* CEO da Centric Solution
Identificação por usuário e senha é um problema sério e a razão da maior parte das quebras de segurança nas organizações. Infelizmente, as senhas são estáticas, não são alteradas com frequência suficiente e costumam ser reutilizadas (59% dos usuários usam senhas iguais ou semelhantes em vários recursos). Ironicamente, embora as senhas sejam frequentemente reutilizadas, o Gartner estima que 30 a 50% de todas as chamadas ao helpdesk são para redefinições de senha. A dependência delas para autenticação de usuário expõe as organizações a riscos indevidos e aumenta em muito os custos de suporte.
Single Sign-On (SSO) é uma ferramenta de autenticação de usuário que permite aos usuários fazer login e acessar vários aplicativos, sites, dados e estações de trabalho usando apenas um conjunto de credenciais gerenciado centralmente – um nome de usuário e uma senha. As organizações usam o SSO para gerenciar o acesso à identidade e para melhorar a segurança dos dados e a conformidade com as políticas, além de aprimorar a experiência do usuário. Sem SSO, a autenticação é realizada individualmente em cada site ou aplicativo, com cada entidade tendo seu próprio conjunto de credenciais que devem ser gerenciadas pelo usuário ou pelo setor de TI.
Assim, para eliminar a necessidade de múltiplas senhas e obter acesso aos aplicativos, existem soluções de provedores de identidade (IdPs) como Okta™, OneLogin®, PingIdentity®; outros usarão protocolos como Security Assertion Markup Language (SAML) ou o mais moderno OpenID® Connect (OIDC) para implementar o SSO. Esses protocolos estabelecem uma relação de confiança entre o IdP da organização e os aplicativos integrados, por meio dos quais os usuários são enviados com um token de acesso exclusivo gerado pelo IdP que concederá acesso. O SSO remove senhas, torna as credenciais de acesso invisíveis para o usuário e elimina a possibilidade de as credenciais serem comprometidas.
Usar um provedor de identidade para SSO, associado com múltiplo fator de autenticação (MFA), também tem várias vantagens de usabilidade. Com o SSO, um usuário normalmente faz login em seu IdP uma vez por dia com um conjunto de credenciais e é apresentado a uma página da web do portal listando os aplicativos disponíveis para ele. Um simples clique em um aplicativo na página do portal IdP da organização permite que ele abra o aplicativo com seu token confiável.
Eliminar logons de aplicativos deixa todos mais felizes. Os usuários podem acessar seus aplicativos corporativos com um único conjunto de credenciais. A TI pode auditar e gerenciar usuários com mais facilidade, por exemplo, provisionando e desprovisionando o acesso aos recursos do usuário. As equipes de segurança podem definir e aplicar a política de segurança e manter a conformidade regulamentar. A TI lida com menos chamadas de helpdesk para redefinir senhas, especialmente porque muitas soluções SSO permitem que os próprios usuários redefinam suas senhas
O SSO, com a MFA, tornou a mudança para a nuvem significativamente mais fácil para as organizações porque centraliza o acesso seguro à identidade e, por padrão, também o acesso ao aplicativo da web de cada usuário.
Muitas vezes, porém, uma organização exige que os usuários usem aplicativos Windows® – não baseados na web. E, infelizmente, o SSO historicamente só está disponível para fornecer acesso seguro a aplicativos web. Já os eventos de autenticação no sistema operacional Windows ocorrem por meio de um procedimento chamado de Winlogon, o módulo de autenticação do Windows que realiza logons interativos para uma sessão – um usuário se conecta diretamente ao sistema operacional com um nome de usuário e uma senha. Como o Windows requer um nome de usuário e uma senha para fazer logon, normalmente o time de TI não pode incluir aplicativos desse sistema operacional em implementações de nuvem usando SSO sem um provedor de credencial personalizado. Os aplicativos do Windows instalados em estações de trabalho remotas acessadas por meio do Microsoft Remote Desktop Protocol (RDP) têm as mesmas limitações.
Normalmente, para permitir uma identificação única para aplicações, as organizações usam provedores de identidade modernos como Okta, OneLogin, Microsoft Active Directory Federated Services (ADFS) e Microsoft® Azure® AD Seamless SSO, para logon único em hosts Windows. Uma vez identificados, com as políticas de autenticação e credenciais definidas, os usuários podem acessar os aplicativos publicados pelo virtualizador de aplicações do Windows (RDS, CITRIX ou GO GLOBAL), que estarão disponíveis com o clique de um botão, proporcionando acesso conveniente e seguro, com reforçada autenticação do usuário como a organização exige.
Anteriormente, as organizações que procuravam esse tipo de funcionalidade e segurança teriam que comprar soluções caras, complexas e pesadas como Citrix NetScaler® Unified Gateway integrado com Citrix Hypervisor®. Agora, entretanto, o GO-Global permite suporte para logon único em aplicativos Windows a um preço que funciona para todas as organizações.
O Add-On do GO-Global OpenID Connect, ou simplesmente GGW OIDC Add-On, é uma extensão de software que adiciona esse protocolo de identificação aos servidores GO-GLOBAL, permitindo que os usuários identificados por qualquer serviço de autenticação (IdP) que utilize esse mesmo protocolo tenham acesso direto aos dados e programas desses servidores, permitindo o seu compartilhamento.
O módulo complementar GO-GLOBAL elimina a necessidade de controladores de domínio de rede, provedores de credenciais personalizados para autenticação forte e logins interativos.
Portanto, com certeza o SSO com MFA é uma funcionalidade que veio para ficar e eliminar as vulnerabilidades dos Logons Interativos usuais no mundo Windows.