SSO คืออะไร

Single Sign-On (SSO) คือโซลูชันการยืนยันตัวตนที่อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้หลายแอปพลิเคชันและเว็บไซต์ โดยการยืนยันตัวตนผู้ใช้เพียงครั้งเดียว เนื่องจากผู้ใช้ในปัจจุบันมักเข้าถึงแอปพลิเคชันโดยตรงจากเบราว์เซอร์ของตน องค์กรจึงจัดลำดับความสำคัญของกลยุทธ์การจัดการการเข้าถึงที่ปรับปรุงทั้งความปลอดภัยและประสบการณ์ของผู้ใช้ SSO สามารถทำได้ทั้งสองคุณสมบัติ เนื่องจากผู้ใช้สามารถเข้าถึงทรัพยากรที่มีการป้องกันด้วยรหัสผ่านทั้งหมดโดยไม่ต้องเข้าสู่ระบบซ้ำๆ เมื่อผ่านการตรวจสอบข้อมูลระบุตัวตนครั้งหนึ่งแล้ว

เหตุใด SSO จึงมีความสำคัญ

การใช้ SSO เพื่อปรับปรุงการเข้าสู่ระบบของผู้ใช้จะเป็นประโยชน์ต่อผู้ใช้และองค์กรในหลายๆ ด้าน

เสริมสร้างความปลอดภัยของรหัสผ่าน

เมื่อผู้คนไม่ได้ใช้ SSO พวกเขาเลยต้องจำรหัสผ่านหลายรายการสำหรับเว็บไซต์ต่างๆ ซึ่งอาจนำไปสู่แนวทางปฏิบัติด้านความปลอดภัยที่ไม่แนะนำ เช่น การใช้รหัสผ่านแบบธรรมดาหรือรหัสผ่านซ้ำๆ สำหรับบัญชีต่างๆ นอกจากนี้ ผู้ใช้อาจลืมหรือพิมพ์ข้อมูลประจำตัวของตนผิดเมื่อลงชื่อเข้าใช้บริการ SSO ป้องกันความไม่แข็งแรงของรหัสผ่านและสนับสนุนให้ผู้ใช้สร้างรหัสผ่านที่รัดกุมซึ่งสามารถใช้ได้สำหรับหลายเว็บไซต์

เพิ่มความสามารถในการผลิต

พนักงานมักใช้แอปพลิเคชันระดับองค์กรมากกว่าหนึ่งรายการซึ่งต้องมีการตรวจสอบสิทธิ์แยกต่างหาก การป้อนชื่อผู้ใช้และรหัสผ่านด้วยตนเองสำหรับทุกแอปพลิเคชันนั้นใช้เวลานานและไม่เกิดผล SSO ปรับปรุงกระบวนการตรวจสอบผู้ใช้สำหรับแอปพลิเคชันระดับองค์กร และทำให้เข้าถึงทรัพยากรที่มีการป้องกันได้ง่ายขึ้น

ลดค่าใช้จ่าย

ในความพยายามที่จะจำรหัสผ่านจำนวนมาก ผู้ใช้ระดับองค์กรอาจลืมข้อมูลประจำตัวในการเข้าสู่ระบบของตน ส่งผลให้มีการขอเรียกข้อมูลหรือรีเซ็ตรหัสผ่านบ่อยครั้ง ซึ่งจะเป็นการเพิ่มเวิร์กโหลดสำหรับทีมไอทีภายในองค์กร การนำ SSO ไปใช้ช่วยลดการลืมรหัสผ่านและลดทรัพยากรสนับสนุนในการจัดการคำขอรีเซ็ตรหัสผ่าน

