Что такое аутентификация с использованием единого входа(SSO)?

SSO

В самом простом объяснении аутентификация единого входа позволяет одному пользователю получать доступ к нескольким приложениям с использованием одинаковых учетных данных. Единый вход в систему также обычно называют «SSO». SSO обычно используется в системах уровня предприятия, которым требуется доступ к нескольким приложениям в пределах одной локальной сети, которая теперь расширена и включает глобальную сеть.

В большинстве случаев это реализуется с использованием LDAP (облегченного протокола доступа к каталогам). Внедренный механизм единого входа зависит от приложений. Часто SSO используется вместе с несколькими дополнительными методами аутентификации, такими как смарт-карты или токены одноразовых паролей.

Когда использовать SSO?

Единая регистрация имеет свои преимущества и, следовательно, применяется несколькими предприятиями уровня предприятия. SSO обычно используется, когда у вас есть несколько различных внутренних приложений, к которым должен обращаться один пользователь.

Это одна из причин, почему он так популярен в бизнесе уровня предприятия, где один пользователь может иметь доступ к нескольким внутренним приложениям. Эти приложения традиционно работали только через VPN или локальную сеть, но с популярностью их полезности, они были расширены через Интернет. В таких крупных организациях SSO помогает повысить производительность и минимизировать поддержку аутентификации для различных приложений. Помимо этого, SSO также может быть реализован через Интернет.

Хотя это популярно среди большинства организаций, некоторые сторонние поставщики, такие как Google, которые предоставляют список приложений, также принимают SSO. По данным Gartner, 30% услуг службы поддержки связаны с проблемами с паролями, а стоимость сброса одного пароля оценивается примерно в 70 долларов. SSO делает весь этот процесс упрощенным и экономически эффективным.

Как работает единый вход (SSO)?

Единый вход требует единого поставщика удостоверений, который отвечает за аутентификацию пользователей. В этом случае провайдер идентификации единого входа отправляет целевому приложению сигнал о том, что пользователь успешно прошел аутентификацию.

В сценарии без единого входа, если пользователь хочет получить доступ к двум приложениям: App1 и App2. Как правило, оба этих приложения будут иметь разные имена пользователей и пароли, и пользователь должен будет использовать соответствующие учетные данные для доступа к этим приложениям.

С помощью единого входа приложения просто определяют, могут ли они предоставить доступ пользователю, основываясь на информации, доступной у провайдера идентификации единого входа. SSO Identity Provider предоставляет утверждения приложениям на основе таких протоколов, как SAML, JWT или OpenID Connect.

Единый вход поддерживает хранилище пользователей для аутентификации пользователей. Это может быть Active Directory (AD), LDAP, пользовательская база данных или Stormpath. Репозитории и базовый протокол играют ключевую роль в процессе управления пользователями.

Во многих случаях SSO путают как централизованную систему. Тем не менее, оба они немного отличаются. Централизованная система ориентирована исключительно на управление доступом пользователей. При использовании централизованной системы, если пользователь желает получить доступ к двум приложениям App1 и App2, для этого потребуется отдельный вход в оба этих приложения с одинаковым набором имени пользователя и пароля. Таким образом, пользователь не будет автоматически входить в App2, если пользователь уже один раз вошел в App1. Принимая во внимание, что с SSO это происходит автоматически.

Централизованная аутентификация фокусируется на простоте управления учетными данными пользователей. Однако SSO фокусируется на обогащении пользовательского опыта.

Точно так же с централизованной аутентификацией можно обмениваться пользовательскими данными между несколькими приложениями. Однако единый вход — плохое решение, если вам требуется совместное использование пользовательских данных несколькими приложениями. Это означает, что даже если поставщик единого входа отправляет приложению утверждение об аутентификации, приложение все равно должно создавать и искать в своем локальном хранилище. Это избыточное действие для всех приложений, интегрированных с SSO.

Многие реализации, такие как Stormpath, предоставляют интегрированное решение, которое использует централизованную аутентификацию и единый вход.

Плюсы SSO:

SSO предоставляет ряд преимуществ не только для организаций, но и для пользователей. Немногие из них:

  • Удобство для пользователя: поддержка нескольких учетных данных для разных приложений утомительна. Еще хуже, если пользователь захочет сбросить один из паролей приложения. Благодаря единому входу пользователям больше не нужно запоминать несколько учетных данных для входа.
  • Снижение риска. В большинстве случаев организации создают внутренние системы единого входа, что снижает риск хранения паролей во внешних системах. SSO помогает снизить риск доступа к сторонним сайтам.
  • Эффективность затрат и времени: с помощью единого входа вам не нужно каждый раз входить в систему, чтобы получить доступ к каждому приложению. Единый вход — разовая инвестиция, обеспечивающая высокую рентабельность инвестиций за счет сокращения количества обращений в службу поддержки для сброса паролей.
  • Меньше работы: при использовании единого входа требуется меньше ручного вмешательства, поскольку требуется только один пользователь и один пароль. Вся аутентификация и управление паролями осуществляется централизованным доверенным аутентификатором.
  • Больше бизнеса: SSO позволяет легко зарегистрироваться и менее утомительные усилия пользователей. Это приведет к тому, что больше пользователей зарегистрирует ваши приложения. Другими словами, увеличивается доверие пользователей и тем самым ваше преобразование.
  • Предотвращает фишинговые атаки. Использование архитектуры на основе единого входа предотвращает фишинговые атаки, поскольку в них используется одноточечная аутентификация. В большинстве случаев пользователи становятся жертвами фишинговых атак, вызванных запросами на сброс пароля.
  • Лучшее соответствие и отчетность: SSO обеспечивает лучшее соответствие безопасности благодаря своей архитектуре. Это позволяет получать подробные отчеты о пользователях и может отслеживаться для любых злонамеренных пользователей. Поскольку это единый вход, мониторинг системы менее утомителен.

Минусы SSO:

Хотя использование единого входа имеет ряд преимуществ, у него есть несколько недостатков, которые следует учитывать. Немногие из них:

  • Сбой в одной точке: у единого входа есть один доверенный аутентификатор, и в случае сбоя в любой момент это приведет к тому, что все приложения прекратят работу. Это самый большой риск для SSO.
  • Безопасность. Любое нарушение безопасности может сделать все приложения уязвимыми. Чтобы предотвратить это, несколько приложений рекомендуют двухфакторную аутентификацию (2FA).

Вывод:

Сильная реализация единого входа может улучшить пользовательский опыт, повысить безопасность и оптимизировать доступ к различным приложениям. Для более надежного механизма аутентификации можно реализовать двухфакторную аутентификацию, когда одна из аутентификаций проходит через SSO.

Наконец, учетные данные, хранящиеся в аутентификаторе, должны храниться в безопасной и удаленной среде.

0 0 vote
Article Rating
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments