Czym jest pojedyncze logowanie?
- Słownik IAM
- Czym jest pojedyncze logowanie?
Pojedyncze logowanie (SSO) to technologia uwierzytelniania, która umożliwia użytkownikowi dostęp do wielu aplikacji i usług za pomocą jednego zestawu poświadczeń logowania. Głównym celem SSO jest zmniejszenie liczby sytuacji, w których użytkownik musi wprowadzać swoje poświadczenia, i ułatwienie mu dostępu do wszystkich zasobów, których potrzebuje, bez konieczności wielokrotnego logowania.
Platformy SSO odgrywają integralną rolę w większości organizacyjnych systemów zarządzania tożsamością i dostępem (IAM). Ponadto, za każdym razem, kiedy użytkownik korzysta z konta w mediach społecznościowych do zalogowania się na innej stronie internetowej, np. „Zaloguj się przez Facebooka", używa SSO.
Jak działa pojedyncze logowanie?
Systemy SSO działają poprzez ustanowienie relacji zaufania pomiędzy użytkownikiem, dostawcą tożsamości (IdP) oraz stronami internetowymi i aplikacjami korzystającymi z logowania SSO, które są znane jako dostawcy usług. Oto ogólny zarys tego procesu:
Użytkownik loguje się do dostawcy tożsamości. Użytkownik podaje swoją nazwę użytkownika i hasło do IdP, który weryfikuje tożsamość użytkownika i uwierzytelnia sesję.
Dostawca tożsamości generuje token. Ten token stanowi coś w rodzaju tymczasowego cyfrowego dowodu tożsamości, który zawiera informacje o tożsamości i sesji użytkownika. Token, który jest przechowywany w przeglądarce użytkownika lub na serwerach usługi SSO, będzie wykorzystywany do przekazywania informacji o tożsamości użytkownika od IdP do dostawcy usługi.
Użytkownik uzyskuje dostęp do dostawcy usługi. Kiedy użytkownik próbuje uzyskać dostęp do strony internetowej lub aplikacji, ta strona lub aplikacja żąda uwierzytelnienia od IdP.
IdP wysyła token do strony internetowej lub aplikacji. IdP bezpiecznie wysyła zaszyfrowany token jednorazowy do aplikacji lub witryny, do której użytkownik chce się zalogować.
Strona internetowa lub aplikacja wykorzystuje informacje zawarte w tokenie do weryfikacji tożsamości użytkownika. Po pomyślnej weryfikacji dostawca usługi przyznaje użytkownikowi dostęp, a ten może zacząć korzystać ze strony lub aplikacji.
Czy pojedyncze logowanie jest bezpieczne?
Tak. W rzeczywistości pojedyncze logowanie jest powszechnie uważane za bezpieczniejsze niż tradycyjne systemy uwierzytelniania za pomocą nazwy użytkownika i hasła, ponieważ SSO zmniejsza liczbę haseł, które użytkownicy muszą pamiętać, co zniechęca użytkowników do stosowania złych praktyk związanych z bezpieczeństwem haseł, takich jak tworzenie słabych haseł i ponownego używania haseł na wielu kontach.
Jednak, jak w przypadku każdej innej technologii, systemy SSO muszą być odpowiednio skonfigurowane i utrzymywane, aby osiągnąć optymalne bezpieczeństwo. Ponadto systemy SSO muszą być używane wraz z innymi narzędziami i protokołami IAM, w tym uwierzytelnianiem wieloskładnikowym, kompleksowym menedżerem haseł w przedsiębiorstwie i kontrolą dostępu opartą na rolach.
Typy pojedynczego logowania
Wszystkie systemy SSO mają ten sam cel: umożliwić użytkownikom jednorazowe uwierzytelnienie i dostęp do wielu aplikacji i systemów bez konieczności ponownego logowania. Jednak poszczególne protokoły i standardy mogą się różnić w zależności od systemu. Oto kilka najczęstszych terminów, z którymi spotkasz się podczas pracy z SSO:
- Sfederowane SSO jest powszechnie stosowane w bardzo dużych organizacjach, które mają wiele aplikacji i systemów rozmieszczonych w różnych działach i lokalizacjach. Zapewnia ono pojedynczy dostęp do wielu systemów w różnych organizacjach.
- Internetowe SSO jest często używany przez organizacje typu „cyfrowi tubylcy”, których pracownicy pracują wyłącznie z aplikacjami i usługami w chmurze.
- Security Assertion Markup Language (SAML) nie jest „typem” SSO, ale standardowym formatem danych służącym do wymiany poświadczeń i danych autoryzacji między stronami. SAML jest powszechnie stosowany w internetowych systemach SSO.
- Kerberos to sieciowy protokół uwierzytelniania, który zapewnia bezpieczne uwierzytelnianie usług sieciowych za pomocą systemu cyfrowych „biletów”. W przeciwieństwie do SAML, który jest używany do uwierzytelniania aplikacji internetowych, Kerberos jest technologią zaplecza, którą można znaleźć w korporacyjnych sieciach lokalnych (LAN).
