Войти
Единый вход (SSO ) - это схема аутентификации, которая позволяет пользователю войти с одним идентификатором и паролем в любую из нескольких связанных, но независимых программных систем. Часто это достигается с помощью облегченного протокола доступа к каталогам (LDAP) и хранимых баз данных LDAP на серверах (каталогов). Простая версия единого входа может быть достигнута через IP-сети с использованием файлов cookie, но только если сайты используют общий родительский домен DNS.
Для ясности Следует проводить различие между аутентификацией сервера каталогов и единой регистрацией: аутентификация сервера каталогов относится к системам, требующим аутентификации для каждого приложения, но использующим одни и те же учетные данные с сервера каталогов, тогда как единый вход относится к системам, в которых единая аутентификация обеспечивает доступ к несколько приложений путем беспрепятственной передачи токена аутентификации настроенным приложениям.
И наоборот, однократный выход или однократный выход (SLO ) - это свойство, при котором однократное действие выхода прекращает доступ к нескольким программным системам.
Поскольку разные приложения и ресурсы поддерживают разные механизмы аутентификации, единый вход должен внутренне хранить учетные данные, используемые для первоначальной аутентификации, и преобразовывать их в учетные данные, необходимые для различных механизмов.
Другие схемы общей аутентификации, такие как OpenID и OpenID Connect, предлагают другие услуги, которые могут требовать от пользователей выбора во время входа в ресурс, но можно настроить для единого входа, если другие службы (например, согласие пользователя) отключены. Растущее число федеративных социальных входов, таких как Facebook Connect, действительно требует, чтобы пользователь вводил варианты согласия при первой регистрации с новым ресурсом, и поэтому не всегда это единый вход в самом строгом смысле.
Преимущества использования единого входа включают:
SSO разделяет централизованные серверы аутентификации, которые все другие приложения и системы используют для аутентификации, и сочетает это с методами, гарантирующими, что пользователям не нужно активировать Ввести свои учетные данные более одного раза.
Термин сокращенный вход в систему (RSO) использовался некоторыми, чтобы отразить тот факт, что единый вход в систему нецелесообразен для удовлетворения потребности в разных уровнях безопасного доступа в предприятия, и поэтому может потребоваться более одного сервера аутентификации.
Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), это увеличивает негативное воздействие в случае, если учетные данные доступны другим людям и используются не по назначению. Следовательно, единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и токены одноразового пароля.
Единый вход также делает системы аутентификации очень критичными; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным под SSO. SSO можно настроить с возможностью переключения сеанса при отказе, чтобы поддерживать работу системы. Тем не менее, риск сбоя системы может сделать единый вход нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или системы производственного цеха.
Кроме того, использование методов единого входа с использованием социальных сетей, таких как Facebook, может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокировать сайты социальных сетей по соображениям производительности. Это также может вызвать трудности в странах с активными режимами цензуры, таких как Китай и его «Golden Shield Project », где сторонний веб-сайт может не быть активно подвергается цензуре, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть.
В марте 2012 года в исследовательской статье сообщалось о обширном исследовании безопасности входа в социальную сеть механизмы. Авторы обнаружили 8 серьезных логических ошибок у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook, Janrain, Freelancer, FarmVille и Sears.com. Поскольку исследователи проинформировали провайдеров идентификаторов и веб-сайты проверяющих сторон до публичного объявления об обнаружении уязвимостей, уязвимости были исправлены, и не было зарегистрировано никаких нарушений безопасности.
В мае 2014 года была обнаружена уязвимость с названием Скрытое перенаправление было раскрыто. Впервые о «уязвимости скрытого перенаправления, связанной с OAuth 2.0 и OpenID» сообщил ее первооткрыватель Ван Цзин, аспирант математики из Технологического университета Наньян, Сингапур. Фактически, затронуты почти все протоколы единого входа. Скрытое перенаправление использует преимущества сторонних клиентов, восприимчивых к XSS или открытому перенаправлению.
