http://www-306.ibm.com/software/tivoli/products/access-mgr-esso/

Løsninger til serverbaseret SSO

SSO funktionalitet kan alternativt opnås ved central autentifikation - typisk med Active Directory (AD) autentifikation. En lang række producenter har udviklet kode, der gør det muligt at lade brugerne på systemerne blive autentificeret via AD, eksempelvis SAP, Oracle og diverse Linux systemer.

Kerberos
Kerberos autentifikation er en teknologi med over 10 år på bagen. Metoden og de tilhørende værktøjer har fundet stadig større anvendelse og udbredelse hos leverandører og kunder. I Windows Server 2003 er der understøttelse af Unix systemer, og hos SAP og andre leverandører kan der findes vejledning i Kerberos implementering af de specifikke applikationer.

Derudover findes der en række kommercielle producenter af serverbaserede SSO løsninger - hvor Centrify er et godt eksempel. Centrify har på det seneste udvidet antallet af supporterede platforme til også at understøtte eksempelvis DB/2, Informix, SAP og MAC.
Læs mere på: http://www.centrify.com/news/release.asp?id=2006092601