O que é SSO de logon único?

21 de novembro de 2025

O Single Sign-On (SSO) é um método de autenticação que permite aos usuários acessar vários aplicativos ou serviços com um único conjunto de credenciais de login.

O que é autenticação única (SSO)?

O que é Single Sign-On?

O Single Sign-On (SSO) é um padrão de federação de identidades no qual um usuário se autentica uma única vez com um provedor de identidade (IdP) confiável e, em seguida, recebe declarações ou tokens assinados criptograficamente que outros usuários podem usar. aplicações (chamados provedores de serviços) aceitam como prova de identidade. Após o login inicial, o IdP emite credenciais com tempo de validade (por exemplo, declarações SAML ou tokens de ID OpenID Connect) que o navegador or cliente Apresenta-se a cada aplicação, que verifica a assinatura, o público-alvo e a data de expiração antes de estabelecer sua própria sessão.

Como a confiança está ancorada no IdP e transmitida por meio de protocolos baseados em padrões, o SSO permite que sistemas independentes compartilhem uma visão consistente de quem é o usuário, quais atributos ele possui e por quanto tempo ele está conectado. autenticação deve ser considerado válido.

Tipos de logon único

Abaixo estão os tipos mais comuns que você encontrará e o que cada um realiza.

Federação SAML 2.0

Linguagem de marcação de declaração de segurança (SAML) É um padrão baseado em XML amplamente utilizado para SSO (Single Sign-On) em navegadores para sistemas corporativos. SaaSApós a autenticação no Provedor de Identidade (IdP), o navegador do usuário recebe uma declaração SAML assinada que o Provedor de Serviços (SP) valida para estabelecer uma sessão.

O SAML é maduro, destaca-se na liberação de atributos corporativos (funções, grupos) e é comum em integrações de HRIS com SaaS e de ADFS com...cloud integrações.

Conexão OpenID (OIDC)

O OIDC funciona em conjunto com o OAuth 2.0 e utiliza JSON Web Tokens (JWTs) para autenticação de identidade. Após a autenticação com o IdP, o cliente obtém um token de ID (que representa quem você é) e, frequentemente, um token de acesso (que você pode acessar).

O OIDC é mais leve que o SAML, para dispositivos móveis e API-amigável e ideal para os modernos web e aplicativos móveis, aplicativos de página única (SPAs) e microsserviços que necessitam de tokens padronizados e compactos.

Kerberos/Autenticação Integrada do Windows (IWA)

Em SSO baseado em Kerberos (por exemplo, com o Active Directory), o sistema operacional adquire um ticket de um Centro de Distribuição de Chaves e o apresenta de forma transparente aos serviços, permitindo SSO "silencioso" em redes corporativas. É rápido, compatível com autenticação mútua e excelente para aplicativos locais e intranets, pois as configurações modernas geralmente fazem a ponte entre identidades Kerberos e... cloud via federação.

SSO (Acesso baseado em token) com suporte a OAuth 2.0

O OAuth em si é uma estrutura de autorização, não um protocolo de identidade, mas muitas implementações de SSO o combinam com OIDC ou endpoints de identidade personalizados para permitir que os usuários façam login uma única vez e obtenham tokens de acesso para APIs. O resultado é o SSO em camadas web e de serviço com tokens de curta duração, escopos e fluxos de atualização adequados para projetos de confiança zero.

Federação WS (WS-Fed)

Um protocolo de federação da Microsoft mais antigo, orientado a SOAP, ainda presente em cenários legados do ADFS e SharePoint. Ele permite SSO via navegador, similar ao SAML, mas é menos comum em projetos novos. Em vez disso, as organizações frequentemente migram aplicativos WS-Fed para OIDC/SAML como parte de sua implementação. cloud modernização.

CAS (Serviço Central de Autenticação)

Este é um protocolo simples de concessão de ingressos, popular no ensino superior. Os usuários se autenticam em um CAS central. server, que emite tickets de serviço que os aplicativos validam. O CAS é simples de operar e estender, mas carece dos ecossistemas mais robustos de declarações e tokens do SAML/OIDC.

SSO baseado em proxy reverso/cabeçalho

Um gateway autentica usuários (via Kerberos, SAML, OIDC ou MFA) e injeta cabeçalhos de identidade (por exemplo, X-Remote-User) em aplicativos de backend que não utilizam protocolos de federação. É útil para adaptar aplicativos legados, mas a segurança depende da confiança estrita apenas no gateway. procuração e reforçando o acesso direto aos aplicativos.

