® 
SSO (Single Sign-On)
Definitie
Single Sign-On (SSO) is een authenticatiemethode waarmee gebruikers met één set inloggegevens toegang krijgen tot meerdere applicaties en systemen. De gebruiker logt eenmalig in en hoeft zich niet opnieuw te authenticeren per applicatie.
Single Sign-On (SSO) is een authenticatiemethode waarmee gebruikers met een enkele set inloggegevens toegang krijgen tot meerdere applicaties en systemen. SSO verbetert zowel de gebruikerservaring als de beveiliging door het aantal wachtwoorden dat gebruikers moeten onthouden te verminderen. Volgens Gartner reduceert SSO helpdeskaanvragen gerelateerd aan wachtwoorden met 40-60%.
Hoe werkt SSO?
Bij SSO authenticeert de gebruiker zich eenmalig bij een centrale identity provider (IdP). De IdP geeft vervolgens tokens af die de gebruiker gebruikt om toegang te krijgen tot alle gekoppelde applicaties (service providers) zonder opnieuw in te loggen. Dit werkt via gestandaardiseerde protocollen: SAML 2.0 voor enterprise-applicaties, OAuth 2.0 voor API-autorisatie, en OpenID Connect (OIDC) voor authenticatie bovenop OAuth.
Voordelen en risico's
Voordelen: minder wachtwoorden betekent minder kans op zwakke of hergebruikte wachtwoorden, snellere toegang voor gebruikers, gecentraliseerd identiteitsbeheer en eenvoudigere onboarding/offboarding. Risico: als het SSO-account wordt gecompromitteerd, krijgt de aanvaller toegang tot alle gekoppelde applicaties. Daarom is MFA op het SSO-account essentieel. Session hijacking en token theft zijn specifieke SSO-risico's.
Bekende SSO-providers
Microsoft Entra ID (voorheen Azure AD), Okta, Google Workspace, Ping Identity en OneLogin zijn veelgebruikte enterprise SSO-providers.
Impact voor organisaties
SSO is een fundamenteel onderdeel van moderne IAM-architectuur en Zero Trust. NIS2 vereist adequate identiteits- en toegangsbeheersmaatregelen. ISO 27001 stelt eisen aan authenticatieprocessen.
Bescherming
Combineer SSO altijd met MFA, bij voorkeur phishing-resistant MFA zoals FIDO2/WebAuthn. Implementeer conditional access policies die context evalueren. Monitor SSO-sessies op verdacht gedrag. Beperk session-duur en implementeer automatische session-timeout.
Hoe DEFION helpt
DEFION evalueert SSO-implementaties als onderdeel van pentests en Security Assessments. Het team test of SSO-configuraties kwetsbaarheden bevatten en of MFA correct is geimplementeerd.