Единый вход ( SSO ) - это схема аутентификации, которая позволяет пользователю входить с одним идентификатором и паролем в любую из нескольких связанных, но независимых программных систем.
Истинный единый вход позволяет пользователю войти в систему один раз и получить доступ к службам без повторного ввода факторов аутентификации.
Его не следует путать с одним и тем же входом в систему (аутентификация сервера каталогов), который часто достигается с помощью протокола облегченного доступа к каталогам (LDAP) и хранимых баз данных LDAP на серверах (каталогов). [1] [2]
Простая версия единого входа может быть достигнута через IP-сети с использованием файлов cookie, но только в том случае, если сайты используют общий родительский домен DNS. [3]
Для ясности проводится различие между аутентификацией сервера каталогов (одинаковый вход) и единым входом: аутентификация сервера каталогов относится к системам, требующим аутентификации для каждого приложения, но использующим одни и те же учетные данные с сервера каталогов, тогда как единый вход относится к к системам, в которых единая аутентификация обеспечивает доступ к нескольким приложениям, беспрепятственно передавая токен аутентификации настроенным приложениям.
И наоборот, единый выход из системы или единый выход из системы ( SLO ) - это свойство, при котором одно действие по выходу из системы прекращает доступ к нескольким программным системам.
Поскольку разные приложения и ресурсы поддерживают разные механизмы аутентификации , единый вход должен внутренне хранить учетные данные, используемые для начальной аутентификации, и преобразовывать их в учетные данные, необходимые для различных механизмов.
Другие схемы общей аутентификации, такие как OpenID и OpenID Connect , предлагают другие службы, которые могут требовать от пользователей выбора во время входа в ресурс, но могут быть настроены для единого входа, если эти другие службы (например, согласие пользователя) отключены. [4] Все большее количество федеративных социальных сетей, таких как Facebook Connect , действительно требует от пользователя ввода вариантов согласия при первой регистрации на новом ресурсе, и поэтому не всегда это единый вход в самом строгом смысле этого слова.
Преимущества
Преимущества использования единого входа:
- Снижение риска доступа к сторонним сайтам («федеративная аутентификация») [5], поскольку пароли пользователей не хранятся и не управляются извне.
- Снижение утомляемости паролей из-за различных комбинаций имени пользователя и пароля
- Сократите время, затрачиваемое на повторный ввод паролей для одного и того же идентификатора [5]
- Снижение затрат на ИТ благодаря меньшему количеству обращений в службу поддержки ИТ по поводу паролей [6]
SSO разделяет централизованные серверы аутентификации, которые используют все другие приложения и системы для целей аутентификации, и сочетает это с методами, гарантирующими, что пользователям не придется активно вводить свои учетные данные более одного раза.
Критика
Термин сокращенный вход в систему (RSO) использовался некоторыми, чтобы отразить тот факт, что единый вход в систему нецелесообразен для удовлетворения потребности в различных уровнях безопасного доступа на предприятии, и поэтому может потребоваться более одного сервера аутентификации. . [7]
Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), это увеличивает негативное влияние в случае, если учетные данные доступны другим людям и используются не по назначению. Следовательно, единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и токены одноразового пароля . [7]
Единый вход также делает системы аутентификации очень критичными; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным под SSO. SSO может быть настроен с возможностью переключения сеанса при отказе для поддержания работы системы. [8] Тем не менее, риск сбоя системы может сделать единый вход в систему нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или системы производственного цеха.
Кроме того, использование методов единого входа с использованием служб социальных сетей, таких как Facebook, может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокируют сайты социальных сетей по соображениям производительности. Это также может вызвать трудности в странах с активными режимами цензуры , таких как Китай и его « Проект Золотой щит» , где сторонний веб-сайт может не подвергаться активной цензуре, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть. [9] [10]
Безопасность
В марте 2012 г. в исследовательской работе [11] сообщалось о обширном исследовании безопасности механизмов входа в социальные сети . Авторы обнаружили 8 серьезных логических недостатков у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook , Janrain , Freelancer , FarmVille и Sears.com . Поскольку исследователи проинформировали поставщиков идентификаторов и веб-сайты проверяющих сторон до публичного объявления об обнаружении уязвимостей, уязвимости были исправлены, и о нарушениях безопасности не сообщалось. [12]
В мае 2014 года была обнаружена уязвимость под названием Covert Redirect . [13] Впервые о «уязвимости скрытого перенаправления, связанной с OAuth 2.0 и OpenID» сообщил ее первооткрыватель Ван Цзин, аспирант математики из Технологического университета Наньян , Сингапур. [14] [15] [16] Фактически, затронуты почти все [ ласковые слова ] протоколы единого входа. Covert Redirect использует сторонние клиенты, восприимчивые к XSS или Open Redirect. [17]