Cofre de senhas/SSO com preenchimento automático de formulários

Como último recurso para aplicativos sem suporte à federação, um gateway de acesso armazena com segurança as credenciais de cada usuário e realiza o login programaticamente. Isso aumenta a conveniência, mas não oferece federação verdadeira, e tarefas como a rotação de credenciais, MFA A aplicação das normas e a auditoria tornam-se mais complexas do que com o SSO baseado em padrões.

Como funciona o logon único?

O SSO permite que um usuário se autentique uma única vez com um provedor de identidade confiável e reutilize essa prova para acessar vários aplicativos (provedores de serviços, SPs) com segurança. Veja exatamente como funciona:

  1. Iniciação e descoberta do IdP. O usuário tenta abrir um aplicativo. O aplicativo (SP) não detecta nenhuma sessão local e redireciona o usuário (geralmente via metadados SAML/OIDC) para o IdP correto, estabelecendo onde a confiança e o login ocorrerão.
  2. Autenticação do usuário no IdP. O IdP valida a identidade usando métodos configurados, como senha e MFA, chaves de acesso ou verificações de postura do dispositivo, criando um novo contexto de autenticação com um carimbo de data/hora preciso e um nível de garantia.
  3. Emissão de token/declaração. Após o sucesso, o IdP emite uma credencial assinada e com prazo de validade (por exemplo, declaração SAML, token de ID OIDC e token de acesso) contendo o identificador e as declarações/atributos do usuário.
  4. Entrega segura de volta para o aplicativo. O navegador ou cliente retorna ao SP (provedor de serviços) portando a credencial por meio de uma vinculação segura (troca de token no canal frontal ou no canal traseiro via POST/redirecionamento), preservando a integridade e impedindo adulteração ou repetição.
  5. Verificação e criação de sessão. O SP valida o assinatura, público-alvo, emissor, nonce e expiração. Se as verificações forem bem-sucedidas, uma sessão do aplicativo (cookie ou token) é estabelecida e a autorização é aplicada com base em funções ou declarações.
  6. Atualização e upgrade de token (conforme necessário). À medida que as sessões envelhecem ou a sensibilidade do acesso aumenta, o cliente usa fluxos de atualização ou reautenticação para obter novos tokens ou reforçar a autenticação multifator (MFA), mantendo o acesso contínuo sem a necessidade de logins completos repetidos.
  7. Encerramento e revogação. Quando o usuário faz logout ou um risco é detectado, o SP encerra a sessão. Opcionalmente, o Single Logout (SLO) ou a revogação por canal reverso no IdP propagam o logout para outros aplicativos, fechando as sessões restantes.

O que é um exemplo de SSO?

exemplo de SSO

Um exemplo de SSO ocorre quando um funcionário navega no Salesforce sem uma sessão local, sendo então redirecionado pelo Salesforce para o Okta (o provedor de identidade da organização). O usuário completa o login e a autenticação multifator (MFA) do Okta, e o Okta emite uma declaração SAML assinada e de curta duração contendo o ID e as funções do usuário.

O navegador envia essa declaração de volta para o Salesforce, que verifica a assinatura, o público-alvo e a expiração, cria sua própria sessão e aplica as permissões do usuário, eliminando a necessidade de uma senha separada do Salesforce. Logins subsequentes em outros aplicativos conectados (por exemplo, ServiceNow, Box) reutilizam a sessão do Okta, proporcionando acesso contínuo entre os aplicativos com políticas e auditoria centralizadas.

Quais são as vantagens e desvantagens do Single Sign-On?

O login único simplifica o acesso, permitindo que os usuários se autentiquem uma única vez e acessem diversos aplicativos, melhorando a experiência do usuário e centralizando os controles de segurança. No entanto, concentrar a autenticação também aumenta o risco e a complexidade: se a camada de identidade falhar ou estiver mal configurada, muitos aplicativos serão afetados simultaneamente. Por esse motivo, é necessário um projeto cuidadoso para equilibrar a conveniência com fortes medidas de segurança.

Quais são os benefícios do Single Sign-On?

