In onze maatwerk-applicaties bieden we vanaf nu de mogelijkheid voor Single Sign-on via het Microsoft Werk of School account. Met Single Sign-on hoef je niet meer apart in te loggen in door ons ontwikkelde maatwerk-applicaties. De applicaties hoeven zelf geen gebruikers-accounts meer te registreren.
Voordelen
Behalve gemak voor de gebruiker, omdat extra inloggen niet meer nodig is, biedt dit ook het voordeel dat het het hele wachtwoordenbeheer in onze applicaties overbodig maakt. Omdat de applicatie zelf geen database meer heeft van inlognamen, wachtwoord-hashes en rechten, kunnen ze ook niet gestolen worden.
Ook is het niet nodig om het account van iemand die uit dienst gaat te verwijderen uit elke applicatie. Die procedure ontbreekt namelijk vaak bij bedrijven. Medewerkers gaan uit dienst en hun Windows-account en Office-licentie wordt beëindigd maar het is vaak niet duidelijk tot welke web-applicaties iemand nog meer toegang had. Vergeet je zijn of haar account overal te verwijderen dan houdt hij na zijn dienstverband nog gewoon toegang. Dat kan een groot beveiligingslek zijn.
Tot slot lift je op deze manier mee met geavanceerdere accountbeveiliging zoals dat tegenwoordig geïmplementeerd wordt door bedrijven als Microsoft en Google. Denk daarbij vooral aan multi-factor authenticatie, bijvoorbeeld via een vingerafdruk-scanner.
Wat is er nieuw?
Om precies te zijn boden we de mogelijkheid om aan te melden zonder in te loggen al langer voor applicaties die alleen intern gebruikt worden. In dat geval kunnen rechten geregeld worden via de bestaande Windows-accounts en gebruikersgroepen op de eigen server. Dit werkt echter niet handig voor mobiele gebruikers die buiten kantoor willen inloggen of wanneer je externen toegang wilt geven.
Ook boden we al velen jaren inloggen via een Microsoft-, Facebook-, Twitter- of Google-account, maar een Microsoft account is niet hetzelfde als wat we nu kunnen (daarover zo meteen). Facebook en Twitter werden zelden gebruikt en bieden we daarom ook niet meer aan. Inloggen met een Google-account is wel veel gebruikt, vooral omdat Google hier eerder mee was dan Microsoft.
Microsoft-account is geen Werk of Schoolaccount
Wat betreft inloggen met een Microsoft-account was het altijd wat complexer. Een Microsoft-account is namelijk niet hetzelfde als een Werk of School account. De meeste werknemers hebben een Werk of School account omdat ze Office365 hebben, maar ze hebben geen Microsoft-account. Microsoft-accounts zijn feitelijk privé accounts voor particulieren met een email adres voor hotmail.com, outlook.com, Xbox, etc. In onze applicaties was het wel al mogelijk om in te loggen met zo'n Microsoft-account, maar werknemers van klanten hebben die accounts niet. Ze hebben wel Werk of School accounts (ook wel Office365-account genoemd), maar dat werkt heel anders.
Gelukt
Simpel samengevat heeft het ons wat moeite gekost om dit goed te implementeren maar dat is nu dus klaar. Rechten binnen de applicaties ("rollen" genoemd) kunnen dan ook beheerd worden via de beheer-omgeving van Microsoft. Onze eigen interne applicaties zijn aangepast en maken aparte accounts nu overbodig. Ook een TV aan de muur die schermen toont (van de door onszelf ontwikkelde netwerk-monitor) logt automatisch in met een gratis Werk of School account, zonder Office licentie.
Interesse?
Bestaande applicaties kunnen eenvoudig en snel aangepast worden voor Single Sign-on met Microsoft Werk of School accounts. Die accounts hoeven niet eens per sé van je eigen organisatie te zijn. Je kunt ook externen toestaan in te loggen met hun eigen Microsoft Werk of School account (hoewel het in de basis veiliger is dit niet toe te staan).
Wanneer deze inlogmethode wordt gebruikt vervalt de mogelijkheid om in te loggen met losse namen + wachtwoorden. We verwijderen het hele account-beheer uit de applicatie en vervangen dat door de broncode en libraries voor Open-ID, de techniek achter ingle Sign-on met Microsoft Werk of School accounts.