Kujuta ette hetke, kui pead igal hommikul sisse logima paljudesse erinevatesse süsteemidesse või rakendustesse oma töökohal. Paljud ei peagi seda ette kujutama, sest nad teevadki nii iga päev. Õnneks on olemas lahendus nimega SSO ehk Single Sign-On, mis muudab kontorikasutajate jaoks sisselogimise palju lihtsamaks ja kiiremaks.
SSO ehk ühekordne sisselogimine on nagu võti, mis avab palju uksi. Ühe sisselogimisega saab kasutada näiteks kõiki Microsoft 365 teenuseid, kuid mitte ainult. Kui ettevõttes on nii seadistatud, saab sama kasutaja oma kontoga ka paljudesse muudesse teenustesse sisse, ilma et tema parool lekiks teisele osapoolele.
Microsoft 365 parooliga saab ühendada pea kõik rakendused ja need küsivad vaid pilveteenuselt kasutaja kohta kinnitust, et kas see kasutaja on ikka see, kes peab sisse saama ning selle kinnituseks saadetakse krüpteeritud mandaat, mitte parool.
Milline SSO välja näeb?
Tavakasutaja jaoks näeb SSO välja nii, nagu paljudes teenustes on võimalik oma Facebooki, Google´i või muidugi ka Microsofti kontoga kolmanda osapoole rakendusse sisse logida.
Avapildil on näha Atlassiani sisselogimine. Selle jaoks eraldi parooli vaja pole. Kui Atlassian on Microsoft 365-ga töötava ettevõtte jaoks vajalik töövahend ning sinul tuleb seda töös kasutada, siis on taustal need teenused juba seotud ja sisse pääsebki oma Microsofti kontoga.
Kuidas see töötab?
SSO on autentimisprotsess, mis laseb kasutajatel üheainsa sisselogimise krediidi abil juurdepääsu saada mitmele erinevale süsteemile või rakendusele.
Selle asemel, et eraldi sisse logida igasse rakendusse eraldi kasutajanime ja parooliga, saab SSO kasutaja sisse logida ainult ühe korra ning seejärel on ta automaatselt autenditud kõikidesse varem seadistatud süsteemidesse.
Kui kasutaja esmakordselt sisse logib, autenditakse teda tavalisel viisil, kasutades tema kasutajanime ja parooli. Kui autentimine on edukas, antakse kasutajale spetsiaalne autentimise mandaat (nn token), mis salvestatakse kasutaja seadmesse või pilve.
Kui kasutaja soovib järgmisel korral sisse logida mõnda teise süsteemi, suunatakse ta SSO süsteemi, mis kontrollib autentimistõendit. Kui see on endiselt kehtiv, saabki kasutaja automaatselt soovitud süsteemi sisse ilma eraldi sisselogimiseta.
Tavakasutajatele tähendab SSO hõlpsat juurdepääsu erinevatele süsteemidele. Nad ei pea muretsema mitme kasutajanime ja parooli meelespidamise pärast ning see säästab palju aega, kuna enam ei pea iga kord uuesti kogu sissepääsu protsessi läbima, mis näiteks mitmeastmelise autentimisega on veelgi tülikam.
See on turvalisem, kui paroolidega majandamine
SSO pakub ka kõrgemat turvalisust, kuna kasutajate autentimist kontrollitakse keskselt ja autentimistõendeid hoitakse samuti turvaliselt. Microsoft 365 kontoga saab sisse logida teistesse teenustesse, nagu näiteks Microsoft Teams, SharePoint, Outlook, OneDrive jne. Kuid ka mitte-Microsofti teenustesse, nagu Slack, Zoom jne.
Igaühel on identiteet, mida tavaelus tõestab ID kaart. Internetis on meil aga identiteete palju ja need on igal pool laiali.
SSO ühendabki need identiteedid. Kui kasutajal on juba olemas turvaline Microsoft 365 identiteet, siis teised teenused saavad ka sedasama identiteedi tõestust usaldada.
Arvutisse Microsofti kontoga sisse logides on turvaline mandaat juba antud ja siis saab edasi Microsofti teenustele kohe sisse logida. Ka Eesti riigil on SSO: kui lähed digilukku, siis maksuametisse enam eraldi sisenema ei pea. Ühe korra logitakse sisse ja saad kasutada ka teisi teenuseid.
