Jednotné přihlášení

SSO , často označované zkratkou SSO (pro single sign-on ) je metoda, která umožňuje uživateli přístup k více aplikací v počítači (nebo webové bezpečnosti) tím, že přistoupí k jedné autentizace .

Cíle

Cíle jsou různé:

• zjednodušit správu hesel pro uživatele  ;
• zjednodušit správu osobních údajů v držení různých online služeb, díky koordinaci jejich prostřednictvím meta-adresáře mechanismů typu  ;
• zjednodušit definici a implementaci bezpečnostních politik .

Výhody

Mezi výhody jednotného přihlášení patří:

• snížená únava hesla  : nedostatek flexibility při používání různých kombinací uživatelského jména a hesla;
• zkrácení času stráveného zadáváním stejného hesla pro stejný účet;
• zkrácení času stráveného podporou IT pro zapomenutá hesla;
• centralizace autentizačních systémů;
• zabezpečení na všech úrovních vstupu / výstupu / přístupu do systémů bez vícenásobných požadavků uživatelů;
• centralizace informací o řízení přístupu pro testování souladu s různými standardy.

Technologie poskytující jednotné přihlášení používají centralizované ověřovací servery, které pro ověřování používají všechny ostatní systémy a aplikace, a kombinují je se softwarovými technikami, aby uživatelé nemuseli zadávat své přihlašovací údaje déle. “Jednou.

Recenze

Jelikož jednotné přihlášení poskytuje přístup k potenciálně mnoha zdrojům, jakmile je uživatel ověřen (má „klíče od hradu“), ztráty mohou být velké, pokud má zlá osoba přístup k pověření uživatelů. Při jednotném přihlášení je tedy třeba těmto informacím věnovat zvláštní pozornost a v ideálním případě je vhodné kombinovat silné metody autentizace (např. Použití čipových karet, fyzických bezpečnostních klíčů)

Přístupy

Existují tři hlavní třídy přístupů k implementaci systémů jednotného přihlášení: centralizované přístupy, federativní přístupy a kooperativní přístupy.

Centralizovaný přístup

Základním principem je mít globální a centralizovanou databázi všech uživatelů nebo adresář . To také umožňuje centralizovat správu bezpečnostní politiky. Příkladem implementace je svobodný software LemonLDAP :: NG , dalším příkladem je svobodný software Vulture. Oba tyto příklady webového SSO jsou vhodné pro uživatele webových aplikací. Je nutné se obrátit na jiný software, když je potřeba implementovat řešení SSO ve společnosti jak pro roamingové uživatele webových aplikací, tak i pro uživatele obchodních aplikací v rámci společnosti.

Tento přístup je určen hlavně pro služby, které jsou všechny závislé na stejné entitě, například v rámci společnosti v rámci jejich správy middlewaru .

Federativní přístup

V tomto přístupu, jehož hlavním příkladem je systém Liberty Alliance , každé oddělení spravuje část dat uživatele (uživatel může mít tedy více účtů), ale sdílí informace, které má o uživateli, s partnerskými službami.

Tento přístup byl vyvinut s cílem uspokojit potřebu decentralizované správy uživatelů, kde si každá partnerská služba přeje zachovat kontrolu nad svou vlastní bezpečnostní politikou, například soubor nezávislých obchodních stránek z obchodního a organizačního hlediska.

Kooperativní přístup

Kooperativní přístup, jehož hlavními představiteli jsou systémy Shibboleth a Central Authentication Service , předpokládá, že každý uživatel závisí na jedné z partnerských entit. Když se tedy uživatel snaží získat přístup k síťové službě, je ověřen partnerem, na kterém je závislý. Stejně jako ve federativním přístupu však každá služba v síti spravuje samostatně svou vlastní bezpečnostní politiku.

Standardy a nástroje pro jednotné přihlášení

Bez ohledu na standard používaný pro jednotné ověřování zahrnuje zabezpečená infrastruktura mezi klientem a serverem služeb ověřovací server, na kterém je spravován identifikátor (www.siteweb.pays / nebo .siteweb.pays, například pro ověřování prostřednictvím serveru OpenID ). .

Ověřovací / identifikační server

I když ověřování a identifikace představují dvě různé věci, musí tento server nastavit organizace spojená s peněžními transakcemi (individuální kupující, profesionální). Žádná ze společností poskytujících internetové služby žijící výhradně z reklamy (placené profesionály) není v současné době schopna ověřit a zaručit údaje zadané uživateli internetu; navíc každý vyvinul svůj vlastní autentizační systém:

• Yahoo s YahooID;
• Microsoft s Live ID  ;
• Google s účtem Google .

Stát nebo organizace pod jeho vedením, nebo dokonce komerční společnost nabízející skutečnou službu (připojení k internetu / telefonie / komerční stránka), jsou jediné, které jsou schopny zaručit tyto dva parametry.

