Технология единого входа
Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.
Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
Single Sign-On можно разделить на два основных вида технологий единого входа:
- Корпоративный (Enterprise) Single Sign-on, подразумевающий установку агента на рабочие станции пользователей, который обеспечивает автоматическую подстановку в аутентификационные окна приложений логина и пароля пользователя.
- Web Single Sign-on, обеспечивающий функции аутентификации в web-приложениях. Эта технология предоставляет единый сервис аутентификации (провайдер) для подключенных приложений организации с поддержкой таких протоколов, как SAML, OAuth и OpenID. При этом для доступа ко всем приложениям используется одна учетная запись.
Реализация
[править | править код]Kerberos
[править | править код]После успешной первичной аутентификации центр распределения ключей (Key Distribution Center, KDC) выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT). В дальнейшем, при обращении к отдельным ресурсам сети, пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Service Ticket (TGS). В качестве примера реализации протокола Kerberos можно отметить доменную аутентификацию пользователей в операционных системах Microsoft, начиная с Windows 2000[1].
Смарт-карты и токены
[править | править код]При первоначальном входе требуется подключить смарт-карту и токен. Технология единого входа, основанная на смарт-картах и токенах, использует либо сертификаты, либо пароли, записанные на этих ключах.
Встроенная аутентификация Windows
[править | править код]Под встроенной аутентификацией Windows понимается продукт Microsoft, использующий протоколы SPNEGO, Kerberos, и NTLMSSP. Чаще всего этим термином обозначают аутентификацию, происходящую при взаимодействии Microsoft Internet Information Services и Internet Explorer.
Security Assertion Markup Language
[править | править код]SAML (security assertion markup language — язык разметки утверждений безопасности) — язык разметки, основанный на языке XML. Открытый стандарт обмена данными аутентификации и авторизации между участниками, главным образом между поставщиком идентификации (англ. identity provider) и поставщиком услуг (англ. service provider). Пользователь запрашивает доступ к ресурсу, защищенному поставщиком услуг. Поставщик услуг, чтобы провести идентификацию пользователя, направляет запрос на проведение аутентификации в адрес поставщика идентификации. Поставщик идентификации проверяет наличие у пользователя активной сессии, если она отсутствует, то проводит аутентификацию пользователя, и формирует ответ с данными пользователя.
В качестве примера реализации можно привести систему единого входа, реализованную в Электронном правительстве на основе Единой системы идентификации и аутентификации. Примером поставщика идентификации, использующего SAML в целях обеспечения единого входа, является Oracle Identity Federation и Blitz Identity Provider.
Открытый стандарт децентрализованной системы аутентификации, предоставляющей пользователю возможность создать единую учётную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов, используя услуги третьих лиц. На основе данного протокола построены такие ID системы как Tinkoff ID, Sber ID, Yandex ID и прочие провайдеры сервиса аутентификации[2].
Преимущества
[править | править код]К основным преимуществам технологии единого входа относятся:
- уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля;
- уменьшение времени на повторный ввод пароля для одной и той же учётной записи;
- поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль;
- снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей;
- обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.
В технологии единого входа применяются централизованные серверы аутентификации, используемые другими приложениями и системами, которые обеспечивают ввод пользователем своих учётных данных только один раз.
Недостатки
[править | править код]Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа.
Механизм корпоративного SSO (Enterprise SSO) не обеспечивает высокого уровня защищенности, поскольку в конечных системах аутентификация происходит по паролю. Кроме того, этот механизм требует установки специальных агентов, поддерживаются не все устройства и операционные системы.
См. также
[править | править код]Ссылки
[править | править код]https://www.anti-malware.ru/analytics/Market_Analysis/enterprise-single-sign-on
Примечания
[править | править код]- ↑ Принципы аутентификации по протоколу Kerberos | ITband.ru . itband.ru. Дата обращения: 9 марта 2016. Архивировано 9 марта 2016 года.
- ↑ «Такую глубинную и бесшовную интеграцию никто не умеет делать на рынке» . Коммерсантъ (12 сентября 2023). Дата обращения: 21 января 2024.
В статье не хватает ссылок на источники (см. рекомендации по поиску). |