Seega võtab SSO vähemaks igale poole salasõnade sisestamise vajaduse. On olnud olukordi, kui krediitkaart on seotud mingi teenusega, salasõna on kadunud, raha läheb iga kuu maha. Mandaadisüsteemiga seda ei juhtuks.
Kuidas see tööle panna?
Azure AD-d seadistada SSO jaoks pole keeruline. Vajadusel leiab ka mõne koodijupi, mis käib Microsofti keskkonnast mandaati küsimas. Nii saab väga lihtsalt püsti panna kasvõi oma WordPressi lehe, mille sisselogimine on ühendatud ettevõtte Microsoft 365 kontodega.
SSO kasutamiseks Microsoft 365 kontodega teiste teenustesse sisselogimiseks tuleb seda seadistada ettevõtte IT-osakonna poolt pilveplatvormi seadetest.
Ettevõtte IT-osakond peab SSO seadistamiseks looma SSO teenusepakkuja (Identity Provider) konfiguratsiooni, mis ühendab Microsoft 365 autentimissüsteemi teiste teenustega. Siis tuleb konfigureerida iga teenus eraldi, et lubada SSO kasutamist. Seda tehakse Azure AD-s, mis hiljem haldabki pilvepõhiselt SSO-ga sisselogimist.
Kui SSO seadistamine on lõpetatud, saavad kasutajad sisse logida teistesse teenustesse, kasutades oma Microsofti kontot. Selleks klõpsavad nad lihtsalt valitud teenuse sisselogimislehel Microsofti kontoga sisse logimise võimalust ja nad suunatakse seejärel Microsoft 365 autentimissüsteemi. Kui kasutaja autentimine on edukas, antakse juurdepääs ilma eraldi sisselogimiseta.
SSO on turvalisem ja lihtne hallata, vigade võimalus on väiksem ja OIXIO paneb selle vajadusel nii kokku, et süsteem ei sõltu töötajatest ja töötab alati turvaliselt. Aitame ka põhimandaati kaitsta ja turvalisena hoida. Kui on olemasolev domeen, on Azure AD-sse üleminek tasuta, on vaid ülemineku seadistamise kulu. Kui SSO on seadistatud, siis enam isikutuvastus nii-öelda maja sees ei käi. See käib pilves. OIXIO aitab Azure AD-s vajaliku mandaadisüsteemi käima panna ja niimoodi organiseerida, et kui mõni töötaja lahkub, ei läheks süsteemis midagi katki.
Jah, SSO on parem kui salasõna. Aga oluline on aru saada, et iga selline liigutus tähendab, et kasutajaprofiilile antakse mingisugune ligipääs. Peab väga hoolikalt jälgima, kuhu seda peale panna ja milliseid õigusi soovitakse teenuse „toimimiseks“. Tehniliselt luuakse tagauks, mida pahalased saavad ära kasutada.
Näide 1: kui sul on SSO töö põhikonto kaudu palga rakendusse ja nüüd palgarakendus on compromised ja nende õiguste raames on palgarakendusse sisenenud pahalasel ka põhikonto minimaalselt lugemise õigus.
Näide 2: online pilditöötlusprogramm laseb sul oma fotod laadida üles otse oma Google drive’ist või OneDrive’ist, mis on mugav, aga sellega annad sa õiguse tal seal käia “omavoliliselt” niikaua kuni manuaalselt seda õigust tagasi ei võta.
Jah, tuleb jälgida milliseid õigusi küsitakse ja need siis vajadusel läbi oma põhikonto tagasi võtta. Töökonto puhul peab see käima läbi kinnitusahela.
See õiguste teema on valus reaalsus ja nüüd õnneks kui sa näiteks tõmbad telefoni äpi, siis esimesel avamisel küsitakse ükshaaval, kas lubad ligipääsu kontaktidele, kõnelogile, kaamerale jne. Praegu on veel veebis SSO puhul (nagu varem ka telefonides) üks “Accept” nupp ja kui kõiki punkte läbi ei loeta, võib kuri karja tulla.