ћерион Ќетворкс

„то такое SSO?

— помощью системы единого входа (SSO - single sign-on) клиенты могут получать доступ к различным сайтам и приложени€м, использу€ всего один набор входных данных. SSO работает со стратегией подтверждени€ личности клиента. Ёто происходит, когда клиент входит в одну программу и сразу же получает доступ в других св€занных приложени€х. –азличные имена пользователей и пароли теперь можно более эффективно отслеживать в различных учетных запис€х и ресурсах.

”добно ведь, когда человек входит в Google, и его сертификаты за доли секунды подтверждаютс€ в св€занных ресурсах, включа€ Gmail и YouTube, без необходимости регистрации в каждой из них.


“окен SSO

“океном системы единого входа (SSO Token) называетс€ сбор информации или данных, которые отправл€ютс€ с одной платформы на другую в процессе использовани€ SSO. Ёто основополагающие данные такие, как адрес электронной почты клиента и сведени€ о системе, котора€ отправл€ет токен. „тобы условный сборщик имел возможность подтвердить, что токен поступает из надежного источника, они должны быть строго промаркированы. ¬ процессе настройки пересылаетс€ подтверждение надежности токена, используемого дл€ этой маркировки.

SSO

¬ажность системы единого входа

SSO имеет важное значение в свете того факта, что посто€нно растет количество ресурсов и учетных записей, доступ к которым клиентам необходимо контролировать, и каждый из этих ресурсов требует определенной степени безопасности, котора€ обычно обеспечиваетс€ с помощью комбинации имени пользовател€ и парол€. “ем не менее, руководител€м и клиентам, которые стараютс€ подобрать надежные пароли дл€ нескольких учетных записей, может быть трудно упор€дочить и работать с таким количеством учетных записей. —истема единого входа поддерживает безопасный доступ к приложени€м, унифициру€ технику дл€ руководителей и клиентов.

ѕроцедура единого входа может выполн€тьс€ с использованием различных методических инструкций, но все они соответствуют одной и то же базовой структуре. ¬ажным аспектом €вл€етс€ то, что они позвол€ют приложени€м отдавать право подтверждени€ клиента другому приложению или администратору.

Ётап SSO рассматриваетс€ как отдельное пространство, где можно работать лишь с идентификаторами клиентов.


 ак работает SSO?

¬ основе лежат доверительные отношени€ между поставщиком услуг (Service Provider) Ц программой, и поставщиком удостоверений (Identity Provider) Ц например такой компанией, как OneLogin. —ертификат, которым обмениваютс€ поставщик услуг и поставщик удостоверений, как правило, служит основой дл€ этих самых доверительных отношений. „тобы поставщик услуг знал, что идентификационна€ информаци€ поступает из надежного источника, этот сертификат можно использовать дл€ подписи этой идентификационной информации, котора€ передаетс€ от поставщика идентификационной информации поставщику услуг. ¬ SSO эти идентификационные данные представл€ют собой токены, которые включают в себ€ идентифицирующие данные о человеке, такие как его адрес электронной почты или им€ пользовател€.

SSO работает на основе доверительных отношений, установленных между приложением, называемым поставщиком услуг, и поставщиком персональных данных, таким как OneLogin. Ёти доверительные отношени€ часто основаны на положительном заключении, одобрении, которым обмениваютс€ поставщик персональных данных и специализированна€ организаци€. Ёто одобрение можно использовать дл€ подписи данных о пользователе, которые отправл€ютс€ от поставщика персональных данных в специализированную организацию, чтобы поставщик услуг убедилс€ в надежности источника данных. ¬ SSO эта персональна€ информаци€ отображаетс€ в виде токенов, которые содержат различимые фрагменты данных о клиенте, такие как адрес электронной почты клиента или им€ пользовател€.

ƒалее показано, как обычно происходит взаимодействие при входе в систему:

