07/10/2023, 11:04 Logon único - Wikipédia

Logon único
O logon único ( SSO ) é um esquema de autenticação que permite que um usuário faça login
com um único ID em qualquer um dos vários sistemas de software relacionados, mas
independentes.

O verdadeiro logon único permite que o usuário faça login uma vez e acesse os serviços sem inserir
novamente os fatores de autenticação.

Não deve ser confundido com o mesmo logon (autenticação de servidor de diretório), geralmente
realizado usando o Lightweight Directory Access Protocol (LDAP) e bancos de dados LDAP
armazenados em servidores (de diretório). [1] [2]

Uma versão simples de logon único pode ser obtida em redes IP usando cookies , mas somente se
os sites compartilharem um domínio pai DNS comum. [3]

Para maior clareza, é feita uma distinção entre Autenticação do Servidor de Diretório (mesmo
logon) e logon único: A Autenticação do Servidor de Diretório refere-se a sistemas que exigem
autenticação para cada aplicativo, mas usando as mesmas credenciais de um servidor de diretório,
enquanto o logon único se refere para sistemas onde uma única autenticação fornece acesso a
vários aplicativos, passando o token de autenticação perfeitamente para aplicativos configurados.

Por outro lado, assinatura única ou logout único ( SLO ) é a propriedade pela qual uma única
ação de saída encerra o acesso a vários sistemas de software.

Como diferentes aplicativos e recursos suportam diferentes mecanismos de autenticação , o logon

único deve armazenar internamente as credenciais usadas para a autenticação inicial e convertê-
las nas credenciais necessárias para os diferentes mecanismos.

Outros esquemas de autenticação compartilhada, como OpenID e OpenID Connect , oferecem

outros serviços que podem exigir que os usuários façam escolhas durante o logon em um recurso,
mas podem ser configurados para logon único se esses outros serviços (como consentimento do
usuário) estão desativados. [4] Um número crescente de logons sociais federados, como o Facebook
Connect , exige que o usuário insira opções de consentimento no primeiro registro com um novo
recurso e, portanto, nem sempre é um logon único no sentido mais estrito.

Benefícios
Os benefícios de usar o logon único incluem:

Mitigar o risco de acesso a sites de terceiros ("autenticação federada") [5] porque as senhas
dos usuários não são armazenadas ou gerenciadas externamente
Reduza o cansaço das senhas devido a diferentes combinações de nome de usuário e senha
Reduza o tempo gasto reinserindo senhas para a mesma identidade [5]
Reduza os custos de TI devido ao menor número de chamadas de suporte técnico de TI sobre
senhas [6]
Administração mais simples. As tarefas relacionadas ao SSO são executadas de forma
transparente como parte da manutenção normal, usando as mesmas ferramentas usadas para
outras tarefas administrativas.

https://en.wikipedia.org/wiki/Single_sign-on 1/7
07/10/2023, 11:04 Logon único - Wikipédia

Melhor controle administrativo. Todas as informações de gerenciamento de rede são

armazenadas em um único repositório. Isso significa que existe uma lista única e oficial dos
direitos e privilégios de cada usuário. Isso permite que o administrador altere os privilégios de
um usuário e saiba que os resultados serão propagados por toda a rede.
Melhor produtividade do usuário. Os usuários não ficam mais sobrecarregados com vários
logons, nem são obrigados a lembrar de várias senhas para acessar os recursos da rede. Isto
também é um benefício para o pessoal do suporte técnico, que precisa atender menos
solicitações de senhas esquecidas.
Melhor segurança de rede. A eliminação de múltiplas senhas também reduz uma fonte
comum de violações de segurança: os usuários que anotam suas senhas. Finalmente, devido
à consolidação das informações de gerenciamento de rede, o administrador pode saber com
certeza que quando desabilita a conta de um usuário, a conta fica totalmente desabilitada.
Consolidação de redes heterogêneas. Ao unir redes distintas, os esforços administrativos
podem ser consolidados, garantindo que as melhores práticas administrativas e as políticas de
segurança corporativa sejam aplicadas de forma consistente.