Как изначально реализовано в Kerberos и SAML, единый вход не выполнялся. дать пользователям возможность выбора в отношении предоставления их личной информации каждому новому ресурсу, который посетил пользователь. Это работало достаточно хорошо в рамках одного предприятия, например Массачусетского технологического института, где был изобретен Kerberos, или крупных корпораций, где все ресурсы были внутренними сайтами. Однако по мере распространения федеративных служб, таких как Службы федерации Active Directory, личная информация пользователя отправлялась на аффилированные сайты, не находящиеся под контролем предприятия, которое собирало данные от пользователя. Поскольку правила конфиденциальности в настоящее время ужесточаются с учетом таких законодательных актов, как GDPR, новые методы, такие как OpenID Connect, стали более привлекательными; например, MIT, создатель Kerberos, теперь поддерживает OpenID Connect.
Теоретически единый вход в систему может работать без раскрытия идентифицирующей информации, такой как адрес электронной почты, проверяющей стороне (потребителю учетных данных), но многие поставщики учетных данных не позволяют пользователям настраивать, какая информация передается потребителю учетных данных. По состоянию на 2019 год для входа в Google и Facebook не требуется, чтобы пользователи сообщали адрес электронной почты потребителю учетных данных. «Войти через Apple », представленное в iOS 13, позволяет пользователю запрашивать уникальный адрес электронной почты для ретрансляции каждый раз, когда пользователь подписывается на новую услугу, тем самым снижая вероятность связывания учетной записи Потребитель учетных данных.
Среда Windows - вход в систему Windows извлекает TGT. Приложения с поддержкой Active Directory получают билеты службы, поэтому пользователю не предлагается повторно пройти аутентификацию.
Среда Unix / Linux - вход через модули Kerberos PAM извлекает TGT. Керберизованные клиентские приложения, такие как Evolution, Firefox и SVN, используют служебные билеты, поэтому пользователю не предлагается повторно пройти аутентификацию.
Первоначальный вход в систему запрашивает у пользователя смарт-карту. Дополнительные программные приложения также используют смарт-карту, не предлагая пользователю повторно ввести учетные данные. Единый вход на основе смарт-карты может использовать сертификаты или пароли, хранящиеся на смарт-карте.
Встроенная проверка подлинности Windows - это термин, связанный с продуктами Microsoft и относящийся к SPNEGO, Kerberos и NTLMSSP протоколы аутентификации в отношении функций SSPI, представленных в Microsoft Windows 2000 и включенных в более поздние операционные системы на основе Windows NT. Этот термин чаще всего используется для обозначения автоматически аутентифицируемых подключений между Microsoft Internet Information Services и Internet Explorer. Поставщики кросс-платформенной интеграции Active Directory распространили парадигму интегрированной аутентификации Windows на системы Unix (включая Mac) и GNU / Linux.
Язык разметки утверждений безопасности (SAML) - это метод на основе XML для обмена информацией о безопасности пользователей между поставщиком удостоверений SAML и поставщик услуг SAML. SAML 2.0 поддерживает W3C XML-шифрование и обмен единого входа через веб-браузер, инициируемый поставщиком услуг. Пользователь, использующий пользовательский агент (обычно веб-браузер), называется субъектом в системе единого входа на основе SAML. Пользователь запрашивает веб-ресурс, защищенный поставщиком услуг SAML. Поставщик услуг, желающий узнать личность пользователя, отправляет запрос аутентификации провайдеру идентификации SAML через пользовательский агент. Поставщик удостоверений - это тот, который предоставляет учетные данные пользователя. Поставщик услуг доверяет информации пользователя от поставщика удостоверений для предоставления доступа к своим услугам или ресурсам.
Был разработан новый вариант аутентификации с единым входом, использующий мобильные устройства в качестве учетных данных для доступа. Мобильные устройства пользователей могут использоваться для автоматического входа в различные системы, такие как системы контроля доступа к зданиям и компьютерные системы, с помощью методов аутентификации, которые включают OpenID Connect и SAML, в сочетании с X.509 ITU-T криптографический сертификат, используемый для идентификации мобильного устройства на сервере доступа.
Мобильное устройство - это «то, что у вас есть», в отличие от пароля, который представляет собой «что-то, что вы знаете», или биометрических данных (отпечаток пальца, сканирование сетчатки глаза, распознавание лиц и т. Д.), Которое означает «то, что вы есть». Эксперты по безопасности рекомендуют использовать как минимум два из этих трех факторов (многофакторная аутентификация ) для лучшей защиты.
