BLOG | eabil-PLC
Profile

Bil'ticle

Artikel 5: Efisiensi Autentikasi Pengguna Menggunakan Protokol Single Sign-On (SSO) - Perwira Learning Center

By nabil alifah rahman • Maret 15, 2026

 


 

1. Latar Belakang

Di era digital saat ini, rata-rata seorang pengguna internet memiliki lebih dari 100 akun online dengan kombinasi username dan password yang berbeda-beda. Kondisi ini menciptakan apa yang para ahli keamanan sebut sebagai "password fatigue" — kelelahan mengelola terlalu banyak kata sandi yang berujung pada kebiasaan berbahaya: menggunakan password yang sama di banyak platform.

Dalam konteks ekosistem pembayaran digital seperti NexusPay, pengguna perlu mengakses berbagai layanan terintegrasi: aplikasi mobile, portal merchant, dashboard analitik, sistem loyalitas, dan layanan mitra. Tanpa sistem autentikasi yang efisien, setiap akses ke layanan berbeda akan membutuhkan login ulang — sebuah hambatan yang secara langsung menurunkan pengalaman pengguna dan meningkatkan risiko keamanan.

2. Pengertian Single Sign-On (SSO)

Single Sign-On (SSO) adalah metode autentikasi yang memungkinkan pengguna untuk mengakses beberapa aplikasi atau sistem independen hanya dengan satu kali proses login menggunakan satu set kredensial (username dan password).

Menurut Wikipedia (2026), SSO adalah skema autentikasi yang mengizinkan pengguna login dengan satu ID ke berbagai sistem perangkat lunak yang saling terkait namun independen. Konsep ini pertama kali dikembangkan untuk lingkungan enterprise dan kini telah menjadi standar global di berbagai platform digital konsumer.

Analogi Sederhana: Bayangkan sebuah gedung perkantoran bertingkat. Tanpa SSO, setiap karyawan harus menunjukkan KTP berbeda di setiap lantai dan setiap ruangan. Dengan SSO, satu kali scan kartu akses di pintu utama akan membuka semua ruangan yang berhak diakses karyawan tersebut sepanjang hari — tanpa perlu menunjukkan identitas lagi.

2.1 Perbedaan SSO vs Same-Sign On

Penting untuk membedakan SSO sejati dengan Same-Sign On (SSO palsu):

  • True SSO: Login satu kali → Akses semua aplikasi secara otomatis tanpa memasukkan password lagi. Ada trust relationship kriptografis antar sistem.
  • Same-Sign On (SSO Palsu): Username dan password yang sama di semua sistem, tetapi pengguna masih harus login ulang di setiap aplikasi. Ini bukan SSO sejati.

3. Konsep Dasar & Komponen SSO

Sistem SSO dibangun atas tiga aktor utama yang saling berinteraksi dalam satu ekosistem kepercayaan:

3.1 User (Pengguna)
Orang atau entitas yang ingin mengakses layanan. Hanya perlu melakukan autentikasi satu kali di awal sesi.

3.2 Identity Provider (IdP)
Sistem pusat yang memverifikasi identitas pengguna dan menerbitkan token autentikasi. Contoh: Google, Okta, Microsoft Entra ID, Auth0.

3.3 Service Provider (SP)
Aplikasi atau layanan yang ingin diakses pengguna. SP mempercayai IdP untuk memverifikasi identitas. Contoh: Aplikasi NexusPay, Portal Merchant.

3.4 Authentication Token
Bukti digital terenkripsi yang diterbitkan IdP setelah login berhasil. Token ini yang membuktikan identitas pengguna ke semua SP tanpa perlu login ulang.

3.5 Session Manager
Komponen yang mengelola masa aktif sesi SSO. Menentukan kapan token kedaluwarsa dan kapan pengguna perlu autentikasi ulang.

3.6 Trust Relationship
Hubungan kepercayaan kriptografis antara IdP dan SP, dibuktikan dengan sertifikat digital yang ditandatangani. Ini fondasi keamanan SSO.

