Kaos lozinki u organizaciji
Prosječni korporativni zaposlenik koristi 10–20 aplikacija dnevno — e-poštu, CRM, ERP, sustav za upravljanje projektima, aplikaciju za razmjenu poruka, HR, dokumente, analitiku. Svaka s različitom prijavom i lozinkom. Rezultat? Lozinke napisane na ljepljivim papirićima, ista lozinka za sve sustave, resetiranje lozinke kao najčešći ticket helpdeska. Ovo nije problem pogodnosti — to je sigurnosni problem. Kompromitiranje jedne lozinke znači pristup višestrukim sustavima.
Single Sign-On (SSO) eliminira ovaj kaos. Jedna prijava — jedan identitet — pristup svim aplikacijama u organizaciji. Korisnik se prijavljuje jednom, a sustav ih automatski autentificira u svim integriranim aplikacijama.
Enterprise SSO — više od jedne prijave
Moderno upravljanje identitetima mnogo je više od samog SSO-a. Potpuni IAM (Identity and Access Management) sustav uključuje:
- Single Sign-On — jedna prijava za sve organizacijske aplikacije
- Socijalna prijava — prijava putem Googlea, Microsofta, Applea, Facebooka — bez kreiranja još jednog računa
- Višefaktorska autentikacija — višefaktorska provjera identiteta (2FA/MFA) za kritične sustave
- Kontrola pristupa temeljena na ulogama — granularna kontrola dozvola na razini organizacije, uloge i resursa
- Automatizirana pohrana — novi zaposlenik automatski dobiva račune u svim potrebnim sustavima
- Revizijski trag — potpuni revizijski trag prijava, promjena dozvola i pristupa resursima
Sigurna autorizacija — PKCE i tokeni
Moderni SSO sustavi koriste sigurne protokole autorizacije — OAuth 2.0 s PKCE (Proof Key for Code Exchange), OpenID Connect, SAML. JWT (JSON Web Tokeni) nose informacije o korisniku i njihovim dozvolama bez potrebe za upitom autorizacijskog servera pri svakom zahtjevu. Tokeni imaju ograničeno trajanje, kriptografski su potpisani i mogu se odmah opozvati.
KYC i AML — verifikacija identiteta
U reguliranim industrijama (financije, osiguranje, zdravstvo), samo identifikacija korisnika nije dovoljna. Verifikacija identiteta (KYC — Know Your Customer) je obvezna — potvrda da je osoba ona za koga se izdaje, na temelju identifikacijskih dokumenata. AML screening (Anti-Money Laundering) automatski provjerava osobe na EU, OFAC i UN sankcijskim listama te registrima PEP-ova (politički izložene osobe).
Integracija KYC/AML-a s SSO sustavom znači da se verifikacija odvija jednom — pri registraciji — a rezultati su dostupni svim aplikacijama u ekosustavu.
Deployment bez prekida
Migracija na centralizirani SSO u radnoj organizaciji delikat je postupak. Fazni deployment — aplikacija po aplikacija — minimizira rizik i omogućuje iterativno rješavanje problema. Ključno je održavati kompatibilnost s prethodnom verzijom i glatki prijelaz za korisnike. Nakon deploymenta, prednosti su neposredne: eliminacija resetiranja lozinki (manje helpdesk ticketa), brže uvođenje (minute umjesto sati), bolja kontrola pristupa i puna vidljivost tko ima pristup čemu.