O SSO compartilha servidores de autenticação centralizados que todos os outros aplicativos e

sistemas usam para fins de autenticação e combina isso com técnicas para garantir que os usuários
não precisem inserir ativamente suas credenciais mais de uma vez.

Crítica
O termo logon reduzido (RSO) tem sido usado por alguns para refletir o fato de que o logon único
é impraticável para atender à necessidade de diferentes níveis de acesso seguro na empresa e,
como tal, pode ser necessário mais de um servidor de autenticação. . [7]

Como o logon único fornece acesso a muitos recursos uma vez que o usuário é inicialmente
autenticado ("chaves do castelo"), aumenta o impacto negativo caso as credenciais estejam
disponíveis para outras pessoas e sejam utilizadas indevidamente. Portanto, o logon único requer
um foco maior na proteção das credenciais do usuário e, idealmente, deve ser combinado com
métodos de autenticação fortes, como cartões inteligentes e tokens de senha de uso único . [7]

O logon único também aumenta a dependência de sistemas de autenticação altamente disponíveis;

uma perda de sua disponibilidade pode resultar na negação de acesso a todos os sistemas
unificados sob o SSO. O SSO pode ser configurado com recursos de failover de sessão para manter
a operação do sistema. [8] No entanto, o risco de falha do sistema pode tornar o logon único
indesejável para sistemas aos quais o acesso deve ser garantido em todos os momentos, como
sistemas de segurança ou de chão de fábrica.

Além disso, o uso de técnicas de logon único utilizando serviços de redes sociais como o Facebook
pode inutilizar sites de terceiros em bibliotecas, escolas ou locais de trabalho que bloqueiam sites
de redes sociais por motivos de produtividade. Também pode causar dificuldades em países com
regimes de censura activos , como a China e o seu “ Projecto Escudo Dourado ”, onde o website de
terceiros pode não ser censurado activamente, mas é efectivamente bloqueado se o login social de
um utilizador for bloqueado. [9] [10]

Segurança
Em março de 2012, [11] um artigo de pesquisa relatou um extenso estudo sobre a segurança dos
mecanismos de login social . Os autores encontraram oito falhas lógicas graves em provedores de
ID de alto perfil e sites de terceiros, como OpenID (incluindo Google ID e PayPal Access),

https://en.wikipedia.org/wiki/Single_sign-on 2/7
07/10/2023, 11:04 Logon único - Wikipédia

Facebook , Janrain , Freelancer , FarmVille e Sears.com . Como os pesquisadores informaram os

provedores de identificação e os sites de terceiros antes do anúncio público da descoberta das
falhas, as vulnerabilidades foram corrigidas e não houve relatos de violações de segurança. [12]

Em maio de 2014, uma vulnerabilidade chamada Covert Redirect foi divulgada. [13] Foi relatada
pela primeira vez "Vulnerabilidade de redirecionamento oculto relacionada ao OAuth 2.0 e
OpenID" por seu descobridor Wang Jing, um estudante de doutorado em matemática da
Universidade Tecnológica de Nanyang , Cingapura. [14] [15] [16] Na verdade, quase todos os Os
protocolos de logon único são afetados. O Covert Redirect aproveita clientes de terceiros
suscetíveis a um XSS ou Open Redirect. [17]

Em dezembro de 2020, descobriu-se que falhas em sistemas de autenticação federada foram

utilizadas por invasores durante a violação de dados do governo federal dos Estados Unidos em
2020 . [18] [19]

Devido ao funcionamento do logon único, ao enviar uma solicitação ao site logado para obter um
token SSO e enviar uma solicitação com o token ao site desconectado, o token não pode ser
protegido com o sinalizador de cookie HttpOnly e, portanto , pode ser roubado por um invasor se
houver uma vulnerabilidade XSS no site desconectado, para realizar sequestro de sessão . Outro
problema de segurança é que se a sessão usada para SSO for roubada (que pode ser protegida com
o sinalizador de cookie HttpOnly, diferentemente do token SSO), o invasor poderá acessar todos os
sites que usam o sistema SSO. [20]