เพิ่มความสามารถในการรักษาความปลอดภัย

ด้วยการลดจำนวนรหัสผ่านต่อผู้ใช้ SSO อำนวยความสะดวกในการตรวจสอบการเข้าถึงของผู้ใช้และให้การควบคุมการเข้าถึงที่แข็งแกร่งสำหรับข้อมูลทุกประเภท ซึ่งจะช่วยลดความเสี่ยงของเหตุการณ์ด้านความปลอดภัยที่มุ่งเป้าไปที่รหัสผ่าน ในขณะที่ช่วยให้องค์กรปฏิบัติตามกฎระเบียบด้านความปลอดภัยของข้อมูล

มอบประสบการณ์ที่ดีกว่าให้กับลูกค้า

ผู้จำหน่ายแอปพลิเคชันระบบคลาวด์ใช้ SSO เพื่อให้ผู้ใช้ปลายทางได้รับประสบการณ์การเข้าสู่ระบบที่ราบรื่นและการจัดการข้อมูลประจำตัว ผู้ใช้จัดการรหัสผ่านน้อยลงและยังคงสามารถเข้าถึงข้อมูลและแอปที่จำเป็นต่อการทำงานในแต่ละวันได้อย่างปลอดภัย

SSO ทำงานอย่างไร

SSO สร้างความเชื่อถือระหว่างแอปพลิเคชันหรือบริการและผู้ให้บริการภายนอก หรือที่เรียกว่าผู้ให้บริการข้อมูลระบุตัวตน (IdP) ซึ่งเกิดขึ้นผ่านชุดของการยืนยันตัวตน การตรวจสอบ และขั้นตอนการสื่อสารที่ดำเนินการระหว่างแอปพลิเคชันและบริการ SSO แบบรวมศูนย์ ด้านล่างนี้คือส่วนประกอบที่สำคัญในโซลูชัน SSO

บริการ SSO

บริการ SSO เป็นบริการส่วนกลางที่แอปพลิเคชันต้องพึ่งพาเมื่อผู้ใช้เข้าสู่ระบบ หากผู้ใช้ที่ไม่ผ่านการยืนยันตัวตนร้องขอการเข้าถึงแอปพลิเคชัน แอปจะเปลี่ยนเส้นทางไปยังบริการ SSO จากนั้นบริการจะตรวจสอบการยืนยันตัวตนและเปลี่ยนเส้นทางผู้ใช้กลับไปยังแอปพลิเคชันเดิม โดยทั่วไป บริการจะทำงานบนเซิร์ฟเวอร์นโยบาย SSO เฉพาะ

โทเค็น SSO

โทเค็น SSO คือไฟล์ดิจิทัลที่มีข้อมูลระบุตัวตนผู้ใช้ เช่น ชื่อผู้ใช้หรือที่อยู่อีเมล เมื่อผู้ใช้ร้องขอการเข้าถึงแอปพลิเคชัน แอปพลิเคชันจะแลกเปลี่ยนโทเค็น SSO กับบริการ SSO เพื่อตรวจสอบสิทธิ์ผู้ใช้ 

 

กระบวนการ SSO

กระบวนการ SSO มีดังนี้

  1. เมื่อผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชัน แอปจะสร้างโทเค็น SSO และส่งคำขอตรวจสอบสิทธิ์ไปยังบริการ SSO 
  2. บริการจะตรวจสอบว่าผู้ใช้ได้รับการยืนยันตัวตนในระบบก่อนหน้านี้หรือไม่ ถ้ายืนยันแล้ว ระบบจะส่งการตอบกลับที่ยืนยันแล้วไปยังแอปพลิเคชันเพื่อให้สิทธิ์การเข้าถึงแก่ผู้ใช้ 
  3. หากผู้ใช้ไม่มีข้อมูลประจำตัวที่ตรวจสอบความถูกต้องแล้ว บริการ SSO จะเปลี่ยนเส้นทางผู้ใช้ไปยังระบบเข้าสู่ระบบส่วนกลางและแจ้งให้ผู้ใช้ส่งชื่อผู้ใช้และรหัสผ่าน
  4. เมื่อส่งแล้ว บริการจะตรวจสอบข้อมูลประจำตัวผู้ใช้และส่งการตอบรับเชิงบวกไปยังแอปพลิเคชัน 
  5. มิฉะนั้น ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดและต้องป้อนข้อมูลประจำตัวอีกครั้ง การพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งอาจส่งผลให้บริการบล็อกผู้ใช้จากการพยายามต่อไปในระยะเวลาที่กำหนด 

