Konfigurera SSO för små team: En praktisk guide

Ditt team har vuxit till 15 personer. Alla har konton på Slack, GitHub, ert projektverktyg, företagets wiki, e-post och ett halvdussin andra tjänster. Var och en med sitt eget lösenord. Varje lösenord antingen bortglömt varje vecka eller nedskrivet på en post-it-lapp.

Single Sign-On löser detta. En inloggning, ett lösenord, åtkomst till allt. Och tvärtemot vad leverantörer av företagsprogramvara vill att du ska tro behöver du inte en sexsiffrig budget för att implementera det.

Varför SSO är viktigt för små team

SSO handlar inte bara om bekvämlighet (även om det är trevligt). Det löser verkliga säkerhets- och driftsproblem som drabbar små team hårdare än man tror.

Offboarding på minuter

När någon slutar, inaktivera ett konto och de förlorar åtkomst till allt. Slipp jaga igenom 20 olika tjänster och hoppas att du inte missat någon.

Konsekventa säkerhetspolicyer

Tvinga fram lösenordskomplexitet, multifaktorautentisering och sessionstidsgränser från ett ställe. Slipp hoppas att alla aktiverat MFA på varje enskild tjänst.

Färre lösenordsåterställningar

Ett lösenord att komma ihåg innebär färre "glömt lösenord"-mejl och mindre tid på IT-support. Ditt team kan faktiskt fokusera på arbetet.

Granskningsspår

Se vem som fick åtkomst till vad och när, allt i en logg. Väsentligt för efterlevnad, användbart vid felsökning och bra att ha om något går fel.

Egenhostad SSO-alternativ

Enterprise SSO-leverantörer som Okta eller Azure AD tar betalt per användare per månad. För ett team på 20 personer handlar det om 20 000-50 000 kr årligen innan du ens börjat. Egenhostade alternativ ger dig samma funktionalitet till kostnaden av en liten server.

Authentik

Vår rekommendation för små team. Authentik är en modern identitetsleverantör som stöder SAML, OAuth2, OIDC och LDAP. Gränssnittet är rent, dokumentationen gedigen och den körs bra på blygsam hårdvara.

SAML 2.0 OAuth2/OIDC LDAP SCIM WebAuthn/FIDO2

Keycloak

Det mest mogna open source-alternativet, backat av Red Hat. Keycloak är mer komplext att konfigurera än Authentik, men extremt kraftfullt. Bättre lämpat om du har Java-kompetens i teamet eller behöver avancerade federationsfunktioner.

Enterprise-klass Identitetsförmedling Användarfederation Finkornig auktorisering

Authelia

Lättviktsalternativ fokuserat på att skydda webbapplikationer bakom en reverse proxy. Utmärkt för att lägga till SSO för appar som inte har inbyggt stöd. Färre funktioner men enklare att driftsätta.

Lättvikt Proxy-baserat TOTP/WebAuthn Enkel konfiguration

Konfigurera Authentik: Steg för steg

Låt oss gå igenom hur du sätter upp Authentik, eftersom det erbjuder den bästa balansen mellan funktioner och enkelhet för små team.

Driftsätt med Docker Compose

Authentik tillhandahåller en officiell Docker Compose-fil. Du behöver en server med minst 2 GB RAM och Docker installerat.

# Ladda ner docker-compose.yml
wget https://goauthentik.io/docker-compose.yml

# Skapa en .env-fil med hemligheter
echo "PG_PASS=$(openssl rand -base64 36)" >> .env
echo "AUTHENTIK_SECRET_KEY=$(openssl rand -base64 36)" >> .env
echo "AUTHENTIK_BOOTSTRAP_PASSWORD=changeme" >> .env
echo "AUTHENTIK_BOOTSTRAP_EMAIL=admin@example.com" >> .env

# Starta Authentik
docker compose up -d

Konfigurera din domän

Peka en subdomän som auth.dindomän.se till din server. Konfigurera TLS-certifikat (Let's Encrypt fungerar utmärkt). Authentik ska bara nås via HTTPS.

Skapa användare och grupper

Logga in i administrationsgränssnittet, skapa dina teammedlemmar som användare och organisera dem i grupper. Grupper gör behörighetshantering enklare. Du kan ge applikationsåtkomst till "Utveckling" istället för enskilda användare.

Konfigurera MFA

Aktivera multifaktorautentisering och kräv det för alla användare. Authentik stöder TOTP (autentiseringsappar), WebAuthn (hårdvarunycklar) och SMS (rekommenderas inte). Inför detta krav från dag ett. Att eftermontera MFA senare är smärtsamt.