O SSO melhora a experiência do usuário e centraliza o controle ao federar a autenticação por meio de um provedor de identidade confiável. Aqui estão seus principais benefícios:

  • Menos senhas, melhor experiência do usuário. Os usuários fazem login uma única vez e acessam todos os aplicativos, reduzindo o atrito e a fadiga de login.
  • Controles de segurança mais rigorosos. A autenticação multifator centralizada, as chaves de acesso, as verificações de postura do dispositivo e o acesso condicional são aplicados uniformemente em todos os aplicativos.
  • Integração/desligamento mais rápidos. A concessão ou revogação de acesso parte de um único registro de identidade, portanto as alterações se propagam para todos os serviços conectados.
  • Custos de suporte mais baixos. Menos redefinições de senha e bloqueios de conta significam menos tickets de suporte técnico.
  • Governança consistente. Funções, grupos e políticas baseadas em atributos são aplicados da mesma forma em todos os lugares, oferecendo suporte. Ultimo privilégio.
  • Maior visibilidade e auditoria. Registros centralizados e tokens padronizados simplificam o monitoramento. resposta a incidentese relatórios de conformidade.
  • Redução de Phishing risco. Os usuários reconhecem um fluxo de login único e reforçado do IdP, portanto, há menos senhas específicas de aplicativos que podem ser roubadas.
  • Aplicativos modernos e compatibilidade com APIs. Os padrões (OIDC/SAML/OAuth) permitem acesso seguro para web, dispositivos móveis e microsserviços com tokens de curta duração.
  • Gestão de mudanças mais segura. Tempo de vida dos tokens, políticas de sessão e autenticação em etapas permitem aumentar a segurança de ações sensíveis sem a necessidade de novos logins.
  • Produtividade aprimorada. O acesso integrado entre aplicativos reduz as trocas de contexto e acelera os fluxos de trabalho.

Quais são as desvantagens do Single Sign-On?

A centralização da autenticação traz benefícios reais, mas também cria riscos técnicos e operacionais que você precisa gerenciar. Aqui estão os principais desafios:

  • Ponto unico de falha e raio de explosão. Se o IdP estiver inativo ou mal configurado, muitos aplicativos ficarão inacessíveis simultaneamente.
  • Risco de configuração incorreta. Validação fraca de tokens (público-alvo/emissor/nonce), longos prazos de expiração ou liberação permissiva de atributos podem abrir portas para falsificação de identidade e aumento indevido de privilégios.
  • Higiene de sessão e token. Equilibrar a conveniência com a segurança (como gerenciar tempos limite de inatividade e absolutos, tokens de atualização, MFA em duas etapas) é complicado, e sessões excessivamente longas aumentam o risco de invasão.
  • Certificado e gerenciamento de chaves. Chaves de assinatura rotativas, manuseio metadados Atualizações e discrepâncias de relógio exigem operações rigorosas, caso contrário, os logins podem falhar silenciosamente.
  • Complexidade do processo de logout. O suporte para logout único (SLO) é inconsistente e os logouts parciais deixam sessões residuais do aplicativo.
  • Legado e casos extremos. Aplicativos não federados forçam o armazenamento de senhas em cofres ou a injeção de cabeçalhos, adicionando fragilidade e menor segurança do que uma federação verdadeira.
  • Vinculação e ciclo de vida da conta. O mapeamento de identidades entre diretórios e locatários, o provisionamento JIT e o desprovisionamento em tempo hábil são propensos a erros sem um RH limpo e eficiente. IAM fontes.
  • Acesso à política descontrolada. O acesso condicional, a postura do dispositivo e as exceções por aplicativo podem se tornar difíceis de entender, causando interrupções ou falhas.
  • Vendedor e o bloqueio de padrões. Funcionalidades proprietárias ou peculiaridades do protocolo tornam as migrações dispendiosas e as estratégias com múltiplos IdPs mais difíceis.
  • Privacidade e minimização de dados. O compartilhamento excessivo de atributos entre aplicativos aumenta a exposição, portanto, são necessários controles de liberação de atributos mínimos e de consentimento.
  • Concentração em phishing e abuso. Um único fluxo reforçado ajuda, mas se os atacantes capturarem as credenciais/sessão do IdP, eles herdarão amplo acesso.

Perguntas frequentes sobre autenticação única (SSO)

Aqui estão as respostas para as perguntas mais frequentes sobre autenticação única (SSO).

Qual a diferença entre SSO e AD?

