O que é single sign-on? Um login para muitos aplicativos
O single sign-on permite que um usuário se autentique uma vez com um provedor de identidade central e depois acesse muitos aplicativos conectados sem fazer login novamente.
O single sign-on, ou SSO, centraliza a autenticação. Em vez de uma senha separada para cada ferramenta, os usuários fazem login uma vez em um provedor de identidade, que então os avaliza para cada aplicativo conectado. Para equipes de engenharia, o SSO é como o acesso ao GitHub, aos consoles de nuvem e às plataformas de CI/CD é unificado e controlado em um único lugar.
Como funciona o SSO
Um provedor de identidade (IdP) central autentica o usuário. Quando o usuário visita um aplicativo, o aplicativo redireciona para o IdP, que confirma que o usuário já está logado e emite uma asserção ou token assinado. O aplicativo confia nessa asserção e concede acesso sem uma segunda senha.
Os protocolos por trás disso
- SAML: asserções baseadas em XML, comuns em aplicativos web corporativos.
- OpenID Connect: uma camada de identidade moderna construída sobre o OAuth 2.0.
- Esses padrões permitem que o IdP e o aplicativo confiem um no outro de forma segura.
Por que as equipes adotam SSO
O SSO reduz a proliferação de senhas, centraliza o offboarding (desative uma conta e o acesso a tudo é cortado) e habilita políticas consistentes, como autenticação multifator obrigatória. Para equipes de segurança, é um único ponto de controle auditável.
SSO e acesso a CI/CD
O acesso à sua plataforma de CI/CD, ao seu host de código-fonte e às contas de nuvem costuma ser controlado por SSO. Esse é o acesso voltado a humanos; ele é distinto de como os pipelines se autenticam aos serviços, o que usa tokens e OIDC em vez de login interativo.
Riscos a entender
O SSO concentra o risco: o comprometimento do IdP pode expor tudo que está por trás dele. É por isso que as contas do IdP exigem autenticação multifator forte e por que os tempos de vida das sessões e as políticas de reautenticação importam tanto.
A perspectiva da Latchkey
O acesso a plataformas para ferramentas como a Latchkey normalmente é governado por meio do seu host de código-fonte e do SSO. A autenticação de pipeline aos runners e serviços, por outro lado, usa credenciais com escopo e de curta duração em vez de login interativo.
Principais conclusões
- O SSO permite que os usuários se autentiquem uma vez e alcancem muitos aplicativos por meio de um IdP central.
- Ele costuma rodar sobre SAML ou OpenID Connect e simplifica a governança de acesso.
- Ele centraliza o risco, então o provedor de identidade precisa ser fortemente protegido.