Технология единого входа

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.

Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

Реализация[править | править вики-текст]

Kerberos[править | править вики-текст]

После успешной первичной аутентификации центр распределения ключей (Key Distribution Center, KDC) выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT). В дальнейшем, при обращении к отдельным ресурсам сети, пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Service Ticket (TGS). В качестве примера реализации протокола Kerberos можно отметить доменную аутентификацию пользователей в операционных системах Microsoft, начиная с Windows 2000[1].

Смарт-карты и токены[править | править вики-текст]

При первоначальном входе требуется подключить смарт-карту и токен. Технология единого входа, основанная на смарт-картах и токенах, использует либо сертификаты, либо пароли, записанные на этих ключах.

Встроенная аутентификация Windows[править | править вики-текст]

Под встроенной аутентификацией Windows понимается продукт Microsoft, использующий протоколы SPNEGO, Kerberos, и NTLMSSP. Чаще всего этим термином обозначают аутентификацию, происходящую при взаимодействии Microsoft Internet Information Services и Internet Explorer.

Security Assertion Markup Language[править | править вики-текст]

SAML (security assertion markup language — язык разметки утверждений безопасности) — язык разметки, основанный на языке XML. Открытый стандарт обмена данными аутентификации и авторизации между участниками, главным образом между поставщиком идентификации (англ. identity provider) и поставщиком услуг (англ. service provider). Пользователь запрашивает доступ к ресурсу, защищенному поставщиком услуг. Поставщик услуг, чтобы провести идентификацию пользователя, направляет запрос на проведение аутентификации в адрес поставщика идентификации. Поставщик идентификации проверяет наличие у пользователя активной сессии, если она отсутствует, то проводит аутентификацию пользователя, и формирует ответ с данными пользователя.

В качестве примера реализации можно привести систему единого входа, реализованную в Электронном правительстве на основе Единой системы идентификации и аутентификации. Примером поставщика идентификации, использующего SAML в целях обеспечения единого входа, является Oracle Identity Federation и Blitz Identity Provider.

Корпоративный SSO (Enterprise SSO)[править | править вики-текст]

Представляет собой альтернативу "подлинному" механизму единого входа. Корпоративный SSO (Enterprise SSO, ESSO) требует установки специального агента на каждое рабочее место сотрудника. Функция агента — отслеживать появление форм ввода логина и пароля и автоматически подставлять логин и пароль пользователя в эту форму. В результате пользователь проходит аутентификацию, даже не замечая отображения формы ввода логина и пароля.

Преимущества[править | править вики-текст]

К основным преимуществам технологии единого входа относятся:

  • уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля;
  • уменьшение времени на повторный ввод пароля для одной и той же учетной записи;
  • поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль;
  • снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей;
  • обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.

В технологии единого входа применяются централизованные серверы аутентификации, используемые другими приложениями и системами, которые обеспечивают ввод пользователем своих учётных данных только один раз.

Недостатки[править | править вики-текст]

Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа.

Механизм корпоративного SSO (Enterprise SSO) не обеспечивает высокого уровня защищенности, поскольку в конечных системах аутентификация происходит по паролю. Кроме того, этот механизм требует установки специальных агентов, поддерживаются не все устройства и операционные системы.

См. также[править | править вики-текст]

Примечания[править | править вики-текст]