Hampir setiap layanan digital meminta Anda membuat akun baru: email, media sosial, aplikasi kantor, portal kampus, sampai layanan pemerintah. Survei NordPass pada 2024 menemukan rata-rata orang mengelola sekitar 168 password pribadi, ditambah 87 password untuk urusan pekerjaan. Angka sebesar itu memunculkan kebiasaan berbahaya: memakai ulang password yang sama di banyak tempat, atau memilih password yang mudah ditebak.
Industri teknologi menjawab masalah ini dengan membalik pendekatannya. Alih-alih menambah password baru untuk setiap aplikasi, mengapa tidak membuat satu login berlaku di semua tempat? Konsep inilah yang melahirkan SSO. SSO adalah singkatan dari single sign on, metode autentikasi yang memungkinkan Anda mengakses banyak aplikasi berbeda hanya dengan satu kali login.
Kemungkinan besar Anda sudah memakainya setiap hari tanpa sadar — saat membuka Gmail lalu berpindah ke YouTube tanpa login ulang, saat masuk portal akademik kampus, atau saat menekan tombol "Masuk dengan Google" di aplikasi baru. Dalam artikel ini, kita akan membahas apa itu SSO, cara kerjanya, contoh penerapannya, sampai risiko yang perlu Anda waspadai.
Apa Itu SSO?
SSO atau single sign on adalah metode autentikasi yang membuat satu kali proses login berlaku untuk banyak aplikasi atau website sekaligus. Autentikasi sendiri adalah proses memverifikasi bahwa Anda benar-benar pemilik akun — umumnya lewat kombinasi username dan password. Dengan SSO, verifikasi itu hanya terjadi satu kali. Setelah identitas Anda terkonfirmasi, aplikasi lain yang terhubung menerima bukti verifikasi tersebut tanpa meminta Anda login ulang.
Perbedaannya dengan login biasa terletak pada siapa yang memverifikasi. Pada login konvensional, setiap aplikasi menyimpan daftar username dan password sendiri, lalu memeriksanya sendiri. Sepuluh aplikasi berarti sepuluh akun, sepuluh password, dan sepuluh proses login terpisah. Pada single sign on, tugas verifikasi dipindahkan ke satu pihak pusat yang dipercaya oleh semua aplikasi. Aplikasi tidak lagi menyimpan password Anda — mereka menerima semacam surat keterangan bahwa Anda sudah lolos pemeriksaan.
Pemusatan ini yang menjadi kekuatan sekaligus kelemahan SSO. Kita akan membahas dua sisinya secara berimbang di bagian selanjutnya.
Cara Kerja SSO: Resepsionis Pusat di Balik Satu Login
Bayangkan sebuah gedung perkantoran dengan puluhan kantor di dalamnya. Alih-alih setiap kantor memeriksa KTP Anda satu per satu, gedung tersebut menempatkan satu resepsionis pusat di lobi. Resepsionis memeriksa identitas Anda sekali, lalu memberikan kartu akses. Selanjutnya, setiap kantor menerima Anda hanya dengan melihat kartu itu — mereka percaya pemeriksaan sudah dilakukan di lobi.
SSO bekerja dengan pembagian peran yang sama. Ada dua aktor utama: identity provider atau IdP (pihak pusat yang memverifikasi identitas dan menerbitkan bukti login — sang "resepsionis") dan service provider atau SP (aplikasi yang ingin Anda gunakan — "kantor-kantor" di dalam gedung). Bukti loginnya berbentuk token (berkas digital berisi identitas Anda yang ditandatangani secara kriptografis sehingga sulit dipalsukan).
Alur lengkapnya kurang lebih seperti ini:
- Anda membuka aplikasi: aplikasi (SP) mendeteksi Anda belum login.
- Aplikasi mengalihkan Anda ke halaman login SSO: browser diarahkan ke IdP, bukan ke form login milik aplikasi itu sendiri.
- Anda login di IdP: di sinilah satu-satunya tempat password Anda diketik.
- IdP mencatat sesi Anda: status "sedang login" ini disimpan sebagai session, biasanya lewat cookie di browser.
- IdP mengembalikan Anda ke aplikasi sambil membawa token: browser diarahkan balik secara otomatis.
- Aplikasi memverifikasi token, lalu membuka akses: Anda masuk tanpa aplikasi pernah mengetahui password Anda.
Manfaat SSO baru benar-benar terasa di aplikasi kedua. Karena IdP masih mengingat session Anda, langkah login dilewati sepenuhnya. Anda berpindah dari satu aplikasi ke aplikasi lain tanpa melihat halaman login sama sekali.
Diagram alur kerja SSO dari login hingga akses aplikasi.
Tiga Protokol yang Menjalankan SSO
Supaya aplikasi buatan vendor yang berbeda-beda bisa saling percaya, pertukaran token harus mengikuti standar terbuka. Ada tiga protokol yang paling sering Anda temui:
- SAML 2.0: standar paling senior (dirilis 2005) yang umum dipakai di lingkungan perusahaan. Bukti login dikirim sebagai assertion (dokumen XML berisi pernyataan bahwa Anda sudah terautentikasi). Pola khasnya: karyawan login sekali ke sistem kantor, lalu langsung masuk ke aplikasi kerja seperti Salesforce atau Workday.
