Mi az az egyszeri bejelentkezés (SSO) és a közösségi bejelentkezés: teljes útmutató

Az egyszeri bejelentkezés, ismertebb nevén SSO, a modern digitális élmény elengedhetetlen részévé vált. Lehetővé teszi, hogy egy személy csak egyszer azonosítsa magát, és onnantól kezdve több alkalmazáshoz is hozzáférjen a hitelesítő adatok megismétlése nélkül. A kényelem óriási, és ha jól alkalmazzák, a biztonság terén is magasra teszi a lécet..

Azonban nem minden megy zökkenőmentesen: ha egy SSO-fiók rossz kezekbe kerül, a behatoló számos szolgáltatáshoz férhet hozzá. Ezért az SSO erős jelszavakat, bevált biztonsági gyakorlatokat és mindenekelőtt többtényezős hitelesítést igényel, hogy további ajtókat zárjon be a támadók elől..

Mi az az SSO és miért fontos?

Az SSO egy hitelesítési módszer, amelynek során a felhasználó egyszer bejelentkezik, és hozzáférést kap több kapcsolódó, de független rendszerhez. Az ötlet egyszerű: kevesebb megjegyezhető jelszó, kevesebb súrlódás és gördülékenyebb felhasználói élmény az alkalmazásokban és a weboldalakon.Tipikus példa erre az ökoszisztéma, Googleahol a bejelentkezéssel hozzáférést lehet olyan szolgáltatásokhoz, mint a Gmail vagy a YouTube, a hitelesítő adatok megismétlése nélkül.

Ez a megközelítés illeszkedik az identitás- és hozzáférés-kezelési keretrendszerekbe, és nagyon gyakran integrálva van az összevont identitásmodellekkel. Az eredmény egy egységes élmény, amely intelligens tervezés esetén a biztonság feláldozása nélkül javítja a termelékenységet..

Hogyan működik: SP, IdP és az alapvető folyamat

Az SSO két fő szereplőt foglal magában: a szolgáltatót, amely az az alkalmazás vagy webhely, amelybe belépni szeretnénk, és az identitásszolgáltatót, amely hitelesíti a felhasználót. A modell középpontjában a két fél közötti bizalom áll, amelyet szabványok és tokenek biztosítanak..

1. A személy egy olyan alkalmazáshoz vagy webhelyhez fér hozzá, amely szolgáltatóként működik.
2. A szolgáltató hitelesítési kérést vagy tokent küld az identitásszolgáltatónak.
3. Az identitáskezelő rendszer válaszol az SSO-hitelesítés megerősítéséhez szükséges információkkal.
4. Adott esetben a felhasználót felkérjük, hogy azonosítsa magát és töltse ki a szükséges tényezőket.
5. Miután a hitelesítő adatok érvényesítése megtörtént, a hozzáférés megadásra kerül, és a munkamenet kiterjesztésre kerül más csatlakoztatott alkalmazásokra újraindítás nélkül.

Érdemes megjegyezni, hogy az SSO szolgáltatások általában nem tárolják maguk a teljes identitást; Általánosságban elmondható, hogy összehasonlítják a hitelesítő adatokat egy mögöttes identitáskezelési szolgáltatással, és tokeneket bocsátanak ki vagy ellenőriznek..

Munkavédelmi kockázatok és azok enyhítésének módjai

A fő kockázat a dominóhatás: a feltört hitelesítő adatokkal a támadó egyszerre több alkalmazáshoz is hozzáférhet. Az első védelmi vonalat a hosszú, összetett jelszavak jelentik, amelyeket bárhol is tárolunk, jól védünk..

Ehhez jön még az iparág szinte egyhangú ajánlása: 2FA vagy MFA. Adjon hozzá egy további tényezőt, például egy kódot a mobiltelefonján, egy USB ujjlenyomat-olvasó vagy személyazonosító okmány, drasztikusan csökkenti az ellopott hitelesítő adatoknak való kitettséget.

Egyszeri bejelentkezés és többtényezős hitelesítés: természetes szövetségesek

Az egyszeri bejelentkezés leegyszerűsíti a hozzáférést, a többtényezős hitelesítés pedig olyan ellenőrzési rétegeket ad hozzá, amelyek blokkolják a jogosulatlan hozzáférést. Kombinációjuk sokkal erősebb biztonsági helyzetet kínál, minimális hatással a felhasználói élményre..

Összevont identitás, egyszeri bejelentkezés és ugyanaz a bejelentkezés

Összevont identitáskezelés

Az identitás-összevonás lehetővé teszi a különböző szolgáltatók alkalmazásai számára, hogy egy közös keretrendszeren keresztül megosszák és validálják az identitásokat. Ez lehetővé teszi, hogy valaki bejelentkezzen egy alkalmazásba, majd újra bejelentkezés nélkül hozzáférjen a többihez, ha bizalom van a domainek között..

SSO kontra identitások föderációja

A föderáció egy tágabb ernyőszervezet az identitások kezelésére és hitelesítésére a domainek és szolgáltatók között. Az egyszeri bejelentkezés egy specifikus funkció ezen a keretrendszeren belül, amely korlátozható egyetlen szolgáltató szolgáltatásaira, vagy több szolgáltató között is kihasználható..

Ugyanaz a bejelentkezés vagy ugyanazok a hitelesítő adatok

Az „ugyanazon bejelentkezés” fogalma arra utal, hogy ugyanazokat a szinkronizált hitelesítő adatokat használjuk különböző eszközökön, mintha egy jelszókezelő ami kitölti a hozzáférési pontokat. Ez nem ugyanaz, mint az egyszeri bejelentkezés, mivel minden alkalmazásba be kell jelentkezni, bár azonos hitelesítő adatokkal..

SSO vs. azonos bejelentkezés

Az SSO-ban a kezdeti hitelesítés elegendő a kapcsolódó szolgáltatások közötti ugráshoz; ugyanazon bejelentkezéskor a felhasználó minden alkalommal megismétli a bejelentkezést ugyanazokkal a kulcsokkal. A gyakorlatban az egyszeri bejelentkezés csökkenti a bejelentkezési kéréseket és központosítja az ellenőrzést; az azonos bejelentkezés szabványosítja a hitelesítő adatokat, de nem szünteti meg az újrabejelentkezést..

Kulcsfontosságú protokollok és technológiák

SAML

Ez az XML-alapú nyelv leírja, hogyan kell becsomagolni és továbbítani a hitelesítési és engedélyezési állításokat egy identitásszolgáltató és egy szolgáltató között. A SAML népszerű a vállalati környezetekben, és nagyon hasznos az azonos szabványt követő internetes alkalmazásokhoz..

A SAML önmagában nem garantálja az üzenetek integritását; kiegészítő mechanizmusokra, például digitális aláírásokra támaszkodik annak biztosítására, hogy a tartalom ne módosuljon. Ezért fontos az aláírások bevezetése és az állítások szigorú validálása..

Kerberos

Az MIT-n, az Athena Projekt keretében született Kerberos egy szimmetrikus titkosításon alapuló teljes hitelesítési és jogosultságépítési architektúrát definiál. DES titkosítással kezdődött, ma pedig az AES-t alkalmazza, amely hosszabb kulcsokat és köröket kínál, amelyek fokozzák a biztonságot..

Szimmetrikus kulcsa miatt egy megbízható harmadik félnek kell kezelnie a kulcsokat és a jegyeket, így tökéletesen illeszkedik vállalati hálózatokba, helyi hálózatokba és... VPN. A nyílt interneten ritkábban használják, Microsoft környezetekben pedig az NTLM helyett az alapértelmezett beállítás..

OAuth 2.0

Ez egy jogosultságkezelési keretrendszer, nem pedig hitelesítési keretrendszer, amelynek célja, hogy lehetővé tegye a kliensalkalmazások számára a felhasználó nevében a védett erőforrásokhoz való hozzáférést. A folyamat magában foglalja a klienst, a tokeneket kibocsátó jogosultságkiszolgálót és a tokeneket validáló erőforráskiszolgálót..

Az engedélyek a kontextus vagy az eszköztípus szerint módosíthatók, változó hatókörrel és jogosultságokkal. Például egy okostévének általában nincs szüksége ugyanolyan szintű hozzáférésre, mint egy laptopnak..

OpenID Connect

Az OIDC OAuth-on keresztüli identitáskezelést biztosít, JSON és REST szolgáltatásokat használva, hogy natív legyen az interneten. Nyilvános kulcsú titkosítást és JSON webes tokeneket használ, ami megkönnyíti a nagyszabású integrációt és ellenőrzést..

J.W.T.

A JSON webes tokenek tömörek, aláírtak, és alkalmasak fejlécek és URL-ek küldésére. Hitelesítés után azonosító tokent, valamint hozzáférési tokeneket biztosítanak az erőforrásokhoz, X.509 tanúsítványokon alapuló érvényesítéssel..

A JWT-k alapértelmezés szerint nincsenek titkosítva, ezért biztonságos kapcsolatokon keresztül kell utazniuk, és nem tartalmazhatnak bizalmas adatokat. Ez a minta illeszkedik a REST architektúrákhoz, ahol az állapot minden kéréssel együtt halad..

LDAP

A könnyűsúlyú címtár-hozzáférési protokollt a helyi hálózaton lévő erőforrások megkeresésére és a felhasználók és csoportok attribútumainak tárolására hozták létre. Nem alkalmas általános internetes használatra, és az alapértelmezett hitelesítése gyenge TLS-védelem nélkül..