  •  лиент изучает программу или сайт Ц Ђпоставщика услугї, к которому он хочет получить доступ.
  • „тобы запросить проверку личности клиента у SSO, иначе называемой поставщиком удостоверений, поставщик услуг передает токен, который содержит некоторую информацию о клиенте, например, его адрес электронной почты.
  • „тобы разрешить доступ к приложению поставщика услуг и сразу перейти к пункту 5, поставщик удостоверений должен дл€ начала определить, проходил ли недавно клиент аналогичную проверку.
  • ≈сли клиент этого еще не делал, ему будет предложено войти в систему, предоставив требуемые услови€ допуска поставщика удостоверений. Ёто может быть просто им€ пользовател€ и пароль, или это может быть даже совсем друга€ стратеги€ подтверждени€, например, одноразовый пароль.
  • ѕоставщик удостоверений отправл€ет обратно поставщику услуг символьные данные подтверждени€ фактической проверки каждый раз, когда он подтверждает отправленные сертификаты.
  • ѕрограмма клиента передает этот токен поставщику услуг.
  • ƒоверительные отношени€, который были установлены между поставщиком услуг и поставщиком удостоверений во врем€ основного соглашени€, используютс€ дл€ утверждени€ пути проверки через символьные данные, полученные поставщиком услуг.
  • —пециализированна€ организаци€ (поставщик услуг) разрешает доступ клиента.
  • Ќовый сайт также должен иметь группу довери€, настроенную с механизмом SSO, и процесс проверки будет аналогичным, когда клиент попытаетс€ получить доступ к альтернативному сайту.
SSO

“ипы конфигураций SSO

  1. SAML - ќткрытый стандарт SAML (Security Access Markup Language) рассматривает обмен символьной информацией путем кодировани€ текста в машинный €зык. Ќа сегодн€шний день SAML Ц один из основных принципов SSO, он помогает поставщикам приложений гарантировать правильность выполнени€ их требований проверки. ƒанные могут передаватьс€ через интернет-браузер благодар€ SAML 2.0, который был создан специально дл€ использовани€ в веб-приложени€х.
  2. OAuth -  омпонент авторизации открытого стандарта, известный под названием oAuth, отправл€ет идентификационные данные между приложени€ми, использу€ шифрование машинного кода. Ёто особенно удобно дл€ использовани€ в локальных приложени€х, поскольку позвол€ет клиентам разрешать доступ к своей информации, начина€ с первого приложени€, и далее в следующих приложени€х, без необходимости подтверждать свою личность физически.
  3. Kerberos - ѕри неопределенной организации защиты клиент и сервер могут провер€ть личность друг друга, использу€ соглашение Kerberos.  лиенты и программирующие программы, такие как клиенты электронной почты или вики-серверы, провер€ютс€ с помощью пропускающего ресурса, который распростран€ет токены.
  4. OIDC - OIDC расшир€ет OAuth 2.0 путем расширени€ возможности SSO и поддержива€ €вную информацию о клиенте. Ёто позвол€ет произвести однократную авторизацию дл€ входа в систему дл€ нескольких уникальных приложений. Ќапример, позвол€ет клиентам входить в справочную систему, использу€ свою учетную запись Facebook или Google, а не вносить новую информацию в сертификат клиента.
  5. ѕроверка подлинности смарт-карты - ѕомимо обычного SSO, существует также средства, поддерживающие подобный механизм. ћодели устройств содержат устройства чтени€ карт, которые клиенты могут подключать к своим компьютерам. ƒл€ проверки личности клиента программа использует криптографические ключи, хран€щиес€ на карте.  арты должны находитьс€ только у клиента во избежание утери. »х использование €вл€етс€ дорогосто€щим, независимо от того, €вл€ютс€ ли они просто сами по себе безопасными или требуют PIN-код дл€ работы.

»спользование SAML и OAuth в SSO

ƒл€ проверки своей легитимности токены подтверждени€ используют рекомендации по обмену данными (переписке). SAML, который €вл€етс€ €зыком дл€ создани€ токенов подтверждени€, €вл€етс€ основной рекомендацией. XML используетс€ в стандарте SAML дл€ разрешени€ проверки личности клиента и передачи ему доступа, чтобы можно было св€зыватьс€ через зоны действи€ системы безопасности. SAML работает с перепиской между клиентом, SP и IdP при использовании его в SSO.

ƒанные клиентов должны безопасно предоставл€тьс€ различным ресурсам с единственным входом в систему. Ёто становитс€ возможным с OAuth, который позвол€ет различным внешним ресурсам использовать данные записи клиента. SP сообщает IdP о запросе клиента на доступ, который IdP затем провер€ет и подтверждает, прежде чем предоставл€ть доступ клиенту. –ешение зарегистрироватьс€ на сайте, использу€ учебную запись Facebook, а не им€ пользовател€ и пароль, €вл€етс€ одним из примеров.

SSO может использоватьс€ как дл€ автономных соглашений OAuth, так и дл€ SAML. ¬ то врем€ как SAML провер€ет клиентов, OAuth используетс€ дл€ подтверждени€ доступа клиентов.