- OAuth 2.0: protokol yang paling sering disalahpahami. Fungsinya bukan autentikasi, melainkan otorisasi — memberi izin sebuah aplikasi mengakses data Anda di layanan lain tanpa menyerahkan password. Contohnya saat aplikasi jadwal meminta izin membaca Google Calendar Anda.
- OpenID Connect (OIDC): lapisan autentikasi yang dibangun di atas OAuth 2.0. Bukti loginnya berbentuk JSON Web Token (JWT, token ringkas berformat JSON). Inilah protokol di balik tombol "Masuk dengan Google" atau "Sign in with Apple".
| Protokol | Fungsi utama | Bentuk bukti | Umumnya dipakai di |
|---|---|---|---|
| SAML 2.0 | Autentikasi | Assertion XML | Aplikasi kantor/enterprise |
| OAuth 2.0 | Otorisasi (izin akses data) | Access token | Integrasi antar-aplikasi |
| OIDC | Autentikasi | ID token (JWT) | Login aplikasi consumer |
Untuk pemakaian sehari-hari, Anda tidak perlu menghafal detail ketiganya. Yang penting dipahami: SAML dan OIDC menangani urusan login, sementara OAuth 2.0 mengurus izin akses data.
Contoh SSO yang Anda Pakai Setiap Hari
Contoh paling dekat adalah ekosistem Google. Sekali login ke akun Google, Anda otomatis masuk ke Gmail, Drive, YouTube, dan Calendar — semuanya menumpang satu session di IdP milik Google. Microsoft 365 bekerja serupa untuk Outlook, Teams, dan OneDrive, begitu pula Apple ID untuk iCloud dan App Store. Adapun tombol "Masuk dengan Google" di aplikasi pihak ketiga merupakan varian yang disebut social login (login memakai identitas dari platform media sosial atau akun besar lain).
Di Indonesia, istilah akun SSO justru paling akrab di lingkungan institusi. Hampir semua kampus besar menerapkannya: satu akun mahasiswa untuk sistem akademik, e-learning, perpustakaan digital, sampai Wi-Fi kampus. BPJS Ketenagakerjaan memakai portal SSO untuk layanan peserta seperti pengecekan saldo JHT. Pemerintah menerapkan pola yang sama lewat platform ASN Digital milik BKN — SSO ASN adalah sistem login tunggal berbasis NIP yang membuka akses ke layanan kepegawaian seperti SIASN dan e-Kinerja.
Beragamnya contoh di atas menunjukkan satu hal: halaman login SSO kini menjadi gerbang utama identitas digital, dari urusan hiburan sampai urusan negara.
Diagram satu akun pengguna terhubung ke layanan consumer dan institusi.
Mengapa Organisasi Beralih ke SSO
Bagi pengguna, manfaat SSO sederhana: lebih sedikit password yang diingat, lebih sedikit waktu terbuang untuk login. Bagi organisasi, alasannya lebih terukur:
- Beban dukungan TI berkurang: estimasi Gartner yang banyak dikutip industri menyebut 20–50% panggilan ke help desk berkaitan dengan urusan password, sementara Forrester memperkirakan biaya satu kali reset password lewat help desk sekitar 70 dolar AS (sekitar Rp1,1 juta). Semakin sedikit password yang dikelola, semakin kecil kedua angka itu.
- Produktivitas meningkat: password fatigue (kelelahan akibat terlalu banyak password yang harus diingat dan diketik) berkurang drastis karena login berulang dihilangkan.
- Kontrol akses terpusat: saat seorang karyawan mengundurkan diri, tim TI hanya perlu menonaktifkan satu akun di IdP — seluruh aksesnya ke semua aplikasi tercabut seketika. Tanpa SSO, akses harus dicabut aplikasi per aplikasi, dan satu saja yang terlewat menjadi lubang keamanan.
- Permukaan serangan phishing menyempit: karena password hanya pernah diketik di satu halaman login resmi, halaman lain yang tiba-tiba meminta password lebih mudah dikenali sebagai upaya phising.
Sisi Lain SSO: Satu Kunci untuk Semua Pintu
Semua kemudahan tadi lahir dari satu keputusan desain: memusatkan kepercayaan pada satu pihak. Konsekuensi buruknya pun ikut terpusat, dan inilah yang perlu Anda pertimbangkan:
- Satu kebocoran menjalar ke semua layanan: jika kredensial akun IdP Anda dicuri, penyerang mewarisi akses ke seluruh aplikasi yang terhubung. Ancaman ini nyata — laporan Verizon Data Breach Investigations Report 2025 mencatat 88% serangan terhadap aplikasi web dasar memanfaatkan kredensial curian.