3.1 Konsep Federated Identity

SSO adalah bagian dari konsep yang lebih besar bernama Federated Identity — sistem di mana identitas pengguna bisa diakui dan dipercaya oleh beberapa sistem berbeda meskipun masing-masing dikelola secara independen.

Federated Identity menangani tiga aspek utama:

  • Authentication (Autentikasi): Memverifikasi "Siapa kamu?" — memastikan identitas pengguna valid.
  • Authorization (Otorisasi): Menentukan "Apa yang boleh kamu lakukan?" — mengatur akses ke sumber daya tertentu.
  • Identity Federation: Berbagi informasi identitas yang terverifikasi secara aman antar sistem yang berbeda.


4. Protokol-Protokol SSO: OAuth, OIDC, dan SAML

Tidak ada satu cara tunggal untuk mengimplementasikan SSO. Ada beberapa protokol standar industri yang digunakan, masing-masing dengan kelebihan dan konteks penggunaan yang berbeda:

4.1 Otorisasi
OAuth 2.0
Standar terbuka untuk otorisasi (bukan autentikasi). Memungkinkan aplikasi pihak ketiga mengakses sumber daya pengguna tanpa membagikan password. Menggunakan format token JSON (JWT).
Digunakan untuk: Login via Google/Facebook, akses API pihak ketiga, integrasi layanan cloud.
 
4.2 Autentikasi Modern
OpenID Connect (OIDC)
Lapisan autentikasi di atas OAuth 2.0. Menggunakan JSON Web Token (JWT) yang ringan dan mendukung aplikasi mobile secara native. Standar masa kini untuk consumer-facing SSO.
Digunakan untuk: Aplikasi mobile, SaaS modern, web apps, social login. Direkomendasikan NexusPay.
 
4.3 Enterprise SSO
SAML 2.0
Standar lama berbasis XML. Digunakan luas di enterprise dan pemerintahan. Lebih kompleks tapi sangat mature dan didukung hampir semua platform SaaS (97% mendukung SAML SSO).
Digunakan untuk: Enterprise B2B, integrasi sistem perbankan legacy, pemerintahan, healthcare.
 
4.4 On-Premises
Kerberos
Protokol autentikasi berbasis tiket untuk jaringan lokal (on-premises). Menggunakan kriptografi simetris. Sangat umum di lingkungan Windows Active Directory.
Digunakan untuk: Autentikasi intranet perusahaan, Windows domain login, sistem legacy on-prem.


Perbandingan Protokol SSO


5. Cara Kerja SSO di NexusPay

Bagaimana tepatnya SSO bekerja saat pengguna mengakses NexusPay? Mari kita telusuri alur lengkapnya langkah demi langkah:

5.1 Alur Autentikasi Pertama Kali (First Login)

1
User Mengakses Aplikasi NexusPay
Pengguna membuka aplikasi NexusPay (Service Provider / SP). SP mengecek: apakah pengguna sudah memiliki sesi aktif? Tidak ada sesi ditemukan, SP mengirimkan Authentication Request ke Identity Provider (IdP).
2
Redirect ke Identity Provider
Browser pengguna di-redirect ke halaman login IdP (misalnya: login.nexuspay.id atau Google Sign-In). URL redirect berisi parameter keamanan seperti: client_id, scope, state (anti-CSRF), dan redirect_uri.
3
Pengguna Memasukkan Kredensial
Pengguna memasukkan username dan password hanya di halaman IdP — bukan di halaman aplikasi SP. Ini penting: SP tidak pernah melihat password pengguna. Jika MFA aktif, langkah verifikasi tambahan dilakukan di sini.
4
IdP Memverifikasi Identitas
IdP mencocokkan kredensial dengan database pengguna. Jika valid, IdP membuat Authentication Token (JWT) yang berisi: user ID, email, roles/permissions, waktu token diterbitkan, dan waktu kedaluwarsa token.
5
Token Dikirim ke Service Provider
IdP mengirimkan signed token kembali ke SP melalui secure redirect. SP memverifikasi tanda tangan token menggunakan public key IdP. Jika valid, pengguna berhasil masuk. Sesi SSO dibuat di browser pengguna.
6
Akses Layanan Lain Tanpa Login Ulang
Ketika pengguna membuka layanan lain dalam ekosistem NexusPay (Portal Merchant, Dashboard Analitik, sistem Loyalty), SP yang baru cukup mengirim request ke IdP. IdP mendeteksi sesi aktif dan langsung mengeluarkan token baru tanpa meminta login ulang.