Anslut dina applikationer

För varje applikation skapar du en "Provider" (hur Authentik kommunicerar med appen) och en "Application" (vad användarna ser). De flesta moderna appar stöder OAuth2/OIDC. Äldre appar kan behöva SAML. Vissa behöver LDAP-integration.

Vanliga integrationsmönster

Olika applikationer integrerar med SSO på olika sätt. Här är vad du kan förvänta dig:

Appar med inbyggt SSO-stöd

Tjänster som Grafana, GitLab, Nextcloud och de flesta moderna SaaS-appar har inbyggt OAuth2- eller SAML-stöd. Konfigurationen är enkel: skapa inloggningsuppgifter i Authentik, ange dem i appens SSO-inställningar.

Exempel: GitLab, Grafana, Nextcloud, Mattermost, Outline, n8n

Appar bakom en proxy

Vissa appar stöder inte SSO inbyggt men kan lita på autentiseringsheaders från en reverse proxy. Authentiks forward auth-funktion integrerar med Traefik, nginx och Caddy för att skydda dessa appar.

Exempel: Äldre interna verktyg, enkla webbappar, dokumentationssajter

Appar som kräver LDAP

Äldre företagsprogramvara stöder ofta bara LDAP-autentisering. Authentik tillhandahåller en LDAP-utpost som presenterar dina användare och grupper i ett LDAP-kompatibelt format.

Exempel: Vissa VPN:er, äldre wikis, äldre företagsprogramvara

Bästa praxis för säkerhet

Ditt SSO-system blir nyckeln till hela ditt rike. Skydda det därefter.

→ Kräv MFA för alla. Inga undantag. Ett komprometterat SSO-konto utan MFA innebär att varje ansluten applikation är komprometterad.

→ Separata adminkonton. Ditt dagliga arbetskonto bör inte vara Authentik-admin. Använd dedikerade adminkonton med extra säkerhetskontroller.

→ Regelbunden testning av säkerhetskopior. Säkerhetskopiera din Authentik-databas och testa återställningar. Om din SSO går ner kan ingen komma åt någonting.

→ Övervaka inloggningsförsök. Sätt upp varningar för misslyckade inloggningar, inloggningar från nya platser och adminåtgärder. Authentik tillhandahåller granskningsloggar. Använd dem.

→ Ha en nödprocedur. Dokumentera hur du kommer åt kritiska system om SSO är otillgängligt. Förvara dessa inloggningsuppgifter säkert (krypterade, offline, kända av flera personer).

→ Håll det uppdaterat. SSO-system är högt värderade mål. Applicera säkerhetspatchar omgående.

Planera din utrullning

Försök inte SSO-ansluta allt på en gång. En stegvis approach minskar störningar och låter dig lära dig under vägen.

Föreslagen utrullningsordning

Interna verktyg först

Wiki, dokumentation, interna dashboards. Låg risk om något går sönder, bra övningsmark.

Utvecklingsverktyg

Git, CI/CD, projekthantering. Ditt team använder dessa dagligen. SSO här visar omedelbart värde.

Kommunikationsverktyg

Chatt, e-post (om egenhostat). Dessa drar nytta av centraliserad åtkomststyrning.

Produktionssystem

Övervakning, infrastrukturåtkomst. Gör dessa sist, med extra omsorg och testning.

Vad gäller externa SaaS-tjänster?

Många SaaS-applikationer stöder SSO, men ofta bara på dyra enterprise-planer. Här behöver du göra pragmatiska val.

Värt enterprise-uppgraderingen

✓ Tjänster med åtkomst till känslig data
✓ Applikationer med hög personalomsättning
✓ System som är kritiska för efterlevnad

Alternativ att överväga

→ Egenhosta där det är möjligt
→ Använd lösenordshanterare för icke-SSO-appar
→ Välj leverantörer som inkluderar SSO

Kom igång

SSO är en av de investeringar som ger avkastning omedelbart. Mindre lösenordströtthet för ditt team, bättre säkerhetsställning, enklare onboarding och offboarding, och en grund för mer sofistikerad åtkomststyrning i takt med att ni växer.

Börja med Authentik, anslut dina mest använda interna applikationer och utöka därifrån. Inom en dag kan du ha en fungerande SSO-uppsättning som matchar det storföretag betalar tusentals kronor för.

Behöver du hjälp med att implementera SSO? Vi specialiserar oss på att konfigurera egenhostad identitetshantering för små team. Från initial driftsättning till applikationsintegration kan vi få din SSO att fungera smidigt.