ما هو Web SSO وكيف يعمل؟

نشرت: 2019-08-12

يدير مستخدم الأعمال العادي ، وفقًا لمجلة Security Magazine ، 191 كلمة مرور للاستخدام الاحترافي وعشرات كلمات المرور الأخرى للاستخدام الخاص. قد يكون لدى منظمة تضم 50000 عامل ما يصل إلى 10 ملايين كلمة مرور مستخدمة من قبل موظفيها. مع وجود العديد من كلمات المرور ، فإن الخروقات الأمنية التي تتكاثر من الهجمات الإلكترونية تأتي في الغالب من نقاط الضعف التي تسببها كلمات المرور.

تأتي المخاطر من كلمات المرور المستخدمة التي تتسم بالبساطة الشديدة وسهولة التخمين ، والمستخدمة في أكثر من نظام ، ولم يتم تغييرها بالتردد الكافي. تتضمن أفضل ممارسات الأمان عدم استخدام نفس كلمة المرور على أنظمة متعددة. يعرف معظم المهنيين هذه القاعدة. ومع ذلك ، فإن 61٪ من متوسط ​​مستخدمي الأعمال يعترفون باستخدام نفس كلمة المرور في كل مكان.

هناك مشكلة أخرى ناتجة عن تضخم كلمة المرور هذه وهي أن الموظفين يهدرون قدرًا هائلاً من الوقت في كتابة كلمات المرور.

يتمثل أحد الحلول لمشكلة إدارة كلمات المرور في التخلص من الحاجة إلى استخدام الكثير. بدلاً من استخدام مجموعة من كلمات المرور للوصول إلى خدمات مختلفة عبر الإنترنت ، من الممكن استخدام طريقة مصادقة مركزية تأتي من نظام "تسجيل الدخول الفردي المستند إلى الويب" (Web SSO).

ما هو Web SSO؟

يسمح نظام SSO على الويب للمستخدم بتسجيل الدخول باستخدام خدمة الويب SSO مع مجموعة