5.2 Struktur JSON Web Token (JWT)

Token yang diterbitkan IdP NexusPay menggunakan format JWT dengan tiga bagian terenkripsi (Header, Payload, Signature):


 

6. Multi-Factor Authentication (MFA)

SSO memberikan kenyamanan, tetapi juga menciptakan risiko: jika satu akun berhasil diretas, semua layanan terintegrasi ikut terekspos. Untuk mengatasi ini, NexusPay mengintegrasikan SSO dengan Multi-Factor Authentication (MFA).

MFA = Pertahanan Terkuat

Microsoft melaporkan bahwa MFA dapat mencegah 99.9% serangan berbasis akun. Sementara itu, laporan SSOJet 2025 menunjukkan bahwa di enterprise besar, 89% sudah menerapkan MFA untuk semua pengguna. Namun di UKM, angkanya masih hanya 34% — celah keamanan yang signifikan.

MFA mengharuskan pengguna membuktikan identitas dengan setidaknya dua dari tiga faktor autentikasi:

6.1 Adaptive MFA

NexusPay menggunakan Adaptive MFA — sistem yang secara cerdas menentukan kapan MFA diperlukan berdasarkan analisis risiko real-time:

  • Low Risk (Biometrik saja): Login dari perangkat yang sudah dikenal, lokasi biasa, jam normal, perilaku normal.
  • Medium Risk (Password + OTP): Login dari browser baru, atau lokasi berbeda dari biasanya.
  • High Risk (Full MFA): Login dari negara berbeda, IP mencurigakan, atau transaksi di atas batas tertentu.

 

7. Risiko & Mitigasi Keamanan SSO

Seperti dua sisi mata uang, SSO membawa keuntungan besar sekaligus risiko yang perlu diwaspadai dan dimitigasi:

7.1 Global Session Revocation

Fitur kritis dalam SSO NexusPay adalah kemampuan Global Session Revocation — pengguna dapat langsung logout dari SEMUA perangkat dan semua layanan sekaligus dengan satu klik dari aplikasi utama. Ini sangat berguna jika:

  • Perangkat hilang atau dicuri
  • Pengguna curiga akunnya diakses orang lain
  • Pengguna ingin memastikan tidak ada sesi aktif yang tersisa 
  •  

8. Praktik Audit Keamanan Akun Digital          

Tiga latihan bertahap untuk memahami SSO dari pengguna hingga implementasi konseptual


1. Inventarisasi Semua Akun Online Anda

Coba ingat dan catat semua akun online yang Anda miliki: email, media sosial, e-commerce, e-wallet, streaming, pekerjaan, dll. Apakah Anda menggunakan password yang sama atau mirip di beberapa akun? Ini bahaya!

2. Identifikasi SSO yang Sudah Anda Gunakan

Perhatikan tombol-tombol berikut di berbagai aplikasi: "Masuk dengan Google", "Login with Facebook", "Sign in with Apple". Setiap kali kamu menggunakan tombol ini, Anda sedang menggunakan SSO berbasis OIDC/OAuth 2.0! Tandai aplikasi mana saja yang menggunakannya.

3. Aktifkan MFA di 3 Akun Paling Penting

Pilih 3 akun paling penting kamu (email utama, e-wallet, akun kerja). Buka pengaturan keamanan masing-masing dan aktifkan Two-Factor Authentication (2FA) atau MFA menggunakan app Google Authenticator atau Microsoft Authenticator. Lakukan sekarang!


