Podstawy

Pojedyncze logowanie – Single Sign On – SSO

0 Comment0460

Single Sign On (SSO), to rozwiązanie do kontroli dostępu w organizacji, które umożliwia użytkownikom jednokrotne uwierzytelnienie (zazwyczaj raz na sesję). Dzięki temu uzyskują dostęp do wszystkich zasobów przedsiębiorstwa podłączonych do systemu SSO. Rozwiązanie zapewnia federacyjny dostęp do wielu niezależnych programów z jednym zestawem poświadczeń . Zazwyczaj, aby osiągnąć taką optymalizację uwierzytelniana, za kulisami stosuje się wiele technik, w zależności od metod obsługiwanych przez każdy zasób.

Rodzaje konfiguracji pojedynczego logowania:

Uwierzytelnianie Kerberos

  • Początkowe logowanie monituje użytkownika o poświadczenia i pobiera bilet przyznawania biletów Kerberos (TGT).
  • Dodatkowe aplikacje wymagające uwierzytelniania, takie jak klienci poczty e-mail, wiki i systemy kontroli wersji. Wykorzystują one możliwość nadania biletu do uzyskiwania usług, udowadniania tożsamości użytkownika na serwerze pocztowym/serwerze wiki/itp. bez monitowania użytkownika o ponowne wprowadzenie poświadczenia.

Kerberos to protokół uwierzytelniania klient-serwer, który umożliwia wzajemne uwierzytelnianie. Zarówno użytkownik, jak i serwer weryfikują swoją tożsamość — przez niezabezpieczone połączenia sieciowe.

Protokół Kerberos używa klucza symetrycznego wywodzącego się z hasła użytkownika do bezpiecznej wymiany klucza sesji dla klienta i serwera. Komponent serwera jest znany jako usługa przyznawania biletów (TGS). Następnie wydaje on token bezpieczeństwa (Ticket-Granting-Ticket TGT), który może być później wykorzystany przez klienta w celu uzyskania dostępu do różnych usług świadczonych przez serwer usług.

Uwierzytelnianie oparte na kartach inteligentnych

Karta inteligentna to bezpieczny mikrokontroler, który jest zwykle używany do generowania, przechowywania i obsługi kluczy kryptograficznych. Uwierzytelnianie za pomocą karty inteligentnej zapewnia użytkownikom urządzenia z kartami inteligentnymi w celu uwierzytelniania. Użytkownicy podłączają swoją kartę inteligentną do komputera hosta. Oprogramowanie na komputerze hosta wchodzi w interakcję z materiałem kluczy i innymi sekretami, przechowywanymi na karcie inteligentnej w celu uwierzytelnienia użytkownika.
Aby karta inteligentna działała, użytkownik musi ją odblokować za pomocą kodu PIN użytkownika.

Karty inteligentne są uważane za bardzo silną formę uwierzytelniania. Klucze kryptograficzne i inne tajemnice przechowywane na karcie są bardzo dobrze chronione zarówno fizycznie, jak i logicznie, a zatem niezwykle trudno je ukraść.

Dodatkowe bezpieczeństwo zapewniane przez kartę inteligentną odbywa się kosztem wygody użytkownika. Karty inteligentne muszą być fizycznie noszone przez użytkownika i używane z komputera hosta za każdym razem, gdy chce się z nim uwierzytelnić. Użytkownicy są również ograniczeni do urządzeń hosta, na których zainstalowano oprogramowanie interfejsu karty.
Karty inteligentne są również drogie w administrowaniu, ponieważ wymagają instalacji oprogramowania na komputerze-hoście i fizycznej dystrybucji do użytkowników.

Zintegrowane uwierzytelnianie systemu Windows (IWA)

Zintegrowane uwierzytelnianie systemu Windows korzysta z funkcji zabezpieczeń klientów i serwerów systemu Windows. W przeciwieństwie do uwierzytelniania podstawowego lub szyfrowanego początkowo nie monituje użytkowników o poświadczenia. Bieżące informacje o użytkowniku systemu Windows na komputerze klienckim są dostarczane przez przeglądarkę internetową. Dzieje się to poprzez wymianę certyfikatów, polegającą na mieszaniu z serwerem sieciowym. Jeśli wymiana uwierzytelniania początkowo nie zidentyfikuje użytkownika, przeglądarka internetowa zażąda od użytkownika poświadczeń.

Samo zintegrowane uwierzytelnianie systemu Windows nie jest ani standardem, ani protokołem uwierzytelniania. Wybór IWA jako opcji programu oznacza, że ​​podstawowe mechanizmy bezpieczeństwa powinny być stosowane w preferencyjnej kolejności. Jeśli dostawca Kerberos działa i można uzyskać bilet Kerberos dla celu, a wszelkie skojarzone ustawienia zezwalają na uwierzytelnianie Kerberos (np. ustawienia witryn intranetowych w programie Internet Explorer), zostanie podjęta próba użycia protokołu Kerberos 5. W przeciwnym razie podejmowana jest próba uwierzytelnienia NTLMSSP. Podobnie, jeśli podjęta zostanie próba uwierzytelnienia Kerberos, która jednak się nie powiedzie, podjęta zostanie próba NTLMSSP. IWA używa SPNEGO, aby umożliwić inicjatorom i akceptantom negocjowanie protokołu Kerberos lub NTLMSSP. Narzędzia innych firm rozszerzyły paradygmat zintegrowanego uwierzytelniania Windows na systemy UNIX, Linux i Mac.