Privacidade
Conforme implementado originalmente no Kerberos e no SAML, o logon único não dava aos
usuários nenhuma opção sobre a liberação de suas informações pessoais para cada novo recurso
visitado pelo usuário. Isso funcionou bem dentro de uma única empresa, como o MIT, onde o
Kerberos foi inventado, ou grandes corporações onde todos os recursos eram sites internos. No
entanto, à medida que os serviços federados, como os Serviços de Federação do Active Directory,
proliferavam, as informações privadas do usuário eram enviadas para sites afiliados que não
estavam sob controle da empresa que coletava os dados do usuário. Como as regulamentações de
privacidade estão agora mais rígidas com legislações como o GDPR , os métodos mais recentes,
como OpenID Connectcomeçaram a ficar mais atraentes; por exemplo, o MIT, o criador do
Kerberos, agora oferece suporte ao OpenID Connect . [21]

Endereço de e-mail

Em teoria, o logon único pode funcionar sem revelar informações de identificação, como endereços
de e-mail, à parte confiável (consumidor de credenciais), mas muitos provedores de credenciais
não permitem que os usuários configurem quais informações são repassadas ao consumidor de
credenciais. A partir de 2019, o login do Google e do Facebook não exige que os usuários
compartilhem endereços de e-mail com o consumidor da credencial. “ Sign in with Apple ”

https://en.wikipedia.org/wiki/Single_sign-on 3/7
07/10/2023, 11:04 Logon único - Wikipédia

introduzido no iOS 13 permite que um usuário solicite um endereço de e-mail de retransmissão

exclusivo cada vez que o usuário se inscreve em um novo serviço, reduzindo assim a probabilidade
de vinculação de conta pelo consumidor da credencial. [22]

Configurações comuns

Baseado em Kerberos
O logon inicial solicita credenciais ao usuário e obtém um TGT ( tíquete de concessão de
tíquete ) Kerberos .
Aplicativos de software adicionais que exigem autenticação, como clientes de email , wikis e
sistemas de controle de revisão , usam o ticket de concessão de tickets para adquirir tickets
de serviço, provando a identidade do usuário ao servidor de email/servidor wiki/etc. insira
novamente as credenciais.

Ambiente Windows - o login do Windows busca o TGT. Os aplicativos com reconhecimento do

Active Directory buscam tickets de serviço, de modo que o usuário não seja solicitado a autenticar
novamente.

Ambiente Unix / Linux - Login via módulos Kerberos PAM busca TGT. Aplicativos clientes
Kerberizados, como Evolution , Firefox e SVN , usam tickets de serviço, portanto, o usuário não é
solicitado a autenticar novamente.

Baseado em cartão inteligente

O login inicial solicita ao usuário o cartão inteligente . Aplicativos de software adicionais também
usam o cartão inteligente, sem solicitar que o usuário insira novamente as credenciais. O logon
único baseado em cartão inteligente pode usar certificados ou senhas armazenadas no cartão
inteligente.

Autenticação integrada do Windows

Autenticação Integrada do Windows é um termo associado aos produtos Microsoft e refere-se aos
protocolos de autenticação SPNEGO , Kerberos e NTLMSSP com relação à funcionalidade SSPI
introduzida com o Microsoft Windows 2000 e incluída emsistemas operacionais posteriores
baseados no Windows NT . O termo é mais comumente usado para se referir às conexões
autenticadas automaticamente entre o Microsoft Internet Information Services e o Internet
Explorer . Active Directory multiplataformaos fornecedores de integração estenderam o paradigma
da Autenticação Integrada do Windows para sistemas Unix (incluindo Mac) e Linux.