В декабре 2020 года были обнаружены недостатки в федеративных системах аутентификации, которые использовались злоумышленниками во время утечки данных федерального правительства США в 2020 году . [18] [19]
Из-за того, как работает единый вход, отправив запрос на авторизованный веб-сайт для получения токена SSO и отправив запрос с токеном на вышедший из системы веб-сайт, токен не может быть защищен с помощью флага cookie HttpOnly и, следовательно, может быть украдены злоумышленником, если на вышедшем из системы веб-сайте есть XSS-уязвимость, чтобы осуществить захват сеанса . Другая проблема безопасности заключается в том, что если сеанс, используемый для SSO, украден (который можно защитить с помощью флага cookie HttpOnly, в отличие от токена SSO), злоумышленник может получить доступ ко всем веб-сайтам, использующим систему SSO. [20]
Конфиденциальность
Первоначально реализованный в Kerberos и SAML, единый вход не давал пользователям никакого выбора в отношении предоставления их личной информации каждому новому ресурсу, который посетил пользователь. Это работало достаточно хорошо в рамках одного предприятия, например Массачусетского технологического института, где был изобретен Kerberos, или крупных корпораций, где все ресурсы были внутренними сайтами. Однако по мере распространения федеративных служб, таких как службы федерации Active Directory , личная информация пользователя отправлялась на аффилированные сайты, не находящиеся под контролем предприятия, которое собирало данные от пользователя. Поскольку правила конфиденциальности теперь ужесточаются с таким законодательством, как GDPR , новые методы, такие как OpenID Connect , начали становиться более привлекательными; например, MIT, создатель Kerberos, теперь поддерживает OpenID Connect . [21]
Адрес электронной почты
Теоретически единый вход может работать без раскрытия идентифицирующей информации, такой как адрес электронной почты, проверяющей стороне (потребителю учетных данных), но многие поставщики учетных данных не позволяют пользователям настраивать, какая информация передается потребителю учетных данных. С 2019 года для входа в Google и Facebook не требуется, чтобы пользователи сообщали адрес электронной почты потребителю учетных данных. « Вход через Apple », представленный в iOS 13, позволяет пользователю запрашивать уникальное электронное письмо для ретрансляции каждый раз, когда пользователь подписывается на новую услугу, что снижает вероятность привязки учетной записи потребителем учетных данных. [22]
Общие конфигурации
На основе Kerberos
- Первоначальный вход в систему запрашивает у пользователя учетные данные и получает билет на выдачу билетов Kerberos (TGT).
- Дополнительные программные приложения, требующие аутентификации, такие как почтовые клиенты , вики-сайты и системы контроля версий, используют билет для выдачи билетов для получения служебных билетов, удостоверяющих личность пользователя на почтовом сервере / вики-сервере / и т. Д., Без запроса пользователя на повторную отправку. введите учетные данные.
Среда Windows - вход в систему Windows извлекает TGT. Приложения, поддерживающие Active Directory, получают билеты службы, поэтому пользователю не предлагается повторно пройти аутентификацию.
Среда Unix / Linux - вход через модули Kerberos PAM извлекает TGT. Керберизованные клиентские приложения, такие как Evolution , Firefox и SVN, используют служебные билеты, поэтому пользователю не предлагается повторно пройти аутентификацию.
На основе смарт-карты
При первом входе пользователю предлагается ввести смарт-карту . Дополнительные программные приложения также используют смарт-карту, не предлагая пользователю повторно ввести учетные данные. Единый вход на основе смарт-карты может использовать сертификаты или пароли, хранящиеся на смарт-карте.
Встроенная проверка подлинности Windows
Интегрированная проверка подлинности Windows - это термин, связанный спродуктами Microsoft и относящийся к протоколам проверки подлинности SPNEGO , Kerberos и NTLMSSP в отношениифункций SSPI, представленных в Microsoft Windows 2000 и включенных в более поздниеоперационные системы на базе Windows NT . Этот термин чаще всего используется для обозначения подключений с автоматической проверкой подлинности между Microsoft Internet Information Services и Internet Explorer . Поставщикикросс-платформеннойинтеграции Active Directory распространили парадигму интегрированной аутентификации Windows на системы Unix (включая Mac) и Linux.
Язык разметки утверждения безопасности
Язык разметки утверждения безопасности (SAML) - это основанный на XML метод обмена информацией о безопасности пользователя между поставщиком удостоверений SAML и поставщиком услуг SAML . SAML 2.0 поддерживает шифрование W3C XML и обмен единого входа через веб-браузер, инициируемый поставщиком услуг. Пользователь, использующий пользовательский агент (обычно веб-браузер), называется субъектом в системе единого входа на основе SAML. Пользователь запрашивает веб-ресурс, защищенный поставщиком услуг SAML. Поставщик услуг, желающий узнать личность пользователя, отправляет запрос аутентификации провайдеру идентификации SAML через пользовательский агент. Поставщик удостоверений - это тот, который предоставляет учетные данные пользователя. Поставщик услуг доверяет пользовательской информации от поставщика удостоверений для предоставления доступа к своим услугам или ресурсам.
