Что такое единый вход (SSO)?


Создать аккаунт AWS
Что такое SSO? Почему SSO так важно? Как работает SSO? Какие виды SSO существуют? Является ли SSO безопасным? Чем SSO отличается от других решений по управлению доступом? Как AWS может помочь с SSO?

Что такое SSO?

Единый вход в систему (SSO) – это решение для аутентификации, которое дает пользователям возможность входить в несколько приложений и на несколько веб-сайтов с использованием единовременной аутентификации пользователя. Учитывая то, что сегодня пользователи часто входят в приложения непосредственно из своих браузеров, организации создают стратегии управления доступом с различными приоритетами, которые как повышают безопасность, так и улучшают взаимодействие с пользователем. SSO реализует оба этих аспекта, поскольку пользователи могут получать доступ ко всем ресурсам, защищенным паролями, без повторного входа в систему, поскольку личность уже установлена.

Почему SSO так важно?

Использование SSO для упрощения входа пользователей в систему приносит пользу пользователям и организациям по нескольким направлениям.

Усиление защиты паролями 

Если люди не используют SSO, им приходится запоминать несколько паролей для разных сайтов. Это может привести к применению нерекомендуемых методов обеспечения безопасности, таких как использование простых или повторяющихся паролей для разных аккаунтов. Кроме того, пользователи могут забыть или неправильно ввести свои учетные данные при входе в сервис. SSO позволяет снизить количество паролей и способствует созданию надежного пароля, который можно использовать для нескольких веб-сайтов.

Повышение производительности 

Сотрудники часто используют более одного корпоративного приложения, требующего отдельной аутентификации. Ввод имени пользователя и пароля вручную для каждого приложения отнимает много времени и является непродуктивным. SSO упрощает процесс проверки пользователей для корпоративных приложений и облегчает доступ к защищенным ресурсам.

Сокращение затрат 

Пытаясь запомнить многочисленные пароли, корпоративные пользователи могут забыть свои учетные данные. Это приводит к частым запросам на восстановление или сброс паролей, что увеличивает нагрузку на штатные ИТ-отделы. Внедрение SSO снижает количество случаев забытых паролей и, таким образом, позволяет оптимизировать ресурсы службы поддержки для обработки запросов на сброс пароля.

Укрепление возможностей обеспечения безопасности

Минимизируя количество паролей для каждого пользователя, SSO облегчает аудит доступа пользователей и обеспечивает надежный контроль доступа ко всем типам данных. Это снижает риск возникновения событий безопасности, целью которых являются пароли, и помогает организациям соблюдать правила безопасности данных.

Обеспечение лучшего клиентского опыта 

Поставщики облачных приложений используют SSO для обеспечения конечным пользователям беспрепятственного входа в систему и управления учетными данными. Пользователи используют меньшее количество паролей и по-прежнему имеют безопасный доступ к информации и приложениям, необходимым им для выполнения повседневной работы.

Как работает SSO?

SSO устанавливает связь между приложением или сервисом и внешним поставщиком услуг, также известным как поставщик идентификации (IdP). Это происходит посредством серии шагов аутентификации, проверки подлинности и связи, выполняемых между приложением и централизованным сервисом SSO. Ниже приведены важные компоненты решений SSO.

Сервис SSO

Сервис SSO – это центральный сервис, на который полагаются приложения при входе пользователя в систему. Если неаутентифицированный пользователь запрашивает доступ к приложению, приложение перенаправляет его в сервис SSO. Затем сервис аутентифицирует пользователя и перенаправляет его обратно в исходное приложение. Сервис обычно работает на выделенном сервере политик SSO.

Токен SSO

SSO-токен – это цифровой файл, содержащий идентифицирующую пользователя информацию, такую как имя пользователя или адрес электронной почты. Когда пользователь запрашивает доступ к приложению, приложение обменивается SSO-токеном с сервисом SSO для аутентификации пользователя. 

 

Процесс SSO

Процесс SSO происходит следующим образом:

  1. Когда пользователь входит в приложение, приложение генерирует SSO-токен и отправляет запрос на аутентификацию в службу SSO. 
  2. Сервис проверяет, был ли пользователь ранее аутентифицирован в системе. Если да, он отправляет приложению ответ с подтверждением аутентификации, чтобы предоставить пользователю доступ. 
  3. Если у пользователя нет подтвержденного аккаунта, служба SSO перенаправляет пользователя в центральную систему входа и предлагает ему ввести имя пользователя и пароль.
  4. После отправки сервис проверяет учетные данные пользователя и отправляет положительный ответ приложению. 
  5. В противном случае пользователь получает сообщение об ошибке и должен повторно ввести учетные данные. Многочисленные неудачные попытки входа в систему могут привести к тому, что сервис заблокирует пользователя от дальнейших попыток на определенный период времени. 

Какие виды SSO существуют?

Существуют различные стандарты и протоколы, которые решения SSO используют для проверки и аутентификации учетных данных пользователей.

SAML

SAML, или язык разметки декларации безопасности, – это протокол или набор правил, которые приложения используют для обмена информацией об аутентификации с сервисом SSO. SAML использует XML, удобный для браузера язык разметки, для обмена идентификационными данными пользователей. Сервисы SSO на основе SAML обеспечивают более высокую безопасность и гибкость, поскольку приложениям не нужно хранить учетные данные пользователей в своей системе.

