O que é SSO (Single-Sign-On)?

SSO (Single-Sign-On) é um mecanismo avançado de autenticação de utilizador concebido para melhorar a experiência do utilizador e reforçar a segurança. Na sua essência, o SSO permite que os utilizadores acedam a múltiplas aplicações ou plataformas utilizando apenas um único conjunto de credenciais, normalmente um nome de utilizador e uma palavra-passe. Isto não só elimina a necessidade de memorizar múltiplas palavras-passe, como também simplifica o processo de início de sessão para vários serviços. Com o tempo, o conceito de SSO evoluiu, ramificando-se em diferentes configurações e aplicações, tornando-se um pilar no panorama da autenticação digital.

---

O SSO opera principalmente através de um sistema de gestão de identidade federada, muitas vezes referido como federação de identidades. Uma das estruturas de renome neste domínio é o OAuth, que serve como intermediário. Em vez de partilhar a palavra-passe de um utilizador, o OAuth concede aos serviços de terceiros um token de acesso, salvaguardando as informações de login sensíveis do utilizador. Quando um utilizador tenta aceder a uma determinada aplicação, o fornecedor de serviços colabora com o fornecedor de identidade para autenticar as credenciais do utilizador. Uma vez autenticado, o utilizador pode aceder livremente à aplicação sem quaisquer pedidos adicionais.

Vários protocolos sustentam os serviços de SSO. O Kerberos, por exemplo, emprega um mecanismo de ticket-granting ticket (TGT), garantindo que os utilizadores não sejam repetidamente solicitados a fornecer credenciais. Por outro lado, a Security Assertion Markup Language (SAML) é um protocolo distinto que troca dados de autenticação de utilizador e autorização de forma segura entre plataformas. Além disso, as configurações de SSO baseadas em smart card utilizam cartões com dados de início de sessão incorporados, simplificando ainda mais o processo de login.

---

SAML (Security Assertion Markup Language) é um protocolo de autenticação robusto amplamente adotado em ambientes empresariais para simplificar o acesso do utilizador a várias aplicações, como sistemas de CRM, através de um processo de single sign-on (SSO). Leia mais sobre SAML aqui.

O SSO e os gestores de palavras-passe visam ambos simplificar o processo de autenticação do utilizador. No entanto, o SSO oferece um método unificado para os utilizadores acederem a múltiplas aplicações com um único conjunto de credenciais. Em contraste, os gestores de palavras-passe armazenam palavras-passe individuais para vários serviços, inserindo-as automaticamente mediante solicitação.

Embora o SSO melhore a conveniência do utilizador, introduz potenciais vulnerabilidades de segurança. Se um ator mal-intencionado obtiver acesso às credenciais de SSO de um utilizador, pode infiltrar-se em todas as aplicações associadas. Portanto, é fundamental reforçar o SSO com camadas adicionais de segurança, como a autenticação de dois fatores (2FA) ou a autenticação multifator.

Plataformas como Facebook, Google e LinkedIn oferecem SSO Social, permitindo que os utilizadores iniciem sessão em plataformas de terceiros utilizando as suas credenciais de redes sociais. Embora isto proporcione uma experiência de login sem interrupções, acarreta riscos de segurança potenciais, uma vez que uma violação numa plataforma pode comprometer outras.

A integração de passkeys com SSO fornece um método de autenticação moderno e seguro. Ao combinar os dois, os utilizadores beneficiam do login simplificado do SSO e da segurança reforçada das passkeys. Plataformas como a Corbado integram perfeitamente estas funcionalidades, garantindo que os utilizadores desfrutem de uma experiência digital conveniente e segura.

Iniciado por IdP significa que o processo de login começa no Fornecedor de Identidade (IdP), que envia uma asserção SAML para o Fornecedor de Serviços (SP). Em contraste, o SSO iniciado por SP começa quando um utilizador tenta aceder a um serviço diretamente no site do SP, sendo redirecionado para o IdP para iniciar sessão.