Webový standard může pocházet z jedné ze tří implementací uvedených v pořadí podle věku:

• Liberty Alliance implementovaná společností IBM ve svém produktu a používaná společnostmi Sun a Novell používá pouze tokeny SAML  ;
• WS-Federation implementovaná společností Microsoft v jejích službách Active Directory Federation Services V2 (ADFS V2), Windows Identity Foundation (WIF) a Azure AppFabric Access Control, které spravují všechny tokeny SAML. Všimněte si, že ADFS V2 umožňuje interoperabilitu s protokolem SAML a Azure AppFabric Access Control umožňuje interoperabilitu s Yahoo!, Live ID, Google, Facebook a OpenID;
• OpenID implementováno / používáno klíčovými internetovými společnostmi (Yahoo!, Myspace, Google, Microsoft…).

Dalším standardem může být místní systém správy identit:

• Sxipper  : OpenID a Firefox kompatibilní, funguje na Linuxu, Windows a MacOS.

Problém ověřovacích serverů spočívá v tom, že při zadávání identifikátorů a dalších osobních údajů musí bezplatné webové služby nebo komerční stránky ponechat volbu poskytovatele ověřování s vědomím, že mnoho uživatelů internetu zastaví jakoukoli transakci tváří v tvář obtížnosti vyplnění formuláře.

Delegování ověřování

Vyhýbají se připojení ve vizuálním režimu díky použití API. Toto API umožňuje službě („  spotřebiteli rolí  “) používat jinou službu („  poskytovatel služeb  “) pomocí identifikátoru, aniž by bylo nutné zveřejňovat pár identifikátor / heslo. Uživatel třetí strany tak má nepřímý přístup podle své skupiny a svého jména k souboru funkcí / dat případně omezených přístupovými právy, která má.

Jako delegační protokoly tedy najdeme:

• BBAuth ( ověřování na základě prohlížeče ) implementované společností Yahoo!  ;
• AuthSub nastaven společností Google  ;
• OpenAuth implementovaný AOL  ;
• FlickrAuth nastaven společností Flickr  ;
• Facebook Auth nastaveno Facebookem  ;
• Windows Live ID implementované společností Microsoft  ;
• AppleAuth nastaven společností Apple  ;
• OAuth pracuje na ploše a na internetu.

Společnosti, které chtějí tento standard (Google, Yahoo, MySpace), se spojily v nadaci OpenSocial , následovaly společnosti jako LinkedIn , Bebo , PLaxo. Pouze Facebook jde sám, pravděpodobně proto, že Facebook také definuje standardní formát pro výměnu osobních údajů pod názvem FBML pro Facebook Markup Language .

Data jsou uložena v různých uživatelských databázích: LDAP V3 (včetně Active Directory), Postgresql, MySQL.

Formát pro výměnu údajů

Adaptace protokolu DAP používaného ve standardu X500 používaném telefonními operátory přes TCP / IP dala vzniknout LDAP . V LDAP používá datový formát jiný formát než ASCII, což je odlehčená verze základních pravidel kódování (BER), která se nazývá Lightweight Basic Encoding Rules (LBER). Formát výměny se nazývá LDIF .

Proxy

Server, který funguje jako spojení mezi službou a poskytovatelem identity.

Kompatibilní služba

Umožňuje to pomocí jedinečného identifikátoru vyhnout se vstupu ve formě informací nezbytných k vytvoření účtu.

Byly navrženy různé protokoly pro výměnu informací souvisejících s bezpečností, a zejména pro implementaci systémů jednotného přihlášení v rámci stránek nezávislých na sobě:

• SAML byl vyvinut konsorciem OASIS a je otevřeným protokolem;
• WS-Federation , nabízený společností Microsoft , je konkurenční řešení;
• NuFW , založený na svobodném softwaru a který umožňuje nastavit řešení nezávislé na protokolu.

Reference

1. „  White Paper on Simple and Secure Enterprise Single Sign-On  “ ( Archiv • Wikiwix • Archive.is • Google • Co dělat? )
2. „  Jak zlepšit obchodní výsledky snížením nákladů na technickou podporu prostřednictvím zabezpečeného jednotného přihlášení  “ ( Archiv • Wikiwix • Archive.is • Google • Co dělat? )

Podívejte se také

Související články

• Zabezpečená elektronická národní identita
• LDAP
• Kerberos
• OpenID
• Centrální ověřovací služba
• LemonLDAP :: NG
• Shibboleth
• Liberty Alliance
• Windows Live ID
• NTLM
• SAML
• Sociální přihlášení
• Silné ověřování
• OpenSSO
• Keycloak

externí odkazy

• Prezentace jednotného přihlášení společností Microsoft
• Bílá kniha o jednotném přihlášení od společnosti Tools4ever (PDF)
• Prezentace jednotných přihlašovacích údajů ze strany CRU
• (en) Apache V2.x Cookie Authentication Module s memcached