Konceptet Single Sign On (SSO) er svært at forklare hvis man ikke har set det i drift. Men jeg vil alligevel gerne våge pelsen og forsøge at bryde det ned til daglig drift niveau. I den reneste og mest forenklede form, vil jeg beskrive vores Imprivata Single Sign On som;

Single Sign On automatisere indtastning, fornyelse og vedligehold af kodeord.

Indtast password

Besøger man et offentligt kontor, er det ikke unormalt at opleve et IT-landskab med 20-30 forskellige applikationer. De færreste benytter Microsoft AD eller anden directory service til central styrring af brugernavne.

Ofte har hver applikation sine egne regler og politikker for hvor komplekst et kodeord skal være, samt ved hvilken frekvens kodeordet skal skiftes og hvor lag tid der går før det kan genbruges. Som resultat af dette forekommer password-genbrug hyppigt – dvs. hver person har 5-10 passwords de genbruger til alle systemer, for det er umuligt at huske flere. I tilfælde af et enkelt password aflures, vil man derfor ofte også kunne benytte samme password til at få adgang til andre beskyttede applikationer.

Brugerne kan skrotte deres sedler og andre gemmesteder for passwords – hvis de får det rigtige værktøj

Hvordan benyttes Single Sign On?
De fleste SSO løsninger er baseret på en agent(software) installeres på brugernes PC, som automatisk indtaster brugernavn og password, når agenten genkender et udvalgte programmer der kræver password. Genkendelsen er typisk noget man “lærer” agenten ved at bygge en profil for hver program man ønsker skal benytte SSO. En profil laves for det meste centralt på en SSO server, hvor den efterfølgende gemmes og vedligeholdes.

Første gang en bruger anvender Single Sign On, kender systemet ikke altid den enkelte brugers brugernavn eller kodeord. Derfor går agenten i “learning credentials” mode. Når identiteten er lært, gemmes de centralt så agenten kan anvende de gemte kodeord på alle maskiner med en installeret agent.

Automatiser menu-navigering så brugerne lander i den rigtige undermenu når programmet starter. Workflow optimering er ofte en mulighed i denne type løsninger, hvilket gør det muligt at lade agenten navigere direkte til en ønsket undermenu med det samme, i stedet for at en bruger skal klikke sige igennem 5-10 menuer.

Eksempel A – Outlook Web Access
– Bruger Loader Outlook Web Access i browser.
– Agent genkender URL’en og trækker brugernavn og kodeord fra den centrale database.
– Bruger oplever ikke at skulle taste brugernavn eller kodeord.

Eksempel B – Java baseret program til registrering af fravær
– Bruger åbner program fra skrivebord.
– Agent genkender program ud fra bla. titel og fil.
– Bruger logges direkte ind i applikation, og lander på en undermenu 5-10 museklik inde.

Eksempel C – Aldrig mere taste brugernavn og password
– Logon med brugernavn og password på PC erstattes med kortlæser.
– Bruger kører ID kort/brik/NFC over kortlæser og taster pinkode.
– Agent matcher kort og pin (2 faktor sikkerhed) med bruger.
– Alle indtastninger af brugernavn og kodeord i programmer automatiseret.

Resultat: Forbedret sikkerhed og reduceret tidsforbrug

Benytter man en Single Sign On løsning kan man med fordel samtidigt indføre en mere sikker password politik, da brugerne reelt ikke har behov for at kende eller huske deres passwords. Hvis systemet husker og løbende sættes til at ændre kodeordet for brugerne, kan man uden problemer have 64 karaktere lange kodeord med høj kompleksitet, for brugerne skal aldrig taste det manuelt.

– Ikke flere opkald til support fordi man har glemt sit passwords.
– FDA godkendt.
– 100% sporbarhed til IT revision.
– Aldrig mere usikre passwords.

Indrømmet – jeg er farvet af jeg til dagligt arbejder med Imprivata OneSign hos Conecto.