Blog

Hoe faciliteer je Single Sign On op BYO-devices

Binnen het netwerk is het heel eenvoudig om Single Sign On (SSO) aan te bieden, maar buiten het netwerk en met andere devices dan het bedrijfswerkstation wordt dat lastig. Het device maakt geen onderdeel uit van het bedrijfsnetwerk en de gebruiker kan zich dus niet authentiseren, normaal gesproken tegen de Active Directory. Hoe faciliteer je als organisatie dan toch Single Sign On voor medewerkers?

Niet lang geleden werden applicaties altijd on-premise beheerd. De ICT-afdeling domineerde in het bedrijfsnetwerk en hield het veilig van de buitenwereld door middel van firewalls en virusscanners. De implementatie van een Single Sign On oplossing in het netwerk was destijds vrij eenvoudig. Het werkstation van de medewerker bevond zich in het netwerk, evenals de applicaties waar de medewerkers toegang tot wilden hebben.

De medewerker kon na authenticatie tegen de Active Directory en via een LDAP-standaard de voordelen van Single Sign On ondervinden, met name het voordeel van een single login. Met Single Sign On hoeft een medewerker slechts één keer in te loggen en voor alle volgende applicaties geen wachtwoord meer in te voeren. Met de komst van cloud applicaties wordt het toepassen van Single Sign On in het bedrijfsnetwerk een stuk complexer. Veel applicaties bevinden zich nu in een ander technisch domein, de cloud, waardoor de relatie tussen de gebruiker en de applicatie, namelijk het bedrijfsnetwerk en de Active Directory, niet langer op een eenvoudige manier aanwezig is. De gebruiker kan zonder tussenkomst van het bedrijfsnetwerk direct naar de cloud applicatie gaan, waardoor de single login lastig wordt. Een extra complicerende factor is dat organisaties te maken hebben met Bring Your Own Device (BYOD). De gebruiker wil met ieder willekeurig device en op iedere locatie toegang krijgen tot bedrijfsinformatie.

Waar een werkstation/laptop een multi-user omgeving is waarop gebruikers kunnen inloggen, is een smartphone of tablet bijvoorbeeld echter een single-user omgeving. Zo’n device biedt geen eenvoudige mogelijkheid om aan te loggen op een centrale systeem of bedrijfsnetwerk. Daarnaast is de kans groot dat het device niet conformeert aan de security policies die de organisatie heeft opgesteld.

Kluis
Toch willen medewerkers met hun tablet of smartphones hetzelfde gebruiksgemak als ze met hun laptop gewend waren, waaronder Enterprise Single Sign On (E-SSO). Single Sign On (E-SSO). Dit werkt als het ware als een kluis waarin de toegang tot (cloud) applicaties ligt opgeslagen. De toegang tot de kluis is bij SSO beveiligd met de Active Directory username/wachtwoord van de medewerker. Dit is hetzelfde username/wachtwoord waarmee de medewerker iedere dag inlogt op zijn PC op kantoor. De medewerker krijgt toegang tot de kluis door het invoeren van de AD username/wachtwoord. Naast de kluis biedt E-SSO ook een mechanisme om de gegevens in de kluis (inloggegevens) op een automatische en veilige manier uit te wisselen met (cloud) applicaties. Zodra de medewerker toegang heeft tot de kluis, heeft de medewerker dan ook direct toegang tot de (cloud) applicaties waarvoor de inloggegevens zijn opgeslagen.

Webportaal
Om SSO beschikbaar te maken voor BYOD moet het mogelijk zijn dat een medewerker niet alleen vanuit het interne netwerk toegang heeft tot de kluis maar dat dit ook mogelijk is vanaf iedere gewenste locatie. Er moet dan een SSO App op het device aanwezig zijn om toegang te krijgen tot de kluis en automatisch in te loggen op cloud applicaties.

Organisaties kunnen dit eenvoudig mogelijk maken door een webportaal te maken met een overzicht van de cloud applicaties die de organisatie aanbiedt. De medewerker hoeft alleen het webadres van dit webportaal te onthouden en kan met één klik een cloud applicatie starten. Op het portaal wordt ook de software geïnstalleerd die het device (bv. Android, iOS etc) herkent en automatisch de juiste SSO App aanbiedt die voor het device geschikt is. De juiste app wordt op het device van de medewerker geïnstalleerd waarmee toegang tot de kluis wordt verkregen en automatisch wordt ingelogd op een cloud applicatie.

Het wordt tijd dat organisaties niet alleen nadenken over device onafhankelijke security, maar ook over hoe zij gebruikersgemak en eenvoud voor gebruikers kunnen vergroten op hun privé devices. Hetzelfde gebruikersgemak dat zij inmiddels zijn gewend met hun beheerd werkstation in het LAN.

Web SSO
Om niet-zakelijke (BYOD) apparatuur geschikt te maken voor Single Sign On, introduceert Tools4ever Web SSO. Wanneer eindgebruikers de Web SSO app downloaden, die beschikbaar komt in de reguliere iOS App Store, Windows Marketplace en Android Market/Google Play of te downloaden is op de webportaal van het bedrijf, kunnen configuratie-informatie over diverse inlogschermen en wachtwoorden op het device van de medewerker terecht komen.
Zodra de app is geïnstalleerd of wanneer de browser daarna wordt opgestart maakt de Web SSO app een beveiligde verbinding met de E-SSOM service die zich binnen het netwerk van de klant bevindt. De E-SSOM service checkt de op de Web SSO App door de eindgebruiker ingegeven AD credentials en wanneer deze juist zijn wordt uit de E-SSOM database de configuratie-informatie en wachtwoorden teruggestuurd naar het device. Tools4ever kan zo eindgebruikers in alle (100%) van de gevallen SSO aanbieden.

Deze blog is geschreven door Tjeerd Seinen. Heeft u ook iets wat u bezig houdt? Meldt u dan aan als auteur en plaats uw eigen blog
Categorie:   
Auteur
afbeelding van tseinen
Tjeerd Seinen
Tools4ever - Technisch Account Manager

Tjeerd Seinen als account manager werkzaam bij Tools4ever in Nederland. Hij beschikt over zowel een technische als commerciële achtergrond en hij is daardoor in staat om kansen in de markt om te zetten in functionaliteiten voor producten en consultancy diensten. Tjeerd heeft meer dan 20 jaar ervaring op het gebied van sales en softwareontwikkeling. Hij studeerde technische informatica aan de Hogeschool van Amsterdam. Daarnaast rondde hij de MBA-opleiding van het NIMBAS in Utrecht met succes af.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.