Een gemiddelde medewerker logt elke werkdag tien tot vijftien keer in. Op de mailbox, het CRM, de HR-tool, de salaristool, een paar SaaS-applicaties en daarbovenop een VPN of een interne portal. Elke login vraagt om een wachtwoord. Vaak ook nog om een tweede factor. En soms is dat wachtwoord net verlopen.
Het resultaat ken je waarschijnlijk: tickets bij de servicedesk, post-its onder het toetsenbord, en gebruikers die ergens een spreadsheet bijhouden met hun inloggegevens. Niet omdat ze lui zijn, maar omdat het systeem dat van ze vraagt onwerkbaar is geworden.
Single sign-on, kortweg SSO, lost dit op. In dit artikel lees je wat SSO precies is, hoe het werkt, waarom je het bijna altijd combineert met multifactor authenticatie (MFA), en waar de valkuilen zitten als je het invoert.
Single sign-on is een authenticatiemethode waarbij een gebruiker zich één keer aanmeldt en daarna toegang krijgt tot meerdere applicaties zonder telkens opnieuw zijn wachtwoord in te voeren. De gebruiker logt in bij één centraal systeem, de identity provider, en dat systeem regelt vervolgens de toegang tot alle gekoppelde applicaties.
Onder de motorkap werkt dat met tokens. Wanneer je inlogt bij de identity provider, krijgt je sessie een soort digitaal paspoort dat de andere applicaties vertrouwen. Bekende protocollen die dit regelen zijn SAML 2.0 (vooral voor zakelijke applicaties), OpenID Connect en OAuth 2.0 (vaker voor moderne web- en mobiele apps), en Kerberos (typisch in Windows-domeinen, met een ticket-granting ticket).
Wat het in de praktijk betekent: één keer 's ochtends inloggen op je werkplek en de hele dag werken zonder elke applicatie opnieuw je wachtwoord te hoeven geven.
De zakelijke argumenten lopen langs vier lijnen.
Hier komt het lastige. SSO maakt het inloggen makkelijker, maar als iemand dat ene wachtwoord weet of steelt, heeft die persoon ook in één keer toegang tot alle gekoppelde applicaties. Dat noemt men in security-kringen het "keys to the castle"-probleem. SSO verlaagt de drempel voor de gebruiker en, als je het slecht implementeert, ook voor de aanvaller.
De oplossing is multifactor authenticatie. MFA voegt naast het wachtwoord een tweede factor toe: iets wat je hebt (een telefoon, een hardware token), iets wat je bent (vingerafdruk, gezichtsherkenning), of iets wat je weet (een pincode). Voor de gebruiker is dat één extra handeling, voor een aanvaller een veel grotere hindernis.
Adaptive MFA gaat nog een stap verder. Het systeem kijkt naar context: vanaf welk apparaat logt iemand in, vanaf welke locatie, op welk tijdstip, en hoe gedraagt deze gebruiker zich normaal? Logt iemand 's avonds laat in vanuit een ander land terwijl diegene die middag nog op kantoor was, dan vraagt het systeem om extra bevestiging. Werkt iemand vanaf een vertrouwd device op kantoor, dan blijft de ervaring soepel.
De combinatie SSO + MFA is daarom geen optionele upgrade. Het is de basisinrichting voor elke organisatie die haar inlogproces serieus neemt.
De volgende stap na SSO en MFA is passwordless inloggen. Daarbij verdwijnt het wachtwoord helemaal en authentiseert de gebruiker via een combinatie van device-trust, biometrie en cryptografische sleutels. Dat is niet alleen veiliger, het is ook prettiger in gebruik. Geen vergeten wachtwoorden, geen reset-flows, geen post-its.
De meeste organisaties komen daar via een tussenstap: eerst SSO en MFA stevig neerzetten, daarna passwordless uitrollen voor de groepen waar het zinvol is. We hebben een aparte uitleg over passwordless inloggen als je daar verder in wilt duiken.
We zijn 18 jaar bezig met identity management en hebben inmiddels 40+ implementaties op de teller. In die tijd hebben we drie dingen geleerd over hoe je SSO succesvol invoert.
Begin bij de data die er al is. Veel projecten lopen vast op de vraag wie nou eigenlijk welke rechten zou moeten hebben. Het antwoord ligt vaak in HR-data, rooster-data, of een bestaande Active Directory. Begin daar, niet bij een nieuw rollenmodel dat je vanaf nul moet bouwen.
Werk pragmatisch in fases. We leveren een eerste werkende versie meestal binnen 10 tot 30 dagen op. Dat is geen big-bang, het is een MVP waar de twee tot vier belangrijkste applicaties op aangesloten zijn, met SSO en MFA werkend. De rest volgt in volgende sprints, met de organisatie zelf aan het stuur.
Maak het beheer overdraagbaar. We zijn geen urenfabriek. Het doel is dat je interne team na de implementatie zelf nieuwe applicaties kan koppelen, beleid kan aanpassen, en de omgeving kan beheren. We bouwen daarvoor de juiste documentatie, training en governance mee.
Als Okta Apex Partner in de Benelux gebruiken we vrijwel altijd Okta Workforce Identity als identity provider. Dat heeft een paar redenen: het werkt out of the box met de meeste zakelijke applicaties, het schaalt mee met groei, en het is een leveranciersonafhankelijke laag bovenop je bestaande IT. Lees meer over onze Okta-implementaties als je wilt zien hoe zo'n traject eruitziet.
Eerlijk verhaal: SSO is niet voor elke situatie de beste oplossing. Voor heel kleine organisaties met twee of drie applicaties is een goede password manager soms voldoende. Voor losstaande systemen die nooit aan internet zullen hangen, hoeft het ook niet. En als je organisatie geen budget heeft voor goede MFA bovenop SSO, dan wacht je liever met de invoering tot dat wel kan, want SSO zonder MFA is risicovoller dan losse logins.
Voor de overige situaties, en dat zijn er veel, levert SSO snel rendement op gebruikersgemak en op security tegelijk.
Heb je tien of meer zakelijke applicaties en merk je dat de inlogchaos toeneemt, dan is een gesprek over SSO en MFA waarschijnlijk de moeite waard. Bekijk onze SSO en MFA-diensten voor de details, of plan direct een vrijblijvende kennismaking. Identity management at the speed of business, dat is wat we doen.