Vamos examinar com mais detalhes as diferenças entre o login único (SSO) e o Active Directory (AD):

AspectoLogon único (SSO)Diretório Ativo (AD)
DefiniçãoUm método de autenticação que permite aos usuários acessar múltiplos sistemas com um único login através de um provedor de identidade centralizado.Um serviço de diretório desenvolvido pela Microsoft para armazenar e gerenciar usuários, computadores e políticas dentro de um domínio Windows.
Função primáriaA autenticação federada abrange vários aplicativos e serviços, frequentemente em diferentes domínios ou plataformas.Gerencia identidades de rede local, recursos e políticas de segurança em ambientes baseados em Windows.
ObjetivoMultiplataforma e cloud-amigável; funciona com aplicativos web, SaaS e APIs.Principalmente local e centrado no Windows, embora possa ser integrado ao Azure AD para cloud usar.
Mecanismo de autenticaçãoUtiliza protocolos de federação como SAML, OAuth 2.0 ou OpenID Connect.Utiliza Kerberos e NTLM para autenticação em um domínio Windows.
Armazenamento de identidadeDepende de um provedor de identidade externo (IdP) que autentica os usuários e emite tokens.Armazena contas de usuários e computadores em um diretório centralizado baseado em LDAP.
Modelo de acessoPermite o acesso a múltiplas aplicações independentes após uma única autenticação.Fornece acesso a recursos de rede (compartilhamentos de arquivos, impressoras, domínio serviços) dentro de uma única organização.
Experiência do usuárioUm único login dá acesso a vários cloud e aplicações web de forma integrada.Os usuários fazem login em suas contas de domínio para acessar recursos internos automaticamente.
ImplementaçãoPode ser implementado usando IdPs como Okta, Azure AD, Ping Identity ou Google Workspace.Vem integrado ao Windows. Server ambientes como parte do gerenciamento de domínio.
Caso de usoUnificando a autenticação para cloud, SaaS e ambientes híbridos.Centralizando a identidade e o controle de acesso para redes Windows corporativas.
RelacionamentoO SSO pode usar o AD como fonte de identidade; o AD pode funcionar como diretório de back-end para uma solução de SSO.O Active Directory (AD) geralmente serve de base para o SSO (Single Sign-On) fornecendo o diretório de usuários e os tickets Kerberos usados ​​na autenticação integrada.

O logon único é seguro?

Sim, quando implementado corretamente, o Single Sign-On (SSO) é muito seguro porque centraliza controles robustos (MFA/chaves de acesso, acesso condicional, verificações de postura do dispositivo) em um provedor de identidade reforçado e emite tokens assinados de curta duração que cada aplicativo verifica. Os principais riscos decorrem da arquitetura, e não do SSO em si. Uma interrupção ou configuração incorreta do provedor de identidade pode afetar muitos aplicativos, e tokens de longa duração ou com validação fraca aumentam o risco de invasão.

O SSO também deve ser combinado com o princípio do menor privilégio, validação rigorosa de tokens (emissor/público-alvo/nonce/expiração), rotação de chaves e sincronização de relógio, monitoramento contínuo com detecção de anomalias, autenticação em etapas para ações sensíveis e arquitetura IdP resiliente (redundância, limitação de taxa, etc.). Proteção contra DDoSCom essas medidas de segurança, o SSO normalmente melhora a segurança em comparação com logins isolados por aplicativo.

Vale a pena implementar o Single Sign-On?

Sim, o login único (SSO) geralmente vale a pena para a maioria das organizações, pois simplifica a autenticação, ao mesmo tempo que melhora a segurança e a produtividade. O login centralizado reduz a fadiga de senhas, a reutilização de credenciais fracas e a sobrecarga do suporte técnico com redefinições de senha. Também permite a aplicação consistente de políticas como autenticação multifator e acesso condicional em todos os aplicativos conectados.

O esforço inicial de configuração e a dependência de um provedor de identidade confiável representam desvantagens reais, mas os benefícios a longo prazo compensam. Uma postura de segurança mais robusta, processos de integração e desvinculação mais rápidos, maior visibilidade da conformidade e uma experiência de usuário mais fluida geralmente superam a complexidade e o custo da implementação.

Anastasia
Spasojevic
Anastazija é uma redatora de conteúdo experiente, com conhecimento e paixão por cloud computação, tecnologia da informação e segurança online. No phoenixNAP, ela se concentra em responder a questões candentes sobre como garantir a robustez e a segurança dos dados para todos os participantes do cenário digital.