med explosionen av webbapplikationer har organisationer sökt single sign-on (SSO) – lösningar för att möjliggöra effektivare integration med sina kärnkatalogtjänster. Här utforskar vi skillnaden mellan SAML SSO och Just-in-Time (JIT) provisioning, två begrepp som påverkar hur användare får tillgång till webbapplikationer.
vad är SAML SSO?
protokollet SAML (Security Assertion Markup Language) skapades i början av 2000-talet för att möjliggöra säker autentisering mellan identitetsleverantörer och tjänsteleverantörer (dvs. webbapplikationer). SAML är säkert eftersom det passerar XML-baserade certifikat som är unika för varje applikation snarare än att skicka användaruppgifter.
med hjälp av SAML skapade organisationer SSO-lösningar som förenklade inloggningsprocessen. I stället för att skapa nya uppsättningar av referenser för varje webbapplikation som de använde, användare kan utnyttja sina Active Directory/core directory referenser för att komma åt både sina maskiner och sina webbapplikationer via en webbläsare plugin eller webbportal.
SAML SSO sker antingen via tjänsteleverantör – eller identitetsleverantörsinitierade inloggningar. I tjänsteleverantörsinitierade inloggningar besöker användarna applikationens webbplats direkt och omdirigeras tillbaka till sin identitetsleverantör med ett attribut som deras domännamn eller användarnamn. De loggas sedan in i applikationen via sin identitetsleverantör automatiskt. I identitetsleverantörsinitierade inloggningar klickar anställda genom sin SSO-webbportal för att komma åt applikationen. I båda fallen tar tjänsteleverantören aldrig emot eller spårar sina referenser.
SSO-leverantörer erbjuder ofta både förbyggda och generiska kontakter för att ge organisationer flexibilitet när det gäller att ansluta till både populära och proprietära applikationer. Förbyggda kontakter fungerar för populära applikationer som Slack, Salesforce, GitHub och tusentals fler, medan generiska kontakter låter administratörer fylla i de nödvändiga fälten för att ansluta till applikationer som inte är lika tillgängliga. Dessa lösningar sparar tid inte bara för slutanvändare (som spenderar 36 minuter i månaden på lösenordsaktiviteter, enligt LastPass) utan också för IT-administratörer som behöver hantera användarprovisionering och lösenord på ett säkert sätt.
Vad är Just-in-Time Provisioning?
Just-in-Time provisioning använder också SAML-protokollet, och det hänvisar till en metod för att skapa applikationskonto.
med JIT behöver IT-administratörer inte längre skapa konton manuellt för varje användare i varje applikation de använder. Istället skapas användarkonton första gången användare försöker logga in på applikationer, så länge de har behörigheter för dem.
till exempel kan IT-administratörer automatiskt ge Salesforce-åtkomst till alla användare i försäljningsavdelningen, och användarnas konton skapas första gången de försöker logga in på Salesforce via sin SSO-portal eller av en tjänsteleverantörsinitierad inloggning.
det är viktigt att notera att tjänsteleverantören (webbapplikationen) måste stödja JIT för att denna implementering ska fungera.
jämförelse av SAML SSO och JIT Provisioning
både SAML SSO och JIT provisioning spelar en roll för att ge en sömlös applikationsinloggningsupplevelse för användare, och de kan användas tillsammans.
webbapplikation SSO-implementering har en märkbar effekt på användarupplevelsen eftersom användare bara behöver ange sina referenser en gång per session för att komma åt alla sina applikationer som de behöver för att få arbete gjort under dagen.
även om användarupplevelsen inte förändras dramatiskt när en organisation använder JIT-provisionering, gör processen onboarding effektivare och IT-verksamheten mer strömlinjeformad. JIT är ett verktyg bakom kulisserna för att köpa IT-administratörer mer tid att ägna åt andra kritiska uppgifter.
både SAML SSO och JIT Provisioning ökar också organisationssäkerheten och förhindrar identitetsutbredning eftersom de säkerställer att användarna bara har en säker identitet för sina maskiner, andra kataloghanterade resurser och applikationer-snarare än upprepade eller liknande lösenord över tjänster — och minskar de manuella provisioneringsuppgifter som administratörer måste göra.
Läs Mer
om du är en IT-administratör som utforskar vilken SSO-lösning som är bäst anpassad till din miljö har vi sammanställt en ”SSO-Köpguide” för att informera din sökning.