Что такое единый вход?
- Глоссарий IAM
- Что такое единый вход?
Единый вход (Single Sign-On - SSO) — это технология аутентификации, позволяющая пользователю получать доступ к нескольким приложениям и службам с одним набором учетных данных для входа. Основные цели SSO — сократить количество раз, когда пользователю приходится вводить свои учетные данные, и упростить пользователям доступ ко всем необходимым ресурсам без необходимости многократного входа в систему.
Платформы SSO играют неотъемлемую роль в большинстве систем управления идентификацией и доступом (IAM) организаций. Кроме того, всякий раз, когда пользователь использует учетную запись социальной сети для входа на другой веб-сайт (например, «Войти через Facebook»), он использует систему единого входа.
Как работает единый вход?
Системы единого входа работают путем установления доверительных отношений между пользователем, поставщиком удостоверений (IdP) и веб-сайтами и приложениями, использующими вход единый вход, которые называются поставщиками услуг. Вот общий обзор процесса:
Пользователь входит в систему поставщика удостоверений. Пользователь предоставляет свое имя пользователя и пароль поставщику удостоверений, который проверяет личность пользователя и аутентифицирует сеанс.
Поставщик удостоверений генерирует токен. Этот токен можно уподобить временному цифровому удостоверению личности, которое содержит информацию о личности пользователя и сеансе. Этот токен, который хранится либо в браузере пользователя, либо на серверах службы единого входа, будет использоваться для передачи идентификационной информации пользователя от поставщика удостоверений поставщику услуг.
Пользователь обращается к поставщику услуг. Когда пользователь пытается получить доступ к веб-сайту или приложению, этот сайт или приложение запрашивает аутентификацию у поставщика удостоверений.
Поставщик удостоверений отправляет токен на веб-сайт или в приложение. Поставщик удостоверений безопасно отправляет зашифрованный одноразовый токен приложению или веб-сайту, в который пользователь хочет войти.
Веб-сайт или приложение использует информацию в токене для проверки личности пользователя. После подтверждения личности пользователя поставщик услуг предоставляет пользователю доступ, и пользователь может начать использовать сайт или приложение.
Безопасен ли единый вход?
Да. В действительности, единый вход признанно считается более безопасным, чем традиционные системы аутентификации по имени пользователя и паролю, поскольку SSO уменьшает количество паролей, которые пользователи должны помнить, что способствует отказу пользователей от плохих практик обращения с паролями, таких как создание ненадежных паролей и повторное использование паролей в нескольких учетных записях.
Однако, как и в случае с любой другой технологией, системы единого входа должны быть правильно настроены и поддерживаться для обеспечения оптимальной безопасности. Кроме того, системы единого входа должны использоваться наряду с другими инструментами и протоколами IAM, включая многофакторную аутентификацию, полноценный корпоративный менеджер паролей и средства управления доступом на основе ролей.
Типы систем единого входа
Все системы единого входа имеют одну и ту же конечную цель: позволить пользователям пройти аутентификацию один раз и получить доступ к нескольким приложениям и системам без повторного входа в систему. Однако конкретные протоколы и стандарты могут варьироваться от системы к системе. Вот некоторые из наиболее распространенных терминов, с которыми вы столкнетесь при работе с SSO:
- Федеративный единый вход распространен в очень крупных организациях, в которых есть множество приложений и систем, распределенных по разным подразделенным и местоположениям. Федеративный единый вход обеспечивает единый доступ к нескольким системам в разных организациях.
- Веб-система единого входа часто используется «цифровыми» организациями, сотрудники которых работают исключительно с облачными приложениями и службами.
- Язык разметки декларации безопасности (Security Assertion Markup Language - SAML) — это не «тип» SSO, а стандартный формат данных для обмена данными аутентификации и авторизации между сторонами. SAML обычно используется в веб-системах единого входа.
- Kerberos — это протокол сетевой аутентификации, обеспечивающий безопасную аутентификацию для сетевых служб с использованием цифровой системы «билетов». В отличие от SAML, который используется для аутентификации в веб-приложениях, Kerberos основывается на технологии «клмент-сервер», используемой в корпоративных локальных сетях (LAN).
- Облегченный протокол доступа к каталогам (LDAP) — это протокол службы каталогов, используемый для хранения и извлечения данных о пользователях и ресурсах. Решения единого входа на основе LDAP позволяют организациям использовать существующую службу каталогов LDAP для управления пользователями единого входа. Однако, поскольку LDAP изначально не предназначен для работы с веб-приложениями, организации обычно используют свой сервер LDAP в качестве авторитетного «источника достоверности» — другими словами, в качестве поставщика удостоверений — в сочетании с SSO на основе SAML.
Преимущества и недостатки единого входа
К основным преимуществам единого входа относятся:
Удобство для пользователей: Единый вход избавляет пользователей от необходимости запоминать множество имен пользователей и паролей, и они могут быстрее и проще получать доступ к нужным им службам.
Повышенная безопасность: Решение единого входа предоставляет ИТ-администраторам централизованное управление учетными записями пользователей, что способствует повышению безопасности благодаря тому, что администраторы получают лучшую видимость и контроль над тем, кто и к чему имеет доступ. Это может способствовать предотвращению несанкционированного доступа к конфиденциальной информации.
Повышенная производительность: Администраторы могут тратить меньше времени на управление учетными данными пользователей, а пользователям не нужно тратить время на возню с паролями. Решение единого входа также может значительно сократить или даже исключить обращения в службу поддержки из-за забытых паролей.
К основным недостаткам единого входа относятся:
Единая точка отказа: Если система единого входа выйдет из строя, пользователи не смогут получить доступ ни к одной из служб, которые полагаются на нее по части аутентификации, что может приводить к серьезным сбоям. Точно так же, если система единого входа скомпрометирована, злоумышленники получают доступ ко всем поставщикам услуг, которые полагаются на нее. Вот почему так важно защитить учетные данные системы единого входа с помощью многофакторной аутентификации..
Сложность: Внедрение системы единого входа может быть сложным и требовать значительных затрат времени и ресурсов.
Уязвимость: Если система единого входа не поддерживается должным образом, злоумышленники могут в принципе скомпрометировать ее и получить доступ к целому ряду служб.
Ограничения: Не все приложения поддерживают систему единого входа, особенно устаревшие бизнес-приложения, которые все еще выполняют важные внутренние бизнес-функции и не поддаются легкому рефакторингу или замене. Этот пробел восполняет надежный корпоративный менеджер паролей.
Как реализовать единый вход
Внедрение решения для единого входа представляет собой крупный ИТ-проект, к которому необходимо подходить с особой тщательностью. Вот основные шаги, которым необходимо следовать.
Помните, что не следует использовать электронную почту, текстовые сообщения или телефонные звонки в качестве фактора аутентификации, если только сайт или приложение не поддерживают другие методы.
Определите свои требования: Определите, какие службы и приложения будут включены в реализацию единого входа, а также требования безопасности и контроля доступа для них. Не забывайте о требованиях безопасности, таких как многофакторная аутентификация, управление паролями и управление доступом на основе ролей.
Выберите решение единого входа: Выберите решение единого входа или комбинацию решений в соответствии со своими требованиями.
Настройте поставщика удостоверений: Настройте компонент IdP решения единого входа. Ваш поставщик удостоверений будет нести ответственность за аутентификацию пользователей и предоставление их идентификационной информации поставщикам услуг.
Интегрируйте поставщиков услуг: Интегрируйте каждый веб-сайт и приложение с решением единого входа. Это включает в себя настройку каждого поставщика услуг для связи с IdP для получения идентификационной информации пользователя и проверки подлинности сеанса единого входа.
Протестируйте реализацию единого входа: Выберите небольшую тестовую группу пользователей и убедитесь, что они по-прежнему могут получать доступ к необходимым службам и приложениям с помощью единого набора учетных данных.
Разверните решение единого входа на всем предприятии: В зависимости от ваших потребностей и среды данных это может включать развертывание компонентов IdP и поставщика услуг на отдельных серверах или их интеграцию в существующую инфраструктуру.
Мониторьте и поддерживайте решение единого входа: Регулярно проверяйте решение SSO, чтобы убедиться, что оно работает правильно, и устраняйте возникающие проблемы.
Важно иметь в виду, что внедрение единого входа требует значительных затрат времени и ресурсов, и на завершение процесса может потребоваться несколько месяцев. Также важно работать с опытными ИТ-специалистами, досконально разбирающимися в решениях единого входа и передовых методах обеспечения безопасности, чтобы обеспечить успешное внедрение.