Linguagem de marcação de declaração de segurança

Security Assertion Markup Language (SAML) é um método baseado em XML para troca de
informações de segurança do usuário entre um provedor de identidade SAML e um provedor de
serviços SAML . SAML 2.0 oferece suporte à criptografia XML W3C e trocas de login único de
navegador da Web iniciadas pelo provedor de serviços. [23] Um usuário que utiliza um agente de
usuário (geralmente um navegador da Web) é chamado de sujeito no logon único baseado em
SAML. O usuário solicita um recurso da web protegido por um provedor de serviços SAML. O
provedor de serviços, desejando conhecer a identidade do usuário, emite uma solicitação de
autenticação para um provedor de identidade SAML através do agente do usuário. O provedor de

https://en.wikipedia.org/wiki/Single_sign-on 4/7
07/10/2023, 11:04 Logon único - Wikipédia

identidade é aquele que fornece as credenciais do usuário. O provedor de serviços confia nas
informações do usuário do provedor de identidade para fornecer acesso aos seus serviços ou
recursos.

Configurações emergentes

Dispositivos móveis como credenciais de acesso

Uma variação mais recente de autenticação de logon único foi desenvolvida usando dispositivos
móveis como credenciais de acesso. Os dispositivos móveis dos usuários podem ser usados ​para
registrá-los automaticamente em vários sistemas, como sistemas de controle de acesso predial e
sistemas de computador, por meio do uso de métodos de autenticação que incluem OpenID
Connect e SAML, [24] em conjunto com um X.509 . Certificado de criptografia ITU-T usado para
identificar o dispositivo móvel para um servidor de acesso.

Um dispositivo móvel é “algo que você tem”, em oposição a uma senha que é “algo que você sabe”,
ou biometria (impressão digital, varredura de retina, reconhecimento facial, etc.) que é “algo que
você é”. Os especialistas em segurança recomendam o uso de pelo menos dois desses três fatores (
autenticação multifator ) para melhor proteção.

Veja também
Pré-sequestro de conta
Serviço Central de Autenticação
Gerenciamento de identidade
Sistemas de gerenciamento de identidade
Lista de implementações de logon único
Gerenciador de senhas
Linguagem de marcação de declaração de segurança
Usabilidade de sistemas de autenticação web

Referências
1. "Qual é a diferença entre SSO (logon único) e LDAP?" (https://jumpcloud.com/blog/sso-vs-lda
p). JumpCloud . 14/05/2019 . Recuperado em 27/10/2020 .
2. "Autenticação SSO e LDAP" (https://archive.today/20140523114521/http://www.authentication
world.com/Single-Sign-On-Authentication/SSOandLDAP.html) . Authenticationworld. com.
Arquivado do original (http://www.authenticationworld.com/Single-Sign-On-Authentication/SSO
andLDAP.html) em 23/05/2014 . Recuperado em 23/05/2014 . (https://archive.today/20140523
114521/http://www.authenticationworld.com/Single-Sign-On-Authentication/SSOandLDAP.html)
(http://www.authenticationworld.com/Single-Sign-On-Authentication/SSOandLDAP.html)
3. "OpenID versus servidor de logon único" (http://alleged.org.uk/pdc/2007/08/13.html) .
alegado.org.uk. 13/08/2007 . Recuperado em 23/05/2014 . (http://alleged.org.uk/pdc/2007/08/1
3.html)
4. "Provedor OpenID Connect - OpenID Connect Single Sign-On (SSO) - Autenticação OIDC
OAuth" (https://www.onelogin.com/pages/openid-connect) . UmLogin . (https://www.onelogin.c
om/pages/openid-connect)
5. "Logon único e autenticação federada" (https://kb.iu.edu/d/bbrl). kb.iu.edu. (https://kb.iu.edu/d/
bbrl)

https://en.wikipedia.org/wiki/Single_sign-on 5/7
07/10/2023, 11:04 Logon único - Wikipédia

6. “Benefícios do SSO” (https://www.uoguelph.ca/ccs/security/internet/single-sign-sso/benefits) .