Новые конфигурации
Мобильные устройства как учетные данные для доступа
Был разработан новый вариант аутентификации с единым входом с использованием мобильных устройств в качестве учетных данных для доступа. Мобильные устройства пользователей могут использоваться для автоматического входа в различные системы, такие как системы контроля доступа в зданиях и компьютерные системы, с помощью методов аутентификации, которые включают OpenID Connect и SAML [23] в сочетании с X.509. Криптографический сертификат ITU-T, используемый для идентификации мобильного устройства на сервере доступа.
Мобильное устройство - это «то, что у вас есть», в отличие от пароля, который «что-то, что вы знаете», или биометрических данных (отпечаток пальца, сканирование сетчатки глаза, распознавание лиц и т. Д.), Которые «то, что вы есть». Эксперты по безопасности рекомендуют использовать как минимум два из этих трех факторов ( многофакторная аутентификация ) для лучшей защиты.
Смотрите также
- Центральная служба аутентификации
- Управление идентификацией
- Системы управления идентификацией
- Список реализаций единого входа
- Язык разметки утверждения безопасности
- Удобство использования систем веб-аутентификации
Рекомендации
- ^ "В чем разница между ч / б SSO (единый вход) и LDAP?" . JumpCloud . 2019-05-14 . Проверено 27 октября 2020 .
- ^ «SSO и аутентификация LDAP» . Authenticationworld.com. Архивировано из оригинала на 2014-05-23 . Проверено 23 мая 2014 .
- ^ «OpenID против сервера единого входа» . Предполагаемый.org.uk. 2007-08-13 . Проверено 23 мая 2014 .
- ^ «Поставщик OpenID Connect - Система единого входа OpenID Connect (SSO) - Проверка подлинности OIDC OAuth» . OneLogin .
- ^ а б «Единый вход и федеративная аутентификация» . kb.iu.edu .
- ^ «Преимущества SSO» . Университет Гвельфа . Проверено 23 мая 2014 .
- ^ а б «Аутентификация с единым входом» . Authenticationworld.com. Архивировано из оригинала на 2014-03-15 . Проверено 28 мая 2013 .
- ^ «Руководство администратора Sun GlassFish Enterprise Server v2.1.1 High Availability» . Oracle.com . Проверено 28 мая 2013 .
- ^ Лоуренсон, Лидия (3 мая 2014 г.). «Эффект цензуры» . TechCrunch . Архивировано из оригинального 7 -го августа 2020 года . Проверено 27 февраля 2015 года .
- ^ Честер, Кен (12 августа 2013 г.). «Цензура, внешняя аутентификация и другие уроки социальных сетей из Великого китайского файрвола» . Технологии в Азии . Архивировано из оригинального 26 марта 2014 года . Проверено 9 марта +2016 .
- ^ Руи Ван; Шо Чен и Сяофэн Ван. «Вход меня в свои учетные записи через Facebook и Google: исследование безопасности коммерчески развернутых веб-служб единого входа с учетом трафика» .
- ^ «OpenID: отчет об уязвимости, путаница в данных» - OpenID Foundation, 14 марта 2012 г.
- ^ «Facebook, пользователям Google угрожает новая брешь в безопасности» . Руководство Тома. 2 мая 2014 . Проверено 11 ноября 2014 года .
- ^ «Уязвимость скрытого перенаправления, связанная с OAuth 2.0 и OpenID» . Тетраф. 1 мая 2014 . Проверено 10 ноября 2014 года .
- ^ «Студент-математик обнаруживает уязвимость безопасности OAuth, OpenID» . Tech Xplore. 3 мая 2014 . Проверено 10 ноября 2014 года .
- ^ «Facebook, пользователям Google угрожает новая брешь в безопасности» . Yahoo. 2 мая 2014 . Проверено 10 ноября 2014 года .
- ^ «Ошибка скрытого перенаправления в OAuth - не следующая проблема» . Symantec. 3 мая 2014 . Проверено 10 ноября 2014 года .
- ^ «Уязвимость VMware является вектором взлома SolarWinds? - Кребс о безопасности» .
- ^ Ковач, Эдуард. «Группа, стоящая за взломом SolarWinds, обошла MFA для доступа к электронной почте в аналитическом центре США» . Неделя безопасности . Неделя безопасности . Проверено 19 декабря 2020 .
- ^ "Что такое захват сеанса?" .
- ^ MIT IST. «Авторизация OpenID Connect» .
- ^ Гуд, Лорен (2019-06-15). «Создатели приложений разошлись по вопросу« Войти через Apple » » . Проводной . ISSN 1059-1028 . Проверено 15 июня 2019 .
- ^ «Офис будущего MicroStrategy включает мобильную идентификацию и кибербезопасность» . Вашингтон Пост . 2014-04-14 . Проверено 30 марта 2014 .
Внешние ссылки
- Введение в систему единого входа с диаграммами