Lehetővé teszi az alkalmazottak és a holmik adatainak bővítését, de a nagyon részletes jogosultságokat nem kezeli zökkenőmentesen. Manapság más rétegekkel kombinálják a finomabb hozzáférés-vezérlési igények kielégítésére..

Hitelesítés intelligens kártyával és jelszóval

Az intelligens kártyarendszerek és a jelszavak nyilvános kulcsú titkosításra támaszkodnak, ahol az eszközön található biztonságos privát kulcs írja alá a tranzakciókat, és egy nyilvános kulcsot megosztanak az érvényesítéshez. A modern eszközök integrálódnak TPMBiztonságos Enklávé vagy azzal egyenértékű, például Android Knox a kulcsok védelméhez.

Ha egy eszköz elveszik, és a támadó ismeri a tulajdonos jelszavát, a titkosítás önmagában nem akadályozza meg az eszköz használatát. Az intelligens kártyák lehetővé teszik az újrafelhasználható kulcspárok átvitelét eszközök között egy olvasó vagy NFC segítségével. A jelszavak világában már léteznek olyan platformok, amelyek SDK-kat és komponenseket kínálnak, hogy nagyon rövid időn belül integrálhatók legyenek az SSO-val..

Felhőbeli és helyszíni egyszeri bejelentkezés Microsoft bejelentkezési azonosítóval

A Microsoft Entra ID-ben az egyszeri bejelentkezési beállítás az alkalmazás hitelesítési módjától függően változik. Ideális esetben a stratégiát az alkalmazások létrehozása vagy beépítése előtt kell megtervezni, és az alkalmazásportált használni a könnyebb kezelés érdekében..

Szövetségi

Amikor az SSO-t különböző identitásszolgáltatók között konfiguráljuk, azt föderációnak nevezzük. Ez a legteljesebb opció, amely olyan protokollokon alapul, mint a SAML 2.0, a WS Federation vagy az OpenID Connect.Ebben a sémában a Microsoft Entra a saját fiókjával hitelesíti a felhasználót, és az alkalmazás megbízik ebben az eredményben.

Előfordulhatnak olyan helyzetek, amikor az SSO opció nem jelenik meg egy vállalati alkalmazásban: ha az alkalmazást az alkalmazásregisztrációk részben regisztrálták, a hitelesítés OpenID Connecttel van konfigurálva, és az opció nem feltétlenül jelenik meg a vállalati alkalmazás navigációjában. Ebben az esetben az OIDC az OAuth 2.0-ra támaszkodik a hitelesítő adatok felfedése nélküli engedélyezéshez.Továbbá nem lesz elérhető, ha az alkalmazás egy másik bérlőnél található, vagy ha a fiók nem rendelkezik megfelelő jogosultságokkal felhőalkalmazás-rendszergazdaként, alkalmazás-rendszergazdaként vagy szolgáltatásentitás tulajdonosaként.

Jelszó alapú

A helyi alkalmazások választhatják a jelszó alapú egyszeri bejelentkezést, különösen alkalmazásproxy használata esetén. A felhasználónévvel és jelszóval történő első bejelentkezés után a rendszer biztonságosan reprodukálja a hitelesítő adatokat egy böngészőbővítményen vagy mobilalkalmazáson keresztül.Ez akkor hasznos, ha kihasználni szeretné az alkalmazásban meglévő bejelentkezést, és engedélyezni szeretné a rendszergazdának a jelszavak kezelését anélkül, hogy a felhasználó tudná azokat.

Összekapcsolva

A kapcsolt bejelentkezés segít egységes felhasználói élményt biztosítani az áttelepítés során. Lehetővé teszi a különböző alkalmazásokra mutató linkek közzétételét a portálon, bár nem kínál valódi egyszeri bejelentkezést a Microsoft Loginon keresztül.Ebben az esetben az MFA és a feltételes hozzáférés nem alkalmazható a csatolt alkalmazásra, és egy fióknak léteznie kell a célalkalmazásban, automatikusan vagy manuálisan kiépítve.

Tiltva

Ha az egyszeri bejelentkezés le van tiltva, a felhasználóknak kétszer kell hitelesíteniük magukat, először a Microsoft bejelentkezéskor, majd az alkalmazásban. Ez egy érvényes lehetőség, ha az alkalmazás még nem lesz integrálva, tesztelés alatt áll, vagy ha hitelesítést szeretne kényszeríteni egy olyan helyi alkalmazáson, amelyhez korábban nem volt szükség rá.Megjegyzés: Ha az alkalmazás szolgáltató által kezdeményezett SAML-t használ, és az SSO le van tiltva, a felhasználók továbbra is be tudnak jelentkezni az alkalmazásportálon kívül; ennek megakadályozása érdekében a felhasználó bejelentkezési képességét le kell tiltani.

hogy alkalmazások A felhőben az összevonási protokollok ajánlottak. Helyi környezetekben az Application Proxy lehetővé teszi a távoli hozzáférést és a biztonságos közzétételt. A módszer megválasztása attól függ, hogy hol található az alkalmazás, hogyan irányítja a forgalmat, és milyen protokollokat támogat..

