Ativar SSO para aplicativos em nuvem

Apresentação do problema empresarial

As empresas estão usando aplicativos em nuvem em um ritmo cada vez maior. Ao estender o logon único (SSO, na sigla em inglês) para apps em nuvem, os funcionários podem usar as próprias credenciais corporativas para fazer login em apps Software as a Service (SaaS) ou apps internos hospedados na nuvem.

O SSO fornece um único ponto de autenticação por meio de um Provedor de identidade (IdP, na sigla em inglês). Os usuários podem acessar apps de terceiros na nuvem, mas as credenciais deles não são armazenadas por terceiros. Em muitos casos, as credenciais dos aplicativos de terceiros não existem.

Sua empresa quer aumentar a segurança por meio do SSO e, ao mesmo tempo, oferecer a conveniência desse serviço aos seus usuários. Um provedor de identidade precisa autenticar o acesso a todos os apps de nuvem da empresa.

Soluções

Para fornecer aos usuários acesso baseado em logon único a determinados apps de nuvem, o Cloud Identity como provedor de acesso aceita os protocolos OpenID Connect (OIDC) e Security Assertion Markup Language 2.0 (SAML).

O Cloud Identity tem um grande catálogo de aplicativos SAML. Os usuários do G Suite podem fazer o download de apps OIDC no G Suite Marketplace. Embora a maioria dos aplicativos na nuvem aceitem apenas um desses protocolos, alguns oferecem suporte a ambos.

Aplicativos do catálogo do SAML

Vantagens

  • O SAML é bem estabelecido na empresa.
  • Somente administradores podem instalar os aplicativos, o que oferece controle sobre quais aplicativos estão disponíveis aos funcionários.
  • O provedor de SaaS de terceiros e o Google trabalham juntos no conector, e o Google valida os apps no catálogo.
  • A instalação é rápida e fácil.

Desvantagens

  • Configurar um aplicativo SAML é um pouco mais trabalhoso do que configurar um aplicativo OIDC.
  • Nem todos os apps empresariais oferecem suporte a SAML, e alguns apps empresariais cobram a mais pelos recursos do SAML.

Aplicativos OIDC no G Suite Marketplace

Vantagens

  • O OIDC é um protocolo mais leve e moderno que o SAML.
  • Administradores e usuários podem instalar os apps, mas os usuários só podem instalar apps incluídos pelo administrador na lista de permissões.
  • Os aplicativos do G Suite Marketplace estendem a funcionalidade do G Suite. Como os apps usam a API Core Google Services, eles são bem integrados aos produtos do Google. Os aplicativos são analisados quanto à conformidade com os requisitos do G Suite Marketplace.

Desvantagem

  • O OIDC não é amplamente adotado por aplicativos empresariais.

Recomendações

Explore os catálogos do SAML e do G Suite Marketplace. Alguns aplicativos são incluídos em ambos. Nesse caso, se você for um cliente do G Suite e a política de TI corporativa aceitar OIDC, recomendamos o app do G Suite Marketplace.

Se o app que você preferir não estiver no catálogo e for compatível com SAML, instale-o como um app SAML personalizado. Observe que, como os apps SAML personalizados são configurados para a organização que instala os apps, eles não estão disponíveis no catálogo geral do SAML.

Instale os aplicativos necessários para as diferentes organizações da sua empresa e atribua cada aplicativo apenas às organizações que precisam dele.

Provedores de identidade de terceiros

Se você tiver um provedor de identidade de terceiros, ainda poderá configurar o logon único para apps de terceiros no catálogo do Cloud Identity. A autenticação do usuário ocorre no IdP de terceiros e o Cloud Identity gerencia os aplicativos em nuvem.

Para usar o Cloud Identity para SSO, seus usuários precisam de contas do Cloud Identity. Eles fazem login por meio do provedor de identidade de terceiros ou usam uma senha nas contas do Cloud Identity.

Exemplo

Além da linha de aplicativos empresariais, os funcionários da Empresa A usam vários tipos de aplicativos na nuvem para a rotina de trabalho:

  • pacote de colaboração
  • mensagens e comunicação
  • conferência
  • gestão de relacionamento com o cliente (CRM)
  • recursos humanos (RH)
  • Suporte ao cliente

A Empresa A usou um provedor de identidade local hospedado por ela mesma. Para aumentar a segurança, reduzir os custos de suporte e aumentar a escalonabilidade, eles querem migrar para o Cloud Identity como provedor de identidade principal. Os funcionários querem a conveniência de usar um único conjunto de credenciais de logon para acessar todos os apps em nuvem. Eles pretendem autenticar todos os apps em nuvem com a identidade do Google usando SAML e OIDC.

A TI configura os aplicativos em nuvem para SSO:

  • Faça uma lista dos aplicativos em nuvem usados pelos funcionários.
  • Localize esses aplicativos no catálogo do G Suite ou do SAML.
  • Configure o SSO e ative-o para os aplicativos, um por um.
  • Atribua os apps apropriados a organizações específicas, como:
    • Apps de mensagens, RH e colaboração para a organização de nível superior (para que todos os recebam).
    • CRM para a organização de vendas;
    • aplicativo de suporte ao cliente para o respectivo departamento.

A aplicação de chave de segurança varia de acordo com a organização.

Os funcionários fazem login no Cloud Identity. Por meio do SSO, eles podem acessar os aplicativos em nuvem necessários usando as credenciais do Cloud Identity.

Faça login nos aplicativos na nuvem por meio do SSO.