ѕреимущества и недостатки SSO

ѕреимущества:

  • —окращение количества атак: SSO исключает возможность того, что закончатс€ пароли, а также правила подбора паролей, что делает организацию более защищенной от фишинга. Ёто исключает сбросы паролей, что €вл€етс€ утомительным и дорогосто€щим, и позвол€ет клиентам запоминать лишь один пароль.
  • ѕростой и безопасный клиентский доступ: SSO предоставл€ет организаци€м возможность оперативно получить информацию о том, какие клиенты, когда и откуда получили доступ к тем или иным приложени€м, позвол€€ им тем самым защитить целостность своих инфраструктур. ћеханизмы SSO также могут справить с такими угрозами безопасности, как сбой рабочего устройства, позвол€€ IT-службам быстро блокировать доступ к учетным запис€м и важной информации на устройстве.
  • ”лучшена оценка клиентского доступа. ¬ посто€нно мен€ющейс€ обстановке в организации, как правило, стараютс€ обеспечить доступ законных сотрудников к базовым данным и активам на соответствующем уровне. ¬ зависимости от работы, подразделени€ и статуса клиента права доступа могут быть реализованы с использованием механизмов SSO. Ёто обеспечивает различимость входных уровней.
  •  онкурентоспособность: пользователи отмечают более быстрый и удобный доступ к проектам, которые им необходимо завершить. ‘изическа€ обработка запросов Ц это задача, котора€ в основном раздражает клиентов. ѕроверка SSO избавл€ет от этой необходимости, предоставл€€ мгновенный доступ к огромному количеству приложений всего за одну галочку.
  • SSO Ц это наиболее важный этап защиты вашего бизнеса и его клиентов. ¬ы можете использовать SSO в качестве основы дл€ других средств защиты, включа€ многофакторную проверку подлинности и сочетание проверки личности, оценки рисков и согласовани€ советов директоров дл€ выполнени€ предварительных требований и сокращени€ предоставлени€ неверных данных. SSO делает вашу организацию легитимной и обеспечивает ее безопасность.

Ќедостатки:

  • SSO проста и практична в использовании, но если она не контролируетс€ должным образом, то это может быть проблемой дл€ безопасности.   проблемам SSO относ€тс€:
  • ≈сли злоумышленник получает права доступа SSO клиента, он также получает и доступ ко всем его приложени€м. —оответственно, использование стратегий проверки, отличных от паролей, €вл€етс€ основополагающим принципом.
  • ¬озможные недостатки: недавно злоумышленники получили несанкционированный доступ к веб-сайтам и различным запис€м из-за недостатков, обнаруженных к SAML и OAuth. –абота с поставщиком, который объедин€ет SSO с другими этапами проверки и управление личност€ми в своем продукте, €вл€етс€ крайне необходимой в этом отношении.
  • —ходство приложений: иногда приложение может быть спроектировано так, что оно не очень подходит дл€ работы с SSO. Ѕудь то через SAML, Kerberos или OAuth, поставщики приложений должны обеспечить полноценную функциональность SSO. ¬ любом другом случае, ваша система SSO не будет полностью вовлечена, а просто добавит еще один пароль, чтобы клиенты могли его восстановить.

Ѕезопасна ли система SSO?

ќднако неверно было бы утверждать, что SSO Ц это волшебное решение проблемы. —тоимость, контроль, нормализаци€ (SAML против OAuth) и безопасность, безусловно, €вл€ютс€ трудными задачами дл€ организации системы единого входа. —айт или ресурс могут быть подвержены атаке злоумышленника из-за проблем с проверкой, таких как у€звимость функции Ђ¬ойти через Appleї или дефект Microsoft OAuth.

 роме того, стоит понимать, что SSO-этап должен быть включен в более крупную корпоративную IT-структуру, поэтому следует тщательно продумать, как это сделать, сохран€€ при этом общую безопасность. SSO, например, может помешать устройствам безопасности распознать начальный IP-адрес клиента при попытке пойти в вашу систему.

Ќесмотр€ на все это, использование SSO в большинстве случаев обеспечивает более высокий уровень безопасности, чем ожидание того, что клиенты будут контролировать все входы в систему дл€ крупных бизнес-приложений. SSO €вно сокращает количество моментов дл€ атак, поскольку клиентам нужно реже регистрироватьс€ и вспоминать меньше паролей. ƒиректора могут более эффективно поддерживать меры предосторожности, такие как 2FA и надежные пароли, когда организаци€ представл€ет собой единую структуру. —амое главное, что использование SSO, как правило, в любом случае безопаснее, чем его неиспользование.


—кидки 50% в Merion Academy

¬ыбрать курс