Identiteitscrisis

De afgelopen week heb ik toevallig een aantal gesprekken gehad over single sign-on. Of misschien ook geen toeval. Single sign-on is 'hot' en kan van vele kanten benaderd worden.

In eerste instantie denk je: "Makkie. Dat is één keer inloggen en vervolgens overal bij kunnen." Maar dat is wat kort door de bocht. Het roept vervolgvragen op: inloggen waarmee? Mijn Facebook account? Het account van mijn werkgever? En waar mag ik dan 'overal' bij? En ineens is single sign-on van iets simpels complex geworden, omdat we er er verschillende verwachtingen bij hebben en verschillende technieken mee associëren.

Wil de gebruiker eigenlijk wel 'single' sign-on? Zelf heb ik verschillende aspecten van mijn identiteit, zogenaamde persona's, die ik gescheiden wil houden. Bij alleen de gedachte al dat ik mijn persoonlijke Facebook account professioneel zou gebruiken bij het inloggen bij een zakelijke klant voel ik me ongemakkelijk. En dit staat los van de vraag of het veilig zou zijn om dit te doen.

Wat is single sign-on? Is daar sprake van wanneer mijn eigen smartphone overal voor mij kan inloggen? Dit is het apparaat dat ik altijd bij mij heb. Met gebruikmaking van ingebouwde functies heb ik dan ook al mijn wachtwoorden bij me. Zo bekeken is mijn smartphone voor meer dan 80% mijn single sign-on apparaat. Ik authenticeer me aan het apparaat en het apparaat authenticeert mij vervolgens bij de bestemming. Toch werd in geen van de gesprekken dit gezien als SSO.

Is een wachtwoord-managementapplicatie anders dan SSO? Het is niet altijd transparant, maar het dekt wel veel van de lading: één keer inloggen en ik kom overal. Ook zeker meer dan 80% procent dekkend. Maar nee, de wachtwoordmanager wordt gezien als de anti-pool van SSO. Omdat we geen SSO hebben, hebben we wachtwoord-managers nodig.

Waarom is mijn smartphone of mijn wachtwoord-manager geen SSO? De missende karakteristiek lijkt te zitten in het feit dat ik die zelf beheer. En we verwachten dat SSO voor ons beheerd wordt. Dus SSO moet niet bekeken worden vanuit de gebruikersbeleving, maar vanuit de beheerssituatie.

In de gemiddelde werksituatie kan ik inloggen op een Windows-domein en kan ik van daaruit zonder inloggen alle Windows-diensten waar ik geautoriseerd voor ben bezoeken. Dan kom je een heel eind in de richting van SSO toch? Ja, en toch nee. Want nét die ene belangrijke applicatie is geen Windowsapplicatie, maar draait op Unix of in de cloud. En ineens heb ik SSO, althans volgens een deel van de gesprekken die ik had. En dan de volgende stap: Unix kun je aan Windows koppelen met Kerberos, dít is SSO! Of in ieder geval een SSO-mechanisme. Je moet je winst pakken, dus ik ga niet aanvoeren dat Kerberos ook het mechanisme is dat alle Windows servers verbindt en dat het van origine vanuit de Unix-wereld komt.

Lex

Een ander Windows-SSO-product dat in de gesprekken genoemd werd is ADFS. De 'F' staat voor 'federation'. Twee aspecten horen hierbij:

  1. samenwerken;
  2. volgens vooraf gemaakte afspraken.

En wie federation zegt, zegt doorgaans SAML in dezelfde zin. SAML is dus een SSO-protocol. En ineens hebben we ook veel steun van zoekmachines: Google SAML en je krijgt hits met 'single sign-on' in de titel. Is federation/SAML dan SSO? Nee, ik kan bijvoorbeeld niet aanloggen in SAML. Maar SAML is wel de universele taal geworden waarmee relevante identiteitsgegevens uitgewisseld worden. Zo kun je authenticatie vertrouwd verder laten reiken dan waar deze origineel voor bedoeld was.

Andere aspecten die steevast naar boven komen in een goed SSO-gesprek: sterke authenticatie, selfservice portal, wie administreert wat, wie beslist, wie voert uit, wie of wat kun je vertrouwen... Veel meer stof dan je in één gesprek kunt behappen.

SSO zit in een identiteitscrisis. De gebruiker weet wat het is, maar hoe vul je dat in als IT-provider? Tijd om dus maar eens te zorgen dat daar duidelijkheid over komt, zodat we weten waar we het over hebben, zodat we producten beter kunnen vergelijken, zodat het hype-gevoel eraf glijdt. Tijd voor een goed gesprek?

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten