Единая точка входа - Single sign-on

Единая точка входа (SSO) - это схема аутентификации, которая позволяет пользователю авторизоваться с одним идентификатором и паролем к любой из нескольких связанных, но независимых программных систем.

Истинный единый вход позволяет пользователю войти в систему один раз и получить доступ к службам без повторного ввода факторов аутентификации.

Его не следует путать с одним и тем же входом в систему (аутентификация сервера каталогов), который часто выполняется с помощью Легкий протокол доступа к каталогам (LDAP) и хранимые базы данных LDAP на серверах (каталогов).[1][2]

Простая версия единого входа может быть достигнута через IP сети с помощью печенье но только если сайты используют общий родительский домен DNS.[3]

Для ясности следует различать аутентификацию сервера каталогов (одинаковый вход) и единый вход: аутентификация сервера каталогов относится к системам, требующим аутентификации для каждого приложения, но использующим одни и те же учетные данные с сервера каталогов, тогда как единый вход в систему относится к системам, в которых единая аутентификация обеспечивает доступ к нескольким приложениям, беспрепятственно передавая токен аутентификации настроенным приложениям.

Наоборот, единая подписка или же единый выход (SLO) - свойство, посредством которого одно действие по выходу прекращает доступ к нескольким программным системам.

Поскольку разные приложения и ресурсы поддерживают разные аутентификация Механизмы единого входа должны внутренне хранить учетные данные, используемые для начальной аутентификации, и преобразовывать их в учетные данные, необходимые для различных механизмов.

Другие схемы общей аутентификации, такие как OpenID и OpenID Connect, предлагать другие службы, которые могут требовать от пользователей выбора во время входа в ресурс, но могут быть настроены для единого входа, если эти другие службы (например, согласие пользователя) отключены.[4] Растущее число федеративных социальных сетей, например Facebook Connect, действительно требуют, чтобы пользователь вводил варианты согласия при первой регистрации на новом ресурсе, и поэтому не всегда используется единый вход в самом строгом смысле этого слова.

Преимущества

Преимущества использования единого входа:

  • Снижение риска доступа к сторонним сайтам (пароли пользователей не хранятся и не управляются извне)
  • Уменьшать усталость от пароля из разных комбинаций имени пользователя и пароля
  • Сократите время, затрачиваемое на повторный ввод паролей для одной и той же личности
  • Снижение затрат на ИТ за счет меньшего количества ИТ-специалистов служба поддержки звонки по поводу паролей[5]

SSO акции централизованные серверы аутентификации что все другие приложения и системы используют для целей аутентификации, и сочетает это с методами, гарантирующими, что пользователям не придется активно вводить свои учетные данные более одного раза.

Критика

Период, термин сокращенный вход в систему (RSO) использовалось некоторыми, чтобы отразить тот факт, что Единая точка входа нецелесообразно удовлетворять потребность в различных уровнях безопасного доступа на предприятии, и поэтому может потребоваться более одного сервера аутентификации.[6]

Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), это увеличивает негативное влияние в случае, если учетные данные доступны другим людям и используются не по назначению. Следовательно, единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и одноразовый пароль жетоны.[6]

Единый вход также делает системы аутентификации очень важными; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным под SSO. SSO может быть настроен с возможностью переключения сеанса при отказе, чтобы поддерживать работу системы.[7] Тем не менее, риск сбоя системы может сделать единый вход нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или системы производственного цеха.

Кроме того, использование методов единой регистрации с использованием социальные сети Такие как Facebook может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокируют сайты социальных сетей по соображениям производительности. Это также может вызвать трудности в странах с активным цензура режимы, такие как Китай и это "Проект Золотой Щит, "где сторонний веб-сайт не может подвергаться активной цензуре, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть.[8][9]

Безопасность

В марте 2012 г.[10] сообщил об обширном исследовании безопасности социальный вход механизмы. Авторы обнаружили 8 серьезных логических недостатков у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook, Janrain, Фрилансер, Фермерская вилла, и Sears.com. Поскольку исследователи проинформировали поставщиков идентификаторов и веб-сайты проверяющих сторон до публичного объявления об обнаружении недостатков, уязвимости были исправлены, и о нарушениях безопасности не сообщалось.[11]