9. Kesimpulan

Single Sign-On (SSO) adalah solusi strategis bagi ekosistem NexusPay yang membutuhkan autentikasi seamless di berbagai layanan terintegrasi. Dengan SSO, pengguna hanya perlu login satu kali untuk mengakses semua layanan — meningkatkan pengalaman pengguna sekaligus mengurangi risiko keamanan akibat password fatigue.

Tiga protokol utama SSO — OAuth 2.0, OpenID Connect (OIDC), dan SAML 2.0 — memiliki peran berbeda: OIDC adalah tulang punggung SSO modern untuk aplikasi consumer-facing, OAuth 2.0 mengelola otorisasi API, dan SAML 2.0 tetap relevan untuk integrasi enterprise/legacy. Kombinasi OIDC + OAuth 2.0 adalah pilihan ideal untuk NexusPay.

SSO tanpa MFA adalah risiko besar. Karena satu akun yang dibobol bisa membuka semua layanan terintegrasi, MFA adalah lapisan keamanan wajib. Adaptive MFA yang cerdas — menerapkan autentikasi berlapis hanya saat risiko tinggi — adalah pendekatan optimal antara keamanan dan kenyamanan.

JWT adalah format token standar yang digunakan SSO modern. Penting dipahami bahwa JWT hanya di-encode, bukan dienkripsi — keamanannya bergantung pada signature kriptografis, bukan kerahasiaan konten.

Untuk pemula: Mulailah dari yang konkret — aktifkan MFA di akun-akun penting Anda hari ini, gunakan password manager, dan jadikan "Login with Google" sebagai pilihan pertama ketika tersedia. Pahami bahwa setiap kali Anda menggunakan tombol tersebut, Anda sedang memanfaatkan SSO berbasis OIDC dalam kehidupan nyata.

10. Daftar Pustaka

  1. API.co.id. (2026). Keamanan API: OAuth 2.0 untuk Autentikasi & Otorisasi. https://api.co.id/blog/keamanan-api-oauth-2-0-untuk-autentikasi-otorisasi/
  2. Auth0 by Okta. (2025). Single Sign-On Documentation. https://auth0.com/docs/authenticate/single-sign-on
  3. Auth0. (2024). What is and How Does Single Sign-On Work? https://auth0.com/blog/what-is-and-how-does-single-sign-on-work/
  4. CISA (Cybersecurity and Infrastructure Security Agency). (2024). Barriers to SSO Adoption for SMBs. U.S. Department of Homeland Security. https://www.cisa.gov/sites/default/files/2024-06/Barriers-to-SSO-Adoption-for-SMB-508c.pdf
  5. Cloudflare. (2025). What is SSO? How Single Sign-On Works. https://www.cloudflare.com/learning/access-management/what-is-sso/
  6. DEV Community / Maayan, G. (2024). SSO Authentication in 2024: A Practical Guide. https://dev.to/giladmaayan/sso-authentication-in-2024-a-practical-guide-1979
  7. Expert Insights / Harris, C. (2025). Single Sign-On in 2025: A Deep Dive into SSO Stats & Security Trends. https://expertinsights.com/user-auth/single-sign-stats-and-trends
  8. Fortinet. (2025). What is SAML vs OAuth? Key Differences and Comparisons. https://www.fortinet.com/resources/cyberglossary/saml-vs-oauth
  9. Frontegg. (2025). What SSO Means in 2025: A Modern Guide to Single Sign-On. https://frontegg.com/guides/single-sign-on-sso
  10. Indodax Academy. (2026). SAML dan SSO: Cara Kerja dan Bedanya. https://indodax.com/academy/saml-dan-sso/
  11. iLogo / Radware Indonesia. (2025). Identitas Modern: Mengapa Kini Saatnya Beralih ke SAML, OIDC, dan Cloud Identity Provider. https://radware.ilogoindonesia.id
  12. Matomo. (2025). Understanding SSO: Why Single Sign-On is Critical for Enterprise Security. https://matomo.org/blog/2025/10/understanding-sso-single-sign-on-for-enterprise-security