SSO มีกี่ประเภท

มีมาตรฐานและโปรโตคอลต่างๆ ที่โซลูชัน SSO ใช้เพื่อตรวจสอบและรับรองความถูกต้องของข้อมูลประจำตัวผู้ใช้

SAML

SAML หรือ Security Assertion Markup Language เป็นโปรโตคอลหรือชุดของกฎที่แอปพลิเคชันใช้เพื่อแลกเปลี่ยนข้อมูลการตรวจสอบสิทธิ์กับบริการ SSO SAML ใช้ XML ซึ่งเป็นภาษามาร์กอัปที่เป็นมิตรกับเบราว์เซอร์ เพื่อแลกเปลี่ยนข้อมูลการระบุตัวตนของผู้ใช้ บริการ SSO แบบ SAML ให้ความปลอดภัยและความยืดหยุ่นที่ดีขึ้น เนื่องจากแอปพลิเคชันไม่จำเป็นต้องจัดเก็บข้อมูลประจำตัวผู้ใช้ในระบบของตน

OAuth

OAuth หรือ Open Authorization เป็นมาตรฐานเปิดที่ช่วยให้แอปพลิเคชันเข้าถึงข้อมูลผู้ใช้จากเว็บไซต์อื่นได้อย่างปลอดภัยโดยไม่ต้องให้รหัสผ่าน แทนการขอรหัสผ่านของผู้ใช้ แอปพลิเคชันจะใช้ OAuth เพื่อขออนุญาตผู้ใช้ในการเข้าถึงข้อมูลที่ป้องกันด้วยรหัสผ่าน OAuth สร้างความเชื่อถือระหว่างแอปพลิเคชันผ่าน API ซึ่งช่วยให้แอปพลิเคชันส่งและตอบสนองต่อคำขอการรับรองความถูกต้องในเฟรมเวิร์กที่กำหนดไว้

OIDC

OpenID เป็นวิธีการใช้ข้อมูลประจำตัวผู้ใช้ชุดเดียวเพื่อเข้าถึงหลายไซต์ อนุญาตให้ผู้ให้บริการรับบทบาทการรับรองความถูกต้องของข้อมูลประจำตัวผู้ใช้ แทนที่จะส่งโทเค็นการยืนยันตัวตนไปยังผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม เว็บแอปพลิเคชันใช้ OIDC เพื่อขอข้อมูลเพิ่มเติมและตรวจสอบความถูกต้องของผู้ใช้

Kerberos

Kerberos เป็นระบบการยืนยันตัวตนแบบใช้ตั๋ว ซึ่งช่วยให้บุคคลตั้งแต่สองฝ่ายขึ้นไปตรวจสอบข้อมูลประจำตัวร่วมกันบนเครือข่ายได้ ใช้การเข้ารหัสความปลอดภัยเพื่อป้องกันการเข้าถึงข้อมูลยืนยันตัวตนที่ส่งระหว่างเซิร์ฟเวอร์ ลูกค้า และศูนย์กระจายคีย์โดยไม่ได้รับอนุญาต