Universidade de Guelph . Recuperado em 23/05/2014 . (https://www.uoguelph.ca/ccs/security/i
nternet/single-sign-sso/benefits)
7. "Autenticação de login único" (https://archive.today/20140315095827/http://www.authentication
world.com/Single-Sign-On-Authentication/). Authenticationworld. com. Arquivado dooriginal (htt
p://www.authenticationworld.com/Single-Sign-On-Authentication/)em 15/03/2014. Recuperado
em 28/05/2013 . (https://archive.today/20140315095827/http://www.authenticationworld.com/Si
ngle-Sign-On-Authentication/) (http://www.authenticationworld.com/Single-Sign-On-Authenticat
ion/)
8. "Guia de administração de alta disponibilidade do Sun GlassFish Enterprise Server v2.1.1" (htt
p://docs.oracle.com/cd/E19879-01/821-0182/abdln/index.html) . Oracle.com . Recuperado em
28/05/2013 . (http://docs.oracle.com/cd/E19879-01/821-0182/abdln/index.html)
9. Laurenson, Lydia (3 de maio de 2014). “O efeito da censura” (https://web.archive.org/web/202
00807161234/https://techcrunch.com/2014/05/03/business-and-censorship/) . TechCrunch .
Arquivado do original (https://techcrunch.com/2014/05/03/business-and-censorship/) em 7 de
agosto de 2020 . Recuperado em 27 de fevereiro de 2015 . (https://web.archive.org/web/2020
0807161234/https://techcrunch.com/2014/05/03/business-and-censorship/) (https://techcrunch.
com/2014/05/03/business-and-censorship/)
10. Chester, Ken (12 de agosto de 2013). "Censura, autenticação externa e outras lições de mídia
social do Grande Firewall da China" (https://web.archive.org/web/20140326175137/http://www.
techinasia.com/china-social-media-lessons-from-great-firewall/) . Tecnologia na Ásia .
Arquivado do original (https://www.techinasia.com/china-social-media-lessons-from-great-firew
all) em 26 de março de 2014 . Recuperado em 9 de março de 2016 . (https://web.archive.org/
web/20140326175137/http://www.techinasia.com/china-social-media-lessons-from-great-firewa
ll/) (https://www.techinasia.com/china-social-media-lessons-from-great-firewall)
11. Wang, Rui; Chen, Shuo; Wang, Xiao Feng (2012). "Assinando-me em suas contas por meio do
Facebook e do Google: um estudo de segurança guiado pelo tráfego de serviços da Web de
logon único implantados comercialmente" (https://ieeexplore.ieee.org/document/6234424) .
Simpósio IEEE 2012 sobre Segurança e Privacidade . págs. 365–379. doi :
10.1109/SP.2012.30 (https://doi.org/10.1109%2FSP.2012.30) . ISBN (https://ieeexplore.ieee.or
g/document/6234424) (https://doi.org/10.1109%2FSP.2012.30) 978-1-4673-1244-8.
S2CID1679661 . _ (https://api.semanticscholar.org/CorpusID:1679661)
12. "OpenID: Relatório de vulnerabilidade, confusão de dados" (http://openid.net/2012/03/14/vulne
rability-report-data-confusion/) - OpenID Foundation, 14 de março de 2012
13. "Facebook, usuários do Google ameaçados por nova falha de segurança" (http://www.tomsgui
de.com/us/facebook-google-covert-redirect-flaw,news-18726.html) . Guia do Tom. 2 de maio
de 2014 . Recuperado em 11 de novembro de 2014 . (http://www.tomsguide.com/us/facebook-
google-covert-redirect-flaw,news-18726.html)
14. "Vulnerabilidade de redirecionamento oculto relacionada ao OAuth 2.0 e OpenID" (http://tetrap
h.com/covert_redirect/oauth2_openid_covert_redirect.html) . Tetrafa. 1º de maio de 2014 .
Recuperado em 10 de novembro de 2014 . (http://tetraph.com/covert_redirect/oauth2_openid_
covert_redirect.html)
15. "Aluno de matemática detecta vulnerabilidade de segurança OAuth e OpenID" (http://techxplor
e.com/news/2014-05-math-student-oauth-openid-vulnerability.html) . Explorar tecnologia. 3 de
maio de 2014 . Recuperado em 10 de novembro de 2014 . (http://techxplore.com/news/2014-0
5-math-student-oauth-openid-vulnerability.html)
16. "Facebook, usuários do Google ameaçados por nova falha de segurança" (https://news.yahoo.
com/facebook-google-users-threatened-security-192547549.html) . Yahoo. 2 de maio de 2014
. Recuperado em 10 de novembro de 2014 . (https://news.yahoo.com/facebook-google-users-t
hreatened-security-192547549.html)

https://en.wikipedia.org/wiki/Single_sign-on 6/7
07/10/2023, 11:04 Logon único - Wikipédia

