met de explosie van webapplicaties hebben organisaties gezocht naar single sign-on (SSO) oplossingen om een efficiëntere integratie met hun core directory services mogelijk te maken. Hier verkennen we het verschil tussen SAML SSO en Just-In-Time (JIT) provisioning, twee concepten die van invloed zijn op de manier waarop gebruikers toegang krijgen tot webapplicaties.
Wat is SAML SSO?
het SAML-protocol (Security Assertion Markup Language) werd in de vroege jaren 2000 gemaakt om beveiligde authenticatie mogelijk te maken tussen identiteits-en serviceproviders (d.w.z. webapplicaties). SAML is veilig omdat het XML-gebaseerde certificaten passeert die uniek zijn voor elke toepassing in plaats van gebruikersreferenties door te geven.
met SAML creëerden organisaties SSO-oplossingen die het inlogproces vereenvoudigden. In plaats van het creëren van nieuwe sets van referenties voor elke webapplicatie die ze gebruikt, gebruikers kunnen hun Active Directory/core directory referenties gebruiken om toegang te krijgen tot zowel hun machines en hun webapplicaties via een browser plugin of web portal.
SAML SSO vindt plaats via door service provider of door identity provider geïnitieerde aanmeldingen. In service provider-initiated sign-ons, gebruikers bezoeken de website van de applicatie direct en worden doorgestuurd terug naar hun identiteit provider door een attribuut zoals hun domeinnaam of gebruikersnaam. Ze worden dan automatisch aangemeld bij de applicatie via hun identiteitsprovider. In door identity provider geïnitieerde aanmeldingen klikken werknemers via hun SSO-webportaal om toegang te krijgen tot de applicatie. In beide gevallen ontvangt of volgt de serviceprovider nooit hun referenties.
SSO-providers bieden vaak zowel voorgebouwde als generieke connectoren aan om organisaties flexibiliteit te bieden bij het verbinden met zowel populaire als propriëtaire toepassingen. Pre-built connectoren werken voor populaire toepassingen zoals Slack, Salesforce, GitHub, en duizenden meer, terwijl generieke connectoren kunnen admins vullen in de nodige velden om verbinding te maken met toepassingen die niet zo breed toegankelijk zijn. Deze oplossingen besparen niet alleen tijd voor eindgebruikers (die 36 minuten per maand besteden aan wachtwoordactiviteiten, volgens LastPass), maar ook voor IT-beheerders die gebruikers provisioning en wachtwoorden veilig moeten beheren.
Wat is Just-in-Time Provisioning?
Just-In-Time provisioning maakt ook gebruik van het SAML-protocol en verwijst naar een methode voor het aanmaken van applicatieaccounts.
met JIT hoeven IT-beheerders niet langer handmatig accounts aan te maken voor elke gebruiker in elke toepassing die ze gebruiken. In plaats daarvan worden gebruikersaccounts gemaakt de eerste keer dat gebruikers proberen in te loggen bij toepassingen, zolang ze Machtigingen voor hen hebben.
IT-beheerders kunnen bijvoorbeeld automatisch Salesforce-toegang verlenen aan alle gebruikers in de salesafdeling, en de accounts van die gebruikers worden aangemaakt wanneer ze voor het eerst proberen in te loggen bij Salesforce via hun SSO-portal of door een door een serviceprovider geïnitieerde login.
het is belangrijk om op te merken dat de service provider (webapplicatie) JIT moet ondersteunen om deze implementatie te laten werken.
het vergelijken van SAML SSO en JIT Provisioning
zowel SAML SSO als JIT provisioning spelen een rol bij het bieden van een naadloze applicatie login ervaring voor gebruikers, en ze kunnen worden gebruikt in combinatie.
implementatie van SSO voor webtoepassingen heeft een merkbaar effect op de gebruikerservaring omdat gebruikers slechts eenmaal per sessie hun aanmeldingsgegevens hoeven in te voeren om toegang te krijgen tot al hun toepassingen die ze nodig hebben om overdag te werken.
hoewel de gebruikerservaring niet dramatisch verandert wanneer een organisatie JIT provisioning gebruikt, maakt het proces onboarding efficiënter en IT-operaties gestroomlijnder. JIT is een behind-the-scenes tool om IT-beheerders meer tijd te geven om zich te wijden aan andere kritieke taken.
zowel SAML SSO als JIT Provisioning verhogen ook de beveiliging van de organisatie en voorkomen identiteitsuitbreiding omdat ze ervoor zorgen dat gebruikers slechts één beveiligde identiteit hebben voor hun machines, andere door directory beheerde bronnen en applicaties-in plaats van herhaalde of soortgelijke wachtwoorden voor alle services — en verminderen de handmatige provisioningtaken die beheerders moeten doen.
meer informatie
als u een IT-beheerder bent die onderzoekt welke SSO-oplossing het beste is afgestemd op uw omgeving, hebben we een “SSO-Aankoopgids” samengesteld om uw zoekopdracht te informeren.
