O que é Single Sign-On?
O Single Sign-On (SSO) é uma ferramenta de autenticação de usuário que permite que os usuários façam login e acessem vários aplicativos, sites, dados e estações de trabalho usando apenas um conjunto de credenciais gerenciado centralmente - um nome de usuário e uma senha. As organizações usam o SSO para gerenciar o acesso à identidade, melhorar a segurança dos dados e a conformidade com as políticas e aprimorar a experiência do usuário. Sem o SSO, a autenticação é realizada individualmente por cada site ou aplicativo, com cada entidade tendo seu próprio conjunto de credenciais que deve ser gerenciado pelo usuário ou pela TI.
Por que usar o Single Sign-On?
Infelizmente, as senhas são estáticas, não são alteradas com frequência suficiente e são reutilizadas com frequência (59% dos usuários usam a mesma senha ou senhas semelhantes em vários recursos). Ironicamente, embora as senhas sejam reutilizadas com frequência, a Gartner estima que de 30 a 50% de todas as chamadas ao helpdesk são para redefinição de senhas. Confiar em senhas para autenticação de usuários expõe as organizações a riscos indevidos e aumenta os custos do helpdesk.
Como resultado, muitas organizações adotaram o SSO para eliminar a necessidade de senhas para obter acesso aos aplicativos. Os provedores de identidade (IdPs), como Okta™, OneLogin®, PingIdentity® e outros, usarão protocolos como Security Assertion Markup Language (SAML) ou o mais moderno OpenID® Connect (OIDC) para implementar o SSO. Esses protocolos estabelecem uma relação de confiança entre o IdP da organização e os aplicativos integrados, por meio da qual os usuários são enviados a esses aplicativos com um token de acesso exclusivo gerado pelo IdP que concederá acesso. O SSO elimina as senhas, torna as credenciais de acesso invisíveis para o usuário e elimina a possibilidade de comprometimento das credenciais.
O uso de um provedor de identidade para SSO também tem várias vantagens de usabilidade. Com o SSO, um usuário normalmente faz login em seu IdP uma vez por dia com um conjunto de credenciais e recebe uma página da Web do portal que lista os aplicativos disponíveis para ele. Um simples clique em um aplicativo na página do portal do IdP da organização permite que ele abra o aplicativo com seu token confiável.
A eliminação dos logons de aplicativos deixa todos mais felizes. Os usuários podem acessar todos os seus aplicativos corporativos com um único logon. A TI pode auditar e gerenciar usuários com mais facilidade, por exemplo, provisionando e desprovisionando o acesso aos recursos do usuário. As equipes de segurança podem definir e aplicar políticas de segurança e manter a conformidade normativa. A TI lida com menos chamadas de helpdesk para redefinir senhas, especialmente porque muitas soluções de SSO permitem que os próprios usuários redefinam suas senhas.
O Single Sign-On facilitou muito a migração para a nuvem para as organizações porque centraliza o acesso seguro à identidade e, por padrão, centraliza o acesso de cada usuário aos aplicativos da Web.
O desafio do logon único
No entanto, muitas vezes uma organização exige que os usuários usem aplicativos do Windows® e não aplicativos baseados na Web. E, infelizmente, o SSO, historicamente, só está disponível para fornecer acesso seguro a aplicativos da Web. Os eventos de autenticação no sistema operacional Windows ocorrem por meio do Winlogon, o módulo de autenticação do Windows que executa logons interativos para uma sessão, em que um usuário faz logon diretamente no sistema operacional com um nome de usuário e uma senha.
Como o Windows exige um nome de usuário e uma senha para fazer logon, a TI não pode incluir aplicativos Windows em implementações de nuvem usando SSO sem um provedor de credenciais personalizado. Os aplicativos Windows instalados em estações de trabalho remotas acessadas por meio do Microsoft Remote Desktop Protocol (RDP) têm as mesmas limitações.
GO-Global permite logon único para aplicativos Windows
O suporte da GO-Global ao OpenID Connect permite que as organizações usem provedores de identidade modernos, como Okta, OneLogin, Microsoft Active Directory Federated Services (ADFS) e Microsoft® Azure® AD Seamless SSO para logon único nos hosts Windows da GO-Global. Ao permitir que os usuários façam login uma única vez em seu provedor de identidade, com as políticas de autenticação e as credenciais definidas lá, os usuários podem acessar os aplicativos Windows publicados pela GO-Global com o clique de um botão, proporcionando uma melhor experiência ao usuário e, ao mesmo tempo, aplicando a autenticação de usuário desejada pela organização.
O GO-Global permite que as organizações integrem qualquer IdP que suporte o OpenID Connect diretamente em seus hosts, permitindo que compartilhem hosts do Windows entre os usuários que autenticam com sua solução IdP. O suporte da GO-Global ao OpenID Connect elimina a necessidade de controladores de domínio na rede, de provedores de credenciais personalizados para autenticação forte e de logons interativos.
As organizações que antes buscavam esse tipo de funcionalidade precisavam adquirir soluções caras, complexas e difíceis de manejar, como o Citrix® NetScaler® Unified Gateway integrado ao Citrix Hypervisor®. O GO-Global permite o suporte ao logon único em aplicativos Windows a um preço que funciona para todas as organizações.