Felhasználói élmény és alkalmazásportál

A legtöbb felhasználó a protokollok figyelembevétele nélkül szeretne bejelentkezni és elkezdeni dolgozni. A Saját alkalmazások néven ismert alkalmazásportál központosítja a hozzáférést, és csökkenti a jelszavak folyamatos megadásának szükségességét..

IdP által kezdeményezett vs. SP által kezdeményezett

Egy identitásszolgáltató által kezdeményezett folyamatban a munkamenet azzal kezdődik, hogy az IdP egy állítást küld a szolgáltatónak. Ha az SP kezdeményezi, a felhasználó először az alkalmazáshoz fér hozzá, amely átirányítja őt az IdP-hez a hitelesítéshez és a biztonságos visszatéréshez..

Társadalombiztosítás: előnyök és óvintézkedések

Olyan platformok, mint a Google, Facebook A LinkedIn lehetővé teszi, hogy hitelesítő adataiddal hozzáférj harmadik féltől származó szolgáltatásokhoz. A kényelem tagadhatatlan, de a közösségi média platformon található sebezhetőség dominóhatást válthat ki más összekapcsolt fiókokban; például nézze meg, hogyan Jelentse Gmail-bejelentkezését.

Céges SSO és webes SSO

Nagy szervezetekben a vállalati SSO vagy eSSO a vállalati hálózat határain belül működik. Szimmetrikus titkosításra támaszkodhat, előnyben részesítheti a SAML-t, és kombinálhat több hitelesítési tényezőt a biztonságosabb eszközök és hozzáférés érdekében.A SaaS-alkalmazások térnyerésével a vállalatok döntenek az internetorientáltabb keretrendszerek, például az OAuth bevezetése és az alkalmazások vállalati struktúrába való integrálása között; sokan mindkét megközelítést elfogadják.

Nyilvános webes alkalmazások esetén az OAuth és az OpenID Connect kombinációja általában a természetes választás. Ezek széles körben elfogadott szabványok, amelyeket úgy terveztek, hogy több területen is skálázhatók legyenek, és összhangban legyenek a modern fejlesztési elvárásokkal..

Zéró bizalom, adaptív szabályzatok és bevált gyakorlatok

A robusztus SSO-rendszerek kontextuális ellenőrzéseket és kockázatalapú szabályzatokat tartalmaznak: helyszín, eszköz, hálózati biztonsági állapot vagy használati szokások. A kockázatalapú MFA alkalmazása és az adaptív döntések meghozatala segít összehangolni az SSO-t a zéró bizalom megközelítéssel..

Az adatvédelemmel kapcsolatban a kommunikációt erős algoritmusokkal, például AES 256-tal vagy RSA 2048-cal kell titkosítani, az aláírási tokenek és az assertion-ök mellett. A felhasználói képzés, a világos szabályzatok meghatározása és az időszakos auditok teszik teljessé a működési biztonsági háromszöget..

SSO és Active Directory: Főbb különbségek

Az SSO egy hozzáférés-vezérlési tulajdonság, amely lehetővé teszi a felhasználó számára, hogy egyszer hitelesítse magát, és több kapcsolódó rendszerhez is hozzáférjen a hitelesítő adatok újbóli megadása nélkül. Az Active Directory egy olyan címtárszolgáltatás, amely központosítja az információkat, a szabályzatokat és a biztonságot egy adott infrastruktúrában. Windows.

Az AD lekérdezése és kezelése LDAP-n keresztül történik, és felhasználók, számítógépek, csoportok és engedélyek nagy léptékű rendszerezésére szolgál, a kis hálózatoktól a több domainnel rendelkező nagyméretű telepítésekig. Míg az AD tárolja és kezeli az identitást, az SSO zökkenőmentes hozzáférést biztosít az alkalmazások között az identitás kihasználásával..

Az SSO kényelmet és letisztultabb hozzáférés-kezelést kínál, de megköveteli a főkulcs MFA-val és kockázatalapú ellenőrzésekkel történő védelmét. Az olyan protokollok, mint a SAML, az OAuth és az OpenID Connect, valamint a Kerberos, a JWT, az LDAP és az intelligens kártyákhoz hasonló technológiák lehetővé teszik olyan megoldások létrehozását, amelyek lokálisan, a felhőben és nagy léptékben is működnek a biztonság veszélyeztetése nélkül..