• SSO adalah


    Posted on July 29, 2015 by Admin in Security

    Artikel mengenai Enterprise Single Sign-On, Web Single Sign-On, dan sedikit mengenai Federated Identity beserta identity propagation.

    Apa itu SSO?  Sigle Sign-On atau sering disingkat menjadi SSO, pada dasarnya SSO adalah akses ke beberapa software yang terpisah dan berdiri sendiri, tetapi dimiliki oleh satu pengguna yang sama.

    Contoh SSO yang paling lazim adalah Google Account, kita cukup membuat sebuah akun GMail (mail.google.com), dan bisa kita gunakan untuk aplikasi lainnya seperti Google+ (plus.google.com), maupun YouTube (youtube.com).   Nah, kita hanya perlu login ke salah satu aplikasi tadi, misalnya GMail, kemudian kita bisa akses aplikasi lainnya tanpa perlu login lagi, itulah Single Sign-On.

    Pada kenyataanya, SSO memiliki beberapa alternatif teknologi, dengan fokus solusi yang berbeda, contoh dari teknologi SSO adalah:

    1. Enterprise Single Sign-On : Bisa digunakan pada terminal emulator, client-server, maupun web.  Tapi perlu install agent di setiap end-point yang berinteraksi dengan pengguna.  Cocok untuk karyawan perusahaan.
    2. Multi Domain Web Single Sign-On : Hanya bisa digunakan pada web saja, tetapi tidak perlu install agent/plugins.  Cocok untuk subscriber dan customer.
    3. Federated Identity : Penggunaannya sangat luas mencakup Web SSO, Web Service Federation, hingga SSO untuk client-server.  Tapi mekanisme perlu integrasi yang kuat pada aplikasinya, hanya didukung oleh software tertentu saja.

    Enterprise Single Sign-On (eSSO)

    eSSO pada dasarnya bisa dianalogikan sebagai dompet elektronik (wallet), yang berisi username dan password untuk banyak aplikasi yang dimiliki oleh seorang pengguna.  eSSO bisa mendeteksi bila ada sebuah aplikasi yang meminta input username dan password, karena ada agent yang tertanam di endpoint pengguna.  eSSO bisa mengintervensi halaman login suatu aplikasi, dan mengisikan username dan password secara paksa.  Sebuah perusahaan membutuhkan eSSO apabila:

    1. Perusahaan itu perlu menerapkan otentikasi biometric pada aplikasi primitif (seperti terminal emulator, client server primitif, maupun web app yang primitif).  Maka eSSO bisa mengacak seluruh password pengguna, sehingga pengguna tidak dapat login ke aplikasi manapun tanpa bantuan eSSO.  Selanjutnya setiapkali eSSO mendeteksi ada aplikasi yang meminta input username dan password, maka eSSO akan menjalankan biometric authentication request, bila biometric cocok barulah eSSO akan mengisikan username dan password secara otomatis ke aplikasi tersebut.
    2. Perusahaan itu ingin membatasi super user agar menggunakan progam yang diijinkan saja. Maka eSSO bisa mengacak seluruh password super user, sehingga super user tidak dapat login ke aplikasi manapun tanpa bantuan eSSO.  Kemudian eSSO akan melakukan otentikasi otomatis hanya bila eSSO mendeteksi APLIKASI YANG DIIJINKAN meminta username dan password.
    3. Perusahaan itu memiliki lebih dari 2000 karyawan.  Maka akan ada banyak orang yang lupa password setiap hari, sehingga membutuhkan help desk dalam jumlah besar.  eSSO menyederhanakan hingga user hanya perlu ingat sebuah username dan password saja untuk seluruh aplikasi, bila user lupa maka bisa minta self service melalui eSSO untuk dibuatkan password baru.

    Multi Domain Web Single Sign-On (Web SSO)

    Web SSO pada dasarnya bertujuan untuk memudahkan user dalam mengakses banyak aplikasi.  Secara bisnis, ini sangat bermanfaat karena perusahaan bisa menjalankan banyak proyek software secara paralel tanpa dipusingkan oleh masalah integrasinya.

    Seorang user hanya perlu daftar satu kali untuk bisa mengakses seluruh layanan perusahaan, sehingga Web SSO sangat relevan untuk project mega portal.  User seakan-akan hanya satu kali login ke portal utama, dan bisa mengakses seluruh layanan didalamnya tanpa perlu otentikasi ulang, meskipun tiap layanan disediakan oleh aplikasi yang berbeda-beda.

    Ada beberapa teknologi untuk Web SSO yang bisa dipelajari di website ini.

    Federated Identity

    Federated Identity atau sering disebut sebagai Identity Federation pada prinsipnya adalah mekanisme suatu software untuk percaya pada hasil otentikasi software lain.  Contoh yang palin lazim adalah Microsoft Active Directory, ada banyak aplikasi yang mempercayakan otentikasinya pada Microsoft Active Directory, sehingga seorang pengguna hanya perlu login satu kali untuk mengakses banyak aplikasi lainnya.

     

    Federated Identity juga bisa digunakan pada web application, contohnya adalah OpenID, Google Account, Yahoo, dan lainnya.  Secara penggunaannya sangat mirip dengan Web SSO.

    Tetapi dalam beberapa kasus khusus, Federated Identity digunakan hingga level service antar aplikasi di back end, kondisi ini dikenal sebagai Identity Propagation atau oleh beberapa pembuat software disebut sebagai Secure Token Service (STS).