В мае 2014 г. появилась уязвимость под названием Скрытое перенаправление был раскрыт.[12] Впервые о «уязвимости скрытого перенаправления, связанной с OAuth 2.0 и OpenID» сообщил его первооткрыватель Ван Цзин, студент-математик из Наньянский технологический университет, Сингапур.[13][14][15] На самом деле почти все[ласковые слова ] Затронуты протоколы единого входа. Covert Redirect использует сторонних клиентов, восприимчивых к XSS или Open Redirect.[16]

Конфиденциальность

Первоначально реализованный в Kerberos и SAML, единый вход не давал пользователям никакого выбора в отношении предоставления их личной информации каждому новому ресурсу, который посетил пользователь. Это работало достаточно хорошо в рамках одного предприятия, например MIT, где был изобретен Kerberos, или крупных корпораций, где все ресурсы были внутренними сайтами. Однако, поскольку федеративные службы, такие как Службы федерации Active Directory При массовом распространении личная информация пользователя была отправлена ​​на аффилированные сайты, не находящиеся под контролем предприятия, которое собирало данные от пользователя. Поскольку правила конфиденциальности теперь ужесточаются с такими законами, как GDPR, новые методы, такие как OpenID Connect стали более привлекательными; например, MIT, создатель Kerberos, теперь поддерживает OpenID Connect.[17]

Адрес электронной почты

Теоретически единый вход может работать без раскрытия идентифицирующей информации, такой как адрес электронной почты, проверяющей стороне (потребителю учетных данных), но многие поставщики учетных данных не позволяют пользователям настраивать, какая информация передается потребителю учетных данных. По состоянию на 2019 год для входа в Google и Facebook не требуется, чтобы пользователи сообщали адрес электронной почты потребителю учетных данных. 'Войти через Apple 'введено в iOS 13 позволяет пользователю запрашивать уникальный адрес электронной почты для ретрансляции каждый раз, когда пользователь подписывается на новую услугу, тем самым снижая вероятность привязки учетной записи потребителем учетных данных.[18]

Общие конфигурации

На основе Kerberos

  • Первоначальный вход запрашивает у пользователя учетные данные и получает Kerberos билет для выдачи билетов (TGT).
  • Дополнительные программные приложения, требующие аутентификации, например почтовые клиенты, вики, и ревизионный контроль системы используют билет для выдачи билетов для получения билетов на обслуживание, подтверждения личности пользователя на почтовом сервере / вики-сервере / и т. д. без запроса пользователя на повторный ввод учетных данных.

Windows среда - вход в Windows получает TGT. Active Directory -осведомленные приложения получают билеты службы, поэтому пользователю не предлагается повторно пройти аутентификацию.

Unix /Linux environment - Вход через Kerberos PAM модули загружают TGT. Керберизованные клиентские приложения, такие как Эволюция, Fire Fox, и SVN использовать служебные билеты, чтобы пользователю не предлагалось повторно пройти аутентификацию.

На основе смарт-карты

При первом входе пользователю предлагается ввести интеллектуальная карточка. Дополнительный программные приложения также используйте смарт-карту, не предлагая пользователю повторно ввести учетные данные. Единый вход на основе смарт-карты может использовать сертификаты или пароли, хранящиеся на смарт-карте.

Встроенная проверка подлинности Windows

Встроенная проверка подлинности Windows это термин, связанный с Microsoft продукты и относится к СПНЕГО, Kerberos, и NTLMSSP протоколы аутентификации в отношении SSPI функциональность, представленная в Microsoft Windows 2000 и включен позже Windows NT операционные системы на базе. Этот термин чаще всего используется для обозначения автоматически аутентифицируемых соединений между Microsoft. Информационные службы Интернета и Internet Explorer. Кроссплатформенность Active Directory поставщики интеграции распространили парадигму интегрированной аутентификации Windows на системы Unix (включая Mac) и GNU / Linux.

Язык разметки утверждения безопасности

Язык разметки утверждения безопасности (SAML) - это XML -основанный метод обмена информацией о безопасности пользователей между Поставщик удостоверений SAML и Поставщик услуг SAML. SAML 2.0 поддерживает W3C Шифрование XML и обмен единой регистрацией, инициируемый поставщиком услуг. Пользователь, использующий пользовательский агент (обычно веб-браузер), называется субъектом в системе единого входа на основе SAML. Пользователь запрашивает веб-ресурс, защищенный поставщиком услуг SAML. Поставщик услуг, желающий узнать личность пользователя, отправляет запрос аутентификации провайдеру идентификации SAML через пользовательский агент. Поставщик удостоверений - это тот, который предоставляет учетные данные пользователя. Поставщик услуг доверяет информация о пользователе от поставщика удостоверений для предоставления доступа к его услугам или ресурсам.