SSO ปลอดภัยหรือไม่

ใช่แล้ว SSO เป็นโซลูชันการจัดการการเข้าถึงข้อมูลประจำตัวขั้นสูงและเป็นที่ต้องการ เมื่อปรับใช้ โซลูชันการลงชื่อเพียงครั้งเดียวจะช่วยให้องค์กรมีการจัดการการเข้าถึงของผู้ใช้สำหรับแอปพลิเคชันและทรัพยากรขององค์กร โซลูชัน SSO ทำให้การตั้งค่าและจดจำรหัสผ่านที่คาดเดายากได้ง่ายขึ้นสำหรับผู้ใช้แอปพลิเคชัน นอกจากนี้ ทีมไอทีสามารถใช้เครื่องมือ SSO เพื่อตรวจสอบพฤติกรรมของผู้ใช้ ปรับปรุงความยืดหยุ่นของระบบ และลดความเสี่ยงด้านความปลอดภัย 

SSO เปรียบเทียบกับโซลูชันการจัดการการเข้าถึงอื่นๆ อย่างไร

มีโซลูชันการจัดการข้อมูลประจำตัวและการเข้าถึงหลายแบบที่คุณสามารถเลือกได้ ขึ้นอยู่กับความต้องการของคุณ

การจัดการข้อมูลประจำตัวแบบรวมศูนย์

Federated identity management (FIM) (ระบบจัดการข้อมูลระบุตัวตนที่เชื่อมโยงกับส่วนกลาง (FIM)) คือเฟรมเวิร์กดิจิทัลที่ช่วยให้แอปพลิเคชันหลายตัวจากผู้จำหน่ายต่างๆ สามารถแบ่งปัน จัดการ และยืนยันตัวตนของผู้ใช้ได้ ตัวอย่างเช่น FIM อนุญาตให้พนักงานของคุณลงชื่อเข้าใช้แอปพลิเคชันหนึ่งแล้วเข้าถึงแอปพลิเคชันระดับองค์กรอื่นๆ โดยไม่ต้องลงชื่อเข้าใช้อีกครั้ง FIM รับรองความถูกต้องของข้อมูลประจำตัวที่ส่งจากผู้ให้บริการกับผู้ให้บริการข้อมูลประจำตัวที่น่าเชื่อถือ 

SSO กับการจัดการข้อมูลประจำตัวแบบรวมศูนย์

การจัดการข้อมูลประจำตัวแบบรวมศูนย์คือการตรวจสอบข้อมูลประจำตัวที่ครอบคลุมและโซลูชันการจัดการสำหรับแอปพลิเคชันข้ามโดเมน ในขณะเดียวกัน การลงชื่อแบบครั้งเดียว (SSO) เป็นฟังก์ชันเฉพาะภายในโมเดล FIM แม้ว่า FIM จะอนุญาตให้ผู้ใช้เข้าถึงบริการจากผู้ขายหลายรายด้วยการเข้าสู่ระบบเพียงครั้งเดียว แต่ SSO นั้นจำกัดเฉพาะบริการหรือแอปพลิเคชันที่โฮสต์โดยผู้ขายรายเดียว

การลงชื่อเข้าใช้แบบเดียวกัน

การลงชื่อเข้าใช้แบบเดียวกัน ซึ่งมีตัวย่อว่า SSO เช่นกัน เป็นโซลูชันดิจิทัลที่จัดเก็บและซิงโครไนซ์ข้อมูลประจำตัวผู้ใช้บนอุปกรณ์ที่ผู้ใช้เข้าถึง คล้ายกับห้องเก็บรหัสผ่านหรือตัวจัดการรหัสผ่านที่อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้หลายแอปบนอุปกรณ์ต่างๆ โดยไม่ต้องจำข้อมูลประจำตัว 

การลงชื่อเข้าใช้เพียงครั้งเดียวกับการลงชื่อเข้าใช้แบบเดียวกัน

ระบบการลงชื่อเข้าใช้เพียงครั้งเดียวต้องการการพิสูจน์ตัวตนแบบครั้งเดียวจากผู้ใช้ เมื่อเข้าสู่ระบบแล้ว ผู้ใช้จะสามารถเข้าถึงเว็บแอปพลิเคชันและบริการอื่นๆ โดยไม่ต้องยืนยันตัวตนซ้ำอีกครั้ง ในขณะเดียวกัน การลงชื่อเข้าใช้แบบเดียวกันกำหนดให้ผู้ใช้ทำขั้นตอนการเข้าสู่ระบบซ้ำในแต่ละครั้งด้วยข้อมูลประจำตัวในการยืนยันตัวตนเดียวกัน