OAuth

OAuth, или открытая авторизация, – это открытый стандарт, который позволяет приложениям безопасно получать доступ к информации пользователя с других сайтов, не сообщая ему пароль. Вместо того чтобы запрашивать пароли пользователей, приложения используют OAuth для получения разрешения пользователя на доступ к защищенным паролем данным. OAuth устанавливает доверие между приложениями через API, что позволяет приложению отправлять и отвечать на запросы аутентификации в установленных рамках.

OIDC

OpenID – это способ использовать единый набор учетных данных пользователя для доступа к нескольким сайтам. Это позволяет поставщику услуг взять на себя проверку подлинности учетных данных пользователя. Вместо того чтобы передавать маркер аутентификации стороннему поставщику идентификационных данных, веб-приложения используют OIDC для запроса дополнительной информации и подтверждения подлинности пользователя.

Kerberos

Kerberos – это система аутентификации на основе билетов, позволяющая двум или более сторонам взаимно подтверждать свою личность в сети. Она использует криптографию безопасности для предотвращения несанкционированного доступа к идентификационной информации, передаваемой между сервером, клиентами и центром распределения ключей.

Является ли SSO безопасным?

Да, SSO – это продвинутое и востребованное решение для управления доступом к идентификационным данным. При развертывании решение единого входа помогает организациям управлять доступом пользователей к корпоративным приложениям и ресурсам. Решение SSO облегчает пользователям приложений установку и запоминание надежных паролей. Кроме того, ИТ-команда может использовать инструмент SSO для мониторинга поведения пользователей, повышения отказоустойчивости системы и снижения рисков для безопасности. 

Чем SSO отличается от других решений по управлению доступом?

Существует несколько решений по управлению идентификацией и доступом, которые вы можете выбрать в зависимости от ваших требований.

Федеративное управление идентификацией

Федеративное управление идентификацией (FIM) – это цифровая структура, которая позволяет нескольким приложениям от разных производителей совместно использовать, управлять и аутентифицировать идентификационные данные пользователей. Например, FIM позволяет вашим сотрудникам входить в одно приложение, а затем получать доступ к нескольким другим корпоративным приложениям без повторного входа в систему. FIM проверяет подлинность учетных данных, предоставленных поставщиком услуг, у надежного поставщика идентификационных данных. 

SSO и федеративное управление идентификацией

Федеративное управление идентификацией – это комплексное решение для аутентификации и управления идентификацией для междоменных приложений. Между тем, единый вход в систему (SSO) – это особая функция в рамках модели FIM. В то время как FIM позволяет пользователям получать доступ к сервисам разных поставщиков с помощью единого входа, SSO ограничен сервисами или приложениями, размещенными у одного поставщика.

Вход в систему с одинаковыми данными 

Same sign-on, что обозначается также аббревиатурой SSO, – это цифровое решение, которое хранит и синхронизирует учетные данные пользователя на устройствах, к которым он имеет доступ. Это похоже на хранилища паролей или менеджеры паролей, которые позволяют пользователям входить в несколько приложений на разных устройствах, не запоминая учетные данные. 

Единый вход и вход в систему с одинаковыми данными

Системы единого входа требуют от пользователя однократной аутентификации. Войдя в систему, пользователь может получить доступ к другим веб-приложениям и сервисам без повторной аутентификации. Между тем, вход в систему с одинаковыми данными требует от пользователя повторения процесса входа в систему каждый раз с использованием одних и тех же учетных данных.

Многофакторная аутентификация 

Многофакторная аутентификация – это система аутентификации, использующая две или более технологий для проверки личности пользователя. Например, пользователи вводят свой адрес электронной почты и пароль на веб-странице и вводят одноразовый пароль (OTP), отправленный на их мобильный телефон для обеспечения безопасного доступа. 

SSO и многофакторная аутентификация

SSO позволяет организациям упростить и усилить безопасность паролей, предоставляя доступ ко всем подключенным сервисам посредством единого входа. Многофакторная аутентификация обеспечивает дополнительные уровни безопасности для снижения вероятности несанкционированного доступа через украденные учетные данные. Как SSO, так и многофакторная аутентификация могут быть интегрированы для повышения уровня безопасности веб-приложений.

Как AWS может помочь с SSO?

Центр идентификации AWS IAM – это решение для облачной аутентификации, которое позволяет организациям безопасно создавать или подключать идентификаторы своих сотрудников и централизованно управлять их доступом к аккаунтам и приложениям AWS. Вы можете создавать идентификационные данные пользователей или импортировать их из внешних поставщиков идентификационных данных, таких как Okta Universal Directory или Azure. Преимущества Центра идентификации AWS IAM включают:

  • Центральная панель управления идентификаторами для аккаунта AWS или бизнес-приложений.
  • Поддержка многофакторной аутентификации для обеспечения максимально безопасной аутентификации пользователей. 
  • Поддержка интеграции с другими приложениями AWS для аутентификации и авторизации без настройки.

Начните работу с SSO на AWS, создав бесплатный аккаунт AWS уже сегодня.

AWS SSO: дальнейшие шаги

Изучите дополнительные ресурсы по продукту
Подробнее о сервисах безопасности 
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Начните разработку в консоли

Начните разработку в Консоли управления AWS.

Вход