Новые конфигурации

Мобильные устройства как учетные данные для доступа

Был разработан новый вариант аутентификации с единым входом с использованием мобильных устройств в качестве учетных данных для доступа. Мобильные устройства пользователей могут использоваться для автоматического входа в различные системы, такие как системы контроля доступа к зданиям и компьютерные системы, с помощью методов аутентификации, которые включают OpenID Connect и SAML,[19] в сочетании с X.509 ITU-T криптография сертификат, используемый для идентификации мобильного устройства на сервере доступа.

Мобильное устройство - это «то, что у вас есть», в отличие от пароля, который является «чем-то, что вы знаете», или биометрических данных (отпечаток пальца, сканирование сетчатки глаза, распознавание лиц и т. Д.), Который означает «то, что вы есть». Эксперты по безопасности рекомендуют использовать как минимум два из этих трех факторов (многофакторная аутентификация ) для лучшей защиты.

Смотрите также

Рекомендации

  1. ^ "В чем разница между ч / б SSO (единый вход) и LDAP?". JumpCloud. 2019-05-14. Получено 2020-10-27.
  2. ^ «SSO и аутентификация LDAP». Authenticationworld.com. Архивировано из оригинал на 2014-05-23. Получено 2014-05-23.
  3. ^ «OpenID против сервера единого входа». Предполагаемый.org.uk. 2007-08-13. Получено 2014-05-23.
  4. ^ «OpenID Connect Single Sign-On (SSO)».
  5. ^ «Преимущества SSO». Университет Гвельфа. Получено 2014-05-23.
  6. ^ а б «Аутентификация с помощью единого входа». Authenticationworld.com. Архивировано из оригинал на 2014-03-15. Получено 2013-05-28.
  7. ^ "Руководство администратора Sun GlassFish Enterprise Server v2.1.1 High Availability". Oracle.com. Получено 2013-05-28.
  8. ^ Лоуренсон, Лидия (3 мая 2014 г.). «Эффект цензуры». TechCrunch. Архивировано из оригинал 7 августа 2020 г.. Получено 27 февраля 2015.
  9. ^ Честер, Кен (12 августа 2013 г.). «Цензура, внешняя аутентификация и другие уроки социальных сетей из Великого китайского файрвола». Технологии в Азии. Архивировано из оригинал 26 марта 2014 г.. Получено 9 марта 2016.
  10. ^ Руи Ван; Шуо Чен и Сяофэн Ван. «Вход меня в свои учетные записи через Facebook и Google: исследование безопасности коммерчески развернутых веб-служб единого входа с учетом трафика».
  11. ^ «OpenID: отчет об уязвимости, смешение данных» - OpenID Foundation, 14 марта 2012 г.
  12. ^ «Facebook, пользователям Google угрожает новая брешь в безопасности». Руководство Тома. 2 мая 2014. Получено 11 ноября 2014.
  13. ^ «Уязвимость скрытого перенаправления, связанная с OAuth 2.0 и OpenID». Тетраф. 1 мая 2014 г.. Получено 10 ноября 2014.
  14. ^ «Студент-математик обнаружил уязвимость безопасности OAuth, OpenID». Tech Xplore. 3 мая 2014 г.. Получено 10 ноября 2014.
  15. ^ «Facebook, пользователям Google угрожает новая брешь в безопасности». Yahoo. 2 мая 2014. Получено 10 ноября 2014.
  16. ^ «Ошибка скрытого перенаправления в OAuth - не следующая проблема». Symantec. 3 мая 2014 г.. Получено 10 ноября 2014.
  17. ^ MIT IST. «Авторизация OpenID Connect».
  18. ^ Гуд, Лорен (2019-06-15). "Создатели приложений разошлись по поводу входа в Apple"'". Проводной. ISSN  1059-1028. Получено 2019-06-15.
  19. ^ «Офис будущего MicroStrategy включает в себя мобильную идентификацию и кибербезопасность». Вашингтон Пост. 2014-04-14. Получено 2014-03-30.

внешняя ссылка