Multi-Factor Authentication

Multi-Factor Authentication คือเฟรมเวิร์กการพิสูจน์ตัวตนผู้ใช้โดยใช้เทคโนโลยีสองอย่างขึ้นไปเพื่อยืนยันตัวตนของผู้ใช้ ตัวอย่างเช่น ผู้ใช้ป้อนที่อยู่อีเมลและรหัสผ่านบนเว็บเพจและป้อนรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งไปยังโทรศัพท์มือถือของตนเพื่อให้สามารถเข้าถึงได้อย่างปลอดภัย 

SSO กับ Multi-Factor Authentication

SSO ช่วยให้องค์กรต่างๆ ลดความซับซ้อนและเพิ่มความปลอดภัยให้กับรหัสผ่านด้วยการอนุญาตให้เข้าถึงบริการที่เชื่อมต่อทั้งหมดด้วยการเข้าสู่ระบบเพียงครั้งเดียว Multi-Factor Authentication ให้ชั้นความปลอดภัยเพิ่มเติมเพื่อลดความเป็นไปได้ของการเข้าถึงโดยไม่ได้รับอนุญาตผ่านข้อมูลประจำตัวที่ถูกขโมย ทั้ง SSO และ Multi-Factor Authentication สามารถรวมเข้าด้วยกันเพื่อปรับปรุงความปลอดภัยของเว็บแอปพลิเคชัน

AWS สามารถช่วย SSO ได้อย่างไร

AWS IAM Identity Center (ศูนย์ข้อมูลประจำตัวของ AWS IAM) เป็นโซลูชันการยืนยันตัวตนบนระบบคลาวด์ที่ช่วยให้องค์กรสามารถสร้างหรือเชื่อมต่อข้อมูลประจำตัวพนักงานของตนได้อย่างปลอดภัย และจัดการการเข้าถึงจากส่วนกลางในบัญชีและแอปพลิเคชันของ AWS คุณสามารถสร้างข้อมูลประจำตัวผู้ใช้หรือนำเข้าจากผู้ให้บริการข้อมูลประจำตัวภายนอก เช่น Okta Universal Directory หรือ Azure ประโยชน์บางประการของ AWS IAM Identity Center (ศูนย์ข้อมูลประจำตัวของ AWS IAM) ได้แก่

  • แดชบอร์ดส่วนกลางเพื่อจัดการข้อมูลประจำตัวสำหรับบัญชี AWS หรือแอปพลิเคชันทางธุรกิจของคุณ
  • รองรับการยืนยันตัวตนแบบหลายปัจจัยเพื่อมอบประสบการณ์การรับรองความถูกต้องที่มีความปลอดภัยสูงสำหรับผู้ใช้ 
  • รองรับการผสานรวมกับแอปพลิเคชัน AWS อื่นๆ สำหรับการตรวจสอบสิทธิ์และการอนุญาตที่ไม่มีการกำหนดค่า

เริ่มต้นใช้งาน SSO บน AWS โดยสร้างบัญชี AWS ฟรีวันนี้

ขั้นตอนถัดไปของ AWS SSO

ดูแหล่งข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์
เรียนรู้เพิ่มเติมเกี่ยวกับบริการด้านการรักษาความปลอดภัย 
ลงชื่อสมัครใช้บัญชีฟรี

รับสิทธิ์การเข้าถึง AWS Free Tier ได้ทันที 

ลงชื่อสมัครใช้งาน 
เริ่มต้นสร้างใน Console

เริ่มต้นสร้างใน AWS Management Console

ลงชื่อเข้าใช้