Język znaczników potwierdzenia bezpieczeństwa (SAML)

Security Assertion Markup Language (SAML) to standard logowania użytkowników do aplikacji na podstawie ich sesji w innym kontekście. Ten standard logowania jednokrotnego (Single Sign On – SSO) ma znaczną przewagę nad logowaniem za pomocą nazwy użytkownika/hasła:

  • Brak konieczności wpisywania poświadczeń
  • Nie ma konieczności zapamiętywania i odnawiania haseł
  • Brak słabych haseł
  • Większość organizacji zna już tożsamość użytkowników, ponieważ są oni zalogowani w swojej domenie lub intranecie Active Directory.

Sensowne jest użycie tych informacji do logowania użytkowników do innych aplikacji, takich jak aplikacje internetowe, a jednym z bardziej eleganckich sposobów na to jest użycie SAML. SAML jest bardzo wydajny i elastyczny, ale specyfikacja może być całkiem spora. Zestawy narzędzi SAML typu open source firmy OneLogin mogą pomóc w integracji SAML w ciągu kilku godzin, a nie miesięcy. Opracowano prostą konfigurację, która będzie działać w większości aplikacji. SAML (Security Assertion Markup Language) to otwarty standard, który definiuje strukturę opartą na XML. Służy on do wymiany informacji o uwierzytelnianiu i autoryzacji między dostawcą tożsamości (IdP) a usługodawcą (SP), aby umożliwić jednokrotne logowanie w sieci Web (Single Sign On – SSO). ) i federacji tożsamości.

Informacje o zabezpieczeniach są wyrażane w formie przenośnych potwierdzeń SAML, którym mogą ufać aplikacje działające poza granicami domeny zabezpieczeń.
W typowym scenariuszu użytkownik żądający dostępu do dostawcy usług jest przekierowywany do dostawcy tożsamości. Może on uwierzytelnić użytkownika i dostarczyć asercję SAML, która umożliwia dostawcy usług podejmowanie decyzji dotyczących kontroli dostępu. Dostawca usług i dostawca tożsamości muszą mieć relację zaufania ustanowioną przed wymianą potwierdzeń SAML.

CO TO JEST Single Sign On – SSO?

Pojedyncze logowanie (Single Sign On – SSO) to rozwiązanie, które umożliwia użytkownikowi jednokrotne uwierzytelnienie i uzyskanie dostępu do wszystkich aplikacji/zasobów obsługiwanych przez jednokrotne logowanie, bez konieczności oddzielnego logowania się do każdej aplikacji/zasobu.

JAKI JEST PRZYKŁAD Single Sign On – SSO?

Na rynku istnieje wiele rozwiązań SSO. Active Directory (AD) jest przykładem logowania jednokrotnego, ponieważ wszystkie zasoby domeny przyłączone do AD są dostępne bez potrzeby dodatkowego uwierzytelniania. SAP, Oracle, IBM i inne oferują rozwiązania SSO do użytku korporacyjnego. Okta, OneLogin i inne specjalizują się w jednokrotnym logowaniu do aplikacji internetowych.

JAKIE SĄ ZALETY POJEDYNCZEGO LOGOWANIA (Single Sign On – SSO)?

  • Dzienniki dostępu – portal SSO zapewnia szczegółowe raportowanie, kto uzyskał dostęp i do czego
  • Czas sesji — eliminując ponowne uwierzytelnianie poświadczeń, użytkownicy spędzają mniej czasu na procesie uwierzytelniania, co prowadzi do zwiększenia produktywności.
  • Scentralizowana baza danych – jedna baza danych zawierająca logi do uwierzytelniania i autoryzacji w celu wsparcia zgodności i administracji.
  • Mniej danych uwierzytelniających oznacza mniejsze ryzyko wyłudzenia informacji — wiadomości phishingowe i socjotechnika są prawie niemożliwe
  • Zmniejszony koszt pomocy technicznej – zmniejszenie liczby poświadczeń (hasła) przekłada się na mniej zgłoszeń do pomocy technicznej, które szacuje się na 20 – 50% wszystkich zgłoszeń do pomocy technicznej.

JAKIE SĄ WADY JEDNOKROTNEGO LOGOWANIA (SSO)?

Główną wadą SSO jest używanie jednego zestawu poświadczeń. Jeśli te poświadczenia nie są poprawnie chronione i zostaną skradzione, atakujący ma dostęp do całego zasobu.
Firmy powinny zawsze używać drugiego składnika do logowania się do SSO (co najmniej). Firmy, które poważnie traktują bezpieczeństwo, będą korzystać z uwierzytelniania wieloskładnikowego (MFA).

Drugą mniej omawianą wadą SSO jest fakt, że chociaż zapewnia jednokrotne logowanie, nie zapewnia pojedynczego wylogowania, proces wylogowania różni się w zależności od aplikacji i zależy od ustawień aplikacji, sesje użytkownika zwykle pozostają aktywne długo po tym jak użytkownik zakończył swoje użycie, co może łatwo doprowadzić do przejęcia sesji.

Poprzedni wpis Atak typu Session Hijacking

Session Hijacking

SCRAM

Powiązane artykuły

Chmury Bezstanowe
Podstawy 0

Chmury Bezstanowe – Stateless Cloud

Czym są chmury bezstanowe? Chmury bezstanowe -…

VPN
Podstawy 0

Wirtualne sieci prywatne – VPN

Wirtualna sieć prywatna (VPN) jest bezpiecznym kanałem komunikacyjnym realizowanym przez współdzielone sieci…

dmz
Podstawy 0

Strefa zdemilitaryzowana – DMZ

Strefa DMZ skrót od strefy zdemilitaryzowanej, to sieć (fizyczna lub logiczna) służąca…

0 0 votes
Ocena artykułu
Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments
0
Zależy mi na Twojej opinii poniżej 😀x