Laatste Verhalen

Blijf op de hoogte van alles bij Approach

Publication

Hoe kan een SSO-login het authenticatieproces vereenvoudigen?

Publicatiedatum

04.08.2022

image
SSO (Single Sign-On) geeft gebruikers van een organisatie eenvoudig en veilig toegang tot webapplicaties zonder dat ze meerdere inloggegevens hoeven te onthouden. Ontdek de voordelen.

Na de migratie van on-premises naar cloudhosting op Approach-servers, uitte een van onze klanten de wens om een SSO-aanmelding te integreren in Atlas met behulp van Microsoft Azure AD om het verificatieproces te vereenvoudigen.

Waarom een SSO aanmelding implementeren met Microsoft Azure AD?

Door over te stappen op een SSO-authenticatie zouden hun gebruikers op een snelle en veilige manier verbinding kunnen maken met de Atlas Web App via hun bedrijfsreferenties. Het belangrijkste voordeel is dat gebruikers niet langer een aparte set inloggegevens nodig hebben om toegang te krijgen tot het platform.

Wat zijn de voordelen?

De SSO-authenticatie biedt organisaties eenvoudige en snelle toegang tot Atlas. Zonder dat gebruikers meerdere inloggegevens hoeven bij te houden.

Bovendien is de gegevensbeveiliging verbeterd omdat er een enkel authenticatiepunt wordt gebruikt bij het rechtstreeks verzenden van de referenties naar de IDP, wat de mogelijkheid verkleint dat deze uitwisselingen met kwade bedoelingen worden onderschept.

Het gebruik van de Access Gateway biedt klanten veel voordelen:

  • Een eenvoudige plug’n’play-oplossing
  • Compatibel met alle toepassingen
  • Cloud compatibiliteit
  • Totale bescherming tegen externe toegang. Aangezien MFA een token levert dat wordt gecontroleerd door de Access Gateway om toegang te krijgen tot de webapplicatie

Use case: hoe werd de verandering geïmplementeerd binnen ATLAS?

ATLAS is een zeer configureerbare .Net webapplicatie. Het is ontworpen om expats, managers en beheerders toegang te geven tot een gecentraliseerde gegevensbron op basis van verschillende toestemmingsniveaus, afhankelijk van de toegewezen rol van de gebruiker.

Ontworpen, eigendom en onderhouden door het Secure Development team van Approach, blijft beveiliging een prioriteit. Vooral vanwege de gevoelige aard van de gegevens die in ATLAS worden opgeslagen.

Om de database goed te beveiligen, is authenticatie nodig voor alle gebruikers die verbinding proberen te maken met het platform. Maar dit vereist weer een extra set referenties.
Om Atlas succesvol te verbeteren om een SSO-authenticatiestroom te ondersteunen met behulp van een SAML-protocol op Microsoft Azure AD, hebben onze ontwikkelaars twee oplossingen geïdentificeerd:

  1. Er moesten nieuwe ontwikkelingsinspanningen worden geleverd in Atlas. Om de aanvullende configuraties en applicatiestroom op te nemen om SSO met behulp van het SAML-protocol te ondersteunen
  2. De klant maakte al gebruik van Approach’s WAF Application Intelligence om Atlas te beveiligen. Er was een Access Gateway-functie beschikbaar om SSO te ondersteunen met behulp van het SAML-protocol op Microsoft Azure AD.

Na rijp beraad koos ons team voor de tweede optie.

Waarom een Access Gateway gebruiken om SSO te ondersteunen?

Hoewel de eerste oplossing inhoudt dat Atlas volledige controle houdt over de configuraties van de aanvullende authenticatiestroom. Dit voorstel zou extra ontwikkelingswerk in de applicatie en extra configuraties met zich meebrengen, waardoor de onderhoudskosten voor de extra authenticatiestroom ter ondersteuning van het SAML-protocol zouden toenemen.

Voor deze klant, Atlas wordt gehost achter een WAF en de bijbehorende Access Gateway, zorgt de tweede oplossing ervoor dat er minder ontwikkelingswerk gedaan hoeft te worden omdat alleen de extra request header waarde, geleverd door de WAF, gelezen hoeft te worden om de gebruiker te identificeren.
Dit vermindert het gebruik van een pakket van een derde partij om het extra authenticatieprotocol af te handelen.

Omdat alle webverzoeken die bij Atlas binnenkomen al geïdentificeerd zouden zijn, zouden er slechts kleine configuraties en geen extra authenticatiestroom binnen de Atlas-applicatie nodig zijn. Tegelijkertijd zou het gebruik van het OpenID Connect protocol onze bestaande SSO-verificatie overbodig maken.

In het algemeen zou Atlas vereenvoudigd worden om een SSO authenticatie te leveren in toekomstige organisaties die gebruik maken van een Access Gateway ondersteund protocol. Dit zou het beheer van cycli van toegangstokens vereenvoudigen omdat het bijvoorbeeld een verlopen token automatisch zou kunnen vernieuwen.

Het toegangstoken zou verder kunnen worden verstrekt in de request header naast de geauthenticeerde gebruikers e-mail om te worden gebruikt in ruil voor een SAML Assertion en een ander toegangstoken te verkrijgen van Microsoft bij het aanroepen van een Graph API.

Conclusie

SSO-authenticatie is een efficiënte oplossing die eenvoudig kan worden toegepast op de meeste webapplicaties. Hierdoor wordt de beveiliging verbeterd en de complexiteit verminderd.

Door Approach’s Access Gateway te gebruiken, zijn we in staat om de SSO-verificatie over te hevelen naar een veiligere en robuustere oplossing die anders zou worden afgehandeld door de webapplicatie.

Verder zal de Access Gateway alleen doorsturen naar de applicatie als het verzoek wordt gedaan door een geauthenticeerde gebruiker =. Dit zal de hoeveelheid onnodig verkeer naar de applicatie drastisch verminderen.

ANDERE VERHALEN

Terwijl Belgische organisaties de complexiteit van NIS2-compliance doorstaan hebben, staat er alweer een nieuwe golf van regelgeving voor de deur. De Cyber Resilience Act (CRA) van de Europese Unie treedt op 10 december 2024 in werking en zal de manier waarop bedrijven cyberbeveiliging benaderen voor producten met digitale elementen fundamenteel veranderen. In tegenstelling tot NIS2, dat zich richt op organisatorische beveiligingsmaatregelen, richt de CRA zich op de producten zelf – van smart home-apparaten tot industriële IoT-systemen.
In 2025 staat het landschap van veilige ontwikkeling op een keerpunt. Kritische regelgeving zoals de Cyber Resilience Act van de EU dwingt organisaties om over te stappen van optionele best practices naar verplichte secure-by-design strategieën. Maar zijn organisaties er echt klaar voor? Op basis van OWASP SAMM-benchmarkgegevens wordt in dit document beoordeeld hoe de verschillende branches ervoor staan, wat de invloed van de omvang van organisaties is op de volwassenheid en wat er nodig is om beveiligingsprogramma’s op te zetten die zowel effectief als compliant zijn.
Dreigingsmodellering is niet alleen een technische stap, het is een mentaliteit. Het stelt ontwikkelteams in staat om te denken als aanvallers, vroegtijdig de juiste vragen te stellen en beveiliging vanaf het begin in te bouwen. Door beveiliging samenwerkend, praktisch en ontwikkelaarsvriendelijk te maken, wordt de basis gelegd voor veerkrachtige, betrouwbare softwarelevering.

Neem contact met ons op voor meer informatie over onze diensten en oplossingen

Ons team helpt je op weg naar cybersereniteit

Stuur je ons liever een e-mail?