O login único (SSO) descreve uma solução de identidade que permite que vários aplicativos usem a mesma sessão de autenticação, evitando a entrada repetitiva de credenciais. As implementações de SSO são frequentemente adotadas por empresas no mundo corporativo como parte de sua estratégia para garantir o acesso a recursos importantes. Com o advento da computação em nuvem e o crescimento do software como um serviço (SaaS), empresas em todo o mundo estão expandindo seu foco em estratégias de gerenciamento de acesso que podem melhorar a segurança e a experiência do usuário; a implementação do SSO pode atender a ambos os aspectos.

De uma perspectiva de segurança, um benefício introduzido pelo login único é que, como reduz o número de credenciais necessárias para entrar em vários serviços para uma única credencial, há menos credenciais a serem perdidas ou roubadas. Além disso, a autenticação multifator (MFA), ou autenticação de dois fatores (2FA) é mais provável de ser aplicada para proteger essa credencial única e poderosa.

A partir da perspectiva do usuário final, alavancar um sistema de Provedor de Identidade (IdP) compatível com SSO aprimora a experiência do usuário porque reduz drasticamente a fadiga de entrada de credenciais. Além disso, usar o SSO significa eliminar o ônus de lembrar credenciais para, potencialmente, dezenas de contas.

Um efeito benéfico da adoção de soluções de SSO é que o número de chamadas de help desk relacionadas às atividades de redefinição de senha também diminui.

A implementação do login único geralmente consiste em definir um serviço central usado pelos aplicativos quando um usuário entra. Nessa abordagem, se um usuário não autenticado solicitar um aplicativo que requer informações de identidade, o aplicativo em questão redireciona o usuário para o serviço central. Neste servidor, o usuário se autentica e é redirecionado ao aplicativo original com informações de identidade. Lá, ele pode seguir em frente e atingir os objetivos iniciais que tinha quando a solicitação de autenticação foi acionada.

Depois, se esse mesmo usuário mudar para outro aplicativo que também requer informações de identidade e que depende do mesmo serviço central para executar a autenticação do usuário, o segundo aplicativo pode aproveitar a sessão iniciada pelo usuário ao fazer login no primeiro aplicativo.

Um bom exemplo que pode ajudar a ilustrar como o SSO funciona é o Google e seus diferentes serviços. Por exemplo, quando tenta acessar o Gmail sem estar autenticado, o Google redireciona você para um serviço central hospedado em accounts.google.com. Lá, você precisa inserir suas credenciais de usuário em um formulário de login. Se o processo de autenticação for bem-sucedido, o Google redirecionará você para o Gmail, onde você terá acesso à sua conta de email. Em seguida, após a autenticação por meio desse serviço central, se você for para outro serviço (como o Youtube, por exemplo), verá que está automaticamente conectado.

O diagrama a seguir fornece mais detalhes sobre como funciona um processo de autenticação de SSO.

Assumindo que o usuário deseja acessar domain1.com, ao navegar para esse domínio, ele é redirecionado para o servidor de autenticação, domain3.com, onde ele se autentica. Após a autenticação bem-sucedida, o domain3 armazena um cookie de sessão que é usado para o registro SSO. Em seguida, redireciona o navegador para o domain1 com um artefato que o domain1.com pode trocar por um token. Esse token pode ser usado para provar a identidade do usuário para acesso subsequente aos serviços do domain1.

Quando o usuário (na mesma sessão) acessa o domain2.com, esse domínio o redireciona para o domain3 para autenticação. No entanto, como o domain3 tem um registro de que o usuário tem uma sessão de login (por meio do cookie), ele não exige que o usuário faça login interativamente e, em vez disso, redireciona o navegador de volta para domain2.com com um artefato de autenticação apropriado, como antes.

Observe que o período válido da sessão de SSO é determinado pelo servidor de autenticação (domain3) e pode existir simplesmente durante a sessão do navegador ou por um período específico, de horas a semanas, dependendo da política de segurança e dos requisitos de experiência do usuário.

Esta é a essência do SSO, como no Google e em outros serviços. O protocolo entre o servidor de autenticação e os aplicativos cliente será, normalmente, SAML 2.0, OpenID Connect, Kerberos ou outro protocolo de autenticação que suporte SSO.

Assim como muitos outros recursos de autenticação e autorização, usar Auth0 para implementar o login único é extremamente fácil. Se você já estiver usando o Auth0 para proteger seus aplicativos, o SSO estará disponível para você automaticamente. Por exemplo, se você tiver dois ou mais aplicativos usando a mesma conta da Auth0, você notará que os usuários que entram em uma conta serão conectados de forma transparente na outra. Você não precisa fazer nada de especial nesses aplicativos para aproveitar a sessão de SSO.

Outro aspecto útil do uso da Auth0 para ativar o login único em seus aplicativos é ter um único ponto de controle sobre o acesso aos recursos, reduzindo as demandas de recursos de TI.

Se você quiser saber mais sobre a Auth0, como ela ajuda você a implementar o login único e como proteger seus aplicativos com ela, consulte os docs.

Continue lendo a Introdução ao IAM para conhecer outros tópicos sobre a Gestão de Identidades e Acesso.