- Lightweight Directory Access Protocol (LDAP) to protokół usług katalogowych służący do przechowywania i pobierania danych o użytkownikach i zasobach. Rozwiązania SSO oparte na LDAP umożliwiają organizacjom wykorzystanie istniejącej usługi katalogowej LDAP do zarządzania użytkownikami na potrzeby SSO. Ponieważ jednak LDAP nie został zaprojektowany do natywnej współpracy z aplikacjami internetowymi, organizacje zazwyczaj używają swojego serwera LDAP jako autorytatywnego „źródła prawdy” – innymi słowy, jako dostawcy tożsamości – w połączeniu z SSO opartym na SAML.
Zalety i wady pojedynczego logowania
Podstawowe zalety SSO to:
Wygoda i lepsze wrażenia użytkowników: SSO eliminuje konieczność pamiętania przez użytkowników wielu nazw użytkownika i haseł, dzięki czemu mogą oni szybciej i łatwiej uzyskać dostęp do potrzebnych im usług.
Większe bezpieczeństwo: SSO daje administratorom IT możliwość scentralizowanego zarządzania tożsamościami użytkowników, co pomaga zwiększyć bezpieczeństwo poprzez lepszą widoczność i kontrolę nad tym, kto ma dostęp do czego. Może to pomóc w zapobieganiu nieautoryzowanemu dostępowi do wrażliwych informacji.
Zwiększona produktywność: Administratorzy mogą poświęcić mniej czasu na zarządzanie tożsamościami użytkowników, a użytkownicy nie muszą tracić czasu na zmaganie się z hasłami. Rozwiązanie SSO może też znacznie ograniczyć lub nawet wyeliminować zgłoszenia do działu pomocy technicznej dotyczące zapomnianych haseł.
Podstawowe wady SSO to:
Pojedynczy punkt awarii: Jeśli system SSO ulegnie awarii, użytkownicy nie będą mogli uzyskać dostępu do żadnej z usług, które na nim polegają, co może spowodować znaczne zakłócenia. Podobnie, jeśli system SSO zostanie skompromitowany, osoby atakujące uzyskują dostęp do wszystkich powiązanych dostawców usług. Dlatego tak ważne jest zabezpieczenie poświadczeń SSO za pomocą uwierzytelniania wieloskładnikowego.
Złożoność: Wdrożenie systemu SSO może być skomplikowane i wymaga znacznych nakładów czasu i zasobów.
Wrażliwość: Jeśli system SSO nie jest odpowiednio utrzymywany, osoby atakujące mogą go potencjalnie naruszyć i uzyskać dostęp do wielu usług.
Ograniczenia: Nie wszystkie aplikacje obsługują SSO, zwłaszcza starsze aplikacje specyficzne dla określonej linii biznesowej, które wykonują krytyczne funkcje biznesowe i niełatwo je refaktoryzować lub wymienić. Lukę tę wypełnia zaawansowany menedżer haseł dla przedsiębiorstw.
Jak wdrożyć pojedyncze logowanie
Wdrożenie systemu pojedynczego logowania to poważny projekt informatyczny, który musi być starannie przeprowadzony. Oto główne kroki, które należy wykonać.
Pamiętaj, aby unikać używania poczty elektronicznej, wiadomości tekstowych lub rozmów telefonicznych jako składnika uwierzytelniającego, chyba że witryna lub aplikacja nie obsługuje innych metod.
Zdefiniowanie wymagań: Określ, jakie usługi i aplikacje będą objęte wdrożeniem SSO, a także wymagania dotyczące bezpieczeństwa i kontroli dostępu dla każdej z nich. Nie zapomnij o wymaganiach dotyczących bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe, zarządzanie hasłami i kontrola dostępu oparta na rolach.
Wybór rozwiązania SSO: Wybierz rozwiązanie SSO lub kombinację rozwiązań, które spełni Twoje wymagania.
Konfiguracja dostawcy tożsamości: Skonfiguruj komponent IdP rozwiązania SSO. Twój IdP będzie odpowiedzialny za uwierzytelnianie użytkowników i przekazywanie informacji o ich tożsamości dostawcom usług.
Integracja dostawców usług: Zintegruj poszczególne strony internetowe i aplikacje z rozwiązaniem SSO. Wymaga to skonfigurowania każdego dostawcy usług do komunikacji z IdP w celu otrzymania informacji o tożsamości użytkownika i weryfikacji autentyczności sesji SSO.
Testowanie wdrożenia SSO: Wybierz niewielką grupę testową użytkowników i upewnij się, że nadal mogą uzyskać dostęp do potrzebnych usług i aplikacji za pomocą jednego zestawu poświadczeń.
Wdrożenie rozwiązania SSO w całym przedsiębiorstwie: W zależności od potrzeb i środowiska danych, może to oznaczać wdrożenie komponentów IdP i dostawców usług na oddzielnych serwerach lub zintegrowanie ich z istniejącą infrastrukturą.
Monitorowanie i obsługa rozwiązania SSO: Regularnie monitoruj rozwiązanie SSO, aby upewnić się, że działa ono prawidłowo, i rozwiązuj wszelkie pojawiające się problemy.
Należy pamiętać, że wdrożenie SSO wymaga znacznych nakładów czasu i środków, a sam proces może potrwać kilka miesięcy. Ważne jest też, by współpracować z doświadczonymi informatykami, którzy mają wiedzę na temat rozwiązań SSO i najlepszych praktyk bezpieczeństwa, co zapewni udane wdrożenie.