17. "Falha de redirecionamento oculto no OAuth não é o próximo Heartbleed" (http://www.symante

c.com/connect/blogs/covert-redirect-flaw-oauth-not-next-heartbleed) . Symantec. 3 de maio de
2014 . Recuperado em 10 de novembro de 2014 . (http://www.symantec.com/connect/blogs/co
vert-redirect-flaw-oauth-not-next-heartbleed)
18. "VMware falha como vetor na violação do SolarWinds? - Krebs on Security" (https://krebsonse
curity.com/2020/12/vmware-flaw-a-vector-in-solarwinds-breach/) . 19 de dezembro de 2020. (h
ttps://krebsonsecurity.com/2020/12/vmware-flaw-a-vector-in-solarwinds-breach/)
19. Kovacs, Eduard (15 de dezembro de 2020). "Grupo por trás do hack da SolarWinds contornou
MFA para acessar e-mails no Think Tank dos EUA" (https://www.securityweek.com/group-behi
nd-solarwinds-hack-bypassed-mfa-access-emails-us-think-tank) . Semana de Segurança .
Recuperado em 19 de dezembro de 2020 . (https://www.securityweek.com/group-behind-solar
winds-hack-bypassed-mfa-access-emails-us-think-tank)
20. "O que é sequestro de sessão?" (https://www.netsparker.com/blog/web-security/session-hijacki
ng/). 22 de agosto de 2019. (https://www.netsparker.com/blog/web-security/session-hijacking/)
21. MITIST. "Autorização OpenID Connect" (https://ist.mit.edu/oidc) . (https://ist.mit.edu/oidc)
22. Goode, Lauren (15/06/2019). "Os criadores de aplicativos estão confusos sobre 'Sign In With
Apple' (https://www.wired.com/story/sign-in-with-apple-mixed-reactions/) " (https://www.wired.c
om/story/sign-in-with-apple-mixed-reactions/) . Com fio . ISSN 1059-1028 (https://www.worldc
at.org/issn/1059-1028). Recuperado em 15/06/2019 .
23. Armando, Alexandre; Carbone, Roberto; COMPAGNA, Luca; Cuéllar, Jorge; Pellegrino,
Giancarlo; Sorniotti, Alessandro (01/03/2013). "Uma falha de autenticação em protocolos de
logon único baseados em navegador: impacto e soluções" (https://linkinghub.elsevier.com/retri
eve/pii/S0167404812001356) . Computadores e segurança . 33 : 41–58. doi :
10.1016/j.cose.2012.08.007 (https://doi.org/10.1016%2Fj.cose.2012.08.007) . (https://linkinghu
b.elsevier.com/retrieve/pii/S0167404812001356) (https://doi.org/10.1016%2Fj.cose.2012.08.00
7)
24. “O escritório do futuro da MicroStrategy inclui identidade móvel e segurança cibernética” (http
s://www.washingtonpost.com/business/capitalbusiness/microstrategys-office-of-the-future-inclu
des-mobile-identity-and-cybersecurity/2013/04/13/eb82e074-a1e3-11e2-be47-b44febada3a8_s
tory.html) . OWashington Post . 14/04/2014 . Recuperado em 30/03/2014 . (https://www.washin
gtonpost.com/business/capitalbusiness/microstrategys-office-of-the-future-includes-mobile-ide
ntity-and-cybersecurity/2013/04/13/eb82e074-a1e3-11e2-be47-b44febada3a8_story.html)

Links externos
Introdução de login único com diagramas (https://pubs.opengroup.org/onlinepubs/008329799/
chap1.htm)

Retrieved from "https://en.wikipedia.org/w/index.php?title=Single_sign-on&oldid=1177372881"

https://en.wikipedia.org/wiki/Single_sign-on 7/7