- IdP tumbang, semua ikut lumpuh: saat server IdP mengalami gangguan, Anda tidak bisa masuk ke satu pun aplikasi yang bergantung padanya, meskipun aplikasi-aplikasi itu sendiri sehat. Bagi organisasi, gangguan pada IdP setara dengan gangguan pada semua sistem sekaligus.
- Integrasi tidak selalu mulus: aplikasi lama yang belum mendukung SAML atau OIDC butuh penanganan khusus. Berpindah dari satu IdP ke IdP lain juga berarti mengonfigurasi ulang integrasi di setiap aplikasi — pekerjaan yang tidak kecil.
Risiko pertama pernah terjadi dalam skala besar. Pada Oktober 2023, penyerang membobol sistem dukungan pelanggan Okta — salah satu penyedia layanan SSO terbesar di dunia — dan mencuri berkas berisi session token milik 134 pelanggan korporat. Sebagian kecil session itu sempat dibajak; Cloudflare dan 1Password termasuk yang mengumumkan adanya percobaan penyusupan ke sistem mereka. Insiden ini menjadi pengingat bahwa memusatkan identitas berarti memusatkan target serangan.
Kabar baiknya, risiko-risiko ini bisa ditekan dengan tiga kebiasaan konkret. Pertama, aktifkan 2FA pada akun SSO Anda — ini wajib, bukan opsional. Kedua, untuk aplikasi sensitif, batasi masa berlaku session; 8–12 jam adalah rentang yang umum untuk aplikasi kerja. Ketiga, khusus organisasi, siapkan akun darurat lokal di aplikasi paling kritis sebagai jalan masuk cadangan saat IdP bermasalah.
SSO dan MFA: Pasangan, Bukan Pilihan
Karena sama-sama menyangkut keamanan login, SSO sering dibandingkan dengan MFA (multi-factor authentication, autentikasi berlapis dengan faktor tambahan seperti kode OTP atau sidik jari). Pertanyaan yang sering muncul: lebih aman yang mana? Pertanyaan ini kurang tepat, sebab keduanya menjawab masalah yang berbeda. SSO mengurangi jumlah gerbang yang harus Anda lewati; MFA memperkuat gerbang yang tersisa.
Keduanya justru saling menguatkan. Melindungi satu akun pusat dengan MFA jauh lebih praktis daripada memasang MFA di puluhan aplikasi terpisah — cukup satu kali konfigurasi, seluruh aplikasi di belakangnya ikut terlindungi. Sebaliknya, SSO tanpa MFA berarti menggantungkan semua layanan pada satu password. Kombinasi yang sehat: SSO untuk kenyamanan dan kontrol terpusat, MFA untuk memastikan kredensial yang bocor tetap tidak bisa dipakai penyerang.
FAQ Seputar SSO
Apakah SSO aman?
Aman, selama akun pusatnya dijaga ketat. SSO mengurangi jumlah password yang bisa bocor dan memusatkan pengawasan login di satu titik. Namun titik itu menjadi sasaran bernilai tinggi, sehingga akun SSO wajib dilindungi MFA dan dikelola oleh IdP yang tepercaya.
Apa bedanya SSO dengan login biasa?
Pada login biasa, setiap aplikasi memverifikasi identitas Anda sendiri-sendiri dengan database password masing-masing. Pada SSO, verifikasi didelegasikan ke satu identity provider pusat, dan aplikasi hanya menerima bukti verifikasi berupa token.
Apa itu akun SSO kampus atau instansi?
Akun SSO adalah satu identitas digital — biasanya berbasis NIM untuk mahasiswa atau NIP untuk ASN — yang dipakai untuk masuk ke semua sistem internal institusi: portal akademik, e-learning, email, sampai aplikasi kepegawaian. Anda hanya perlu mengingat satu kredensial untuk semuanya.
Apakah "Masuk dengan Google" termasuk SSO?
Ya. Fitur itu adalah social login, varian SSO berbasis protokol OpenID Connect. Google bertindak sebagai identity provider, dan aplikasi yang Anda buka mempercayai hasil verifikasi Google tanpa perlu menyimpan password Anda.
Kesimpulan
SSO adalah metode autentikasi yang membuat satu kali login berlaku untuk banyak aplikasi sekaligus, dengan memindahkan tugas verifikasi ke satu identity provider pusat. Hasilnya: lebih sedikit password, login lebih cepat, dan kontrol akses yang terpusat — tetapi juga risiko yang terpusat, karena satu kredensial yang bocor atau satu IdP yang tumbang berdampak ke semua layanan.
Prinsip praktisnya sederhana. Sebagai pengguna, manfaatkan SSO untuk memangkas jumlah password, lalu lindungi akun pusat Anda dengan MFA dan password yang kuat. Sebagai pengelola organisasi, SSO layak diadopsi ketika jumlah aplikasi internal sudah lebih dari tiga sampai lima layanan — dengan catatan MFA diwajibkan sejak hari pertama dan jalur akses darurat disiapkan untuk sistem kritis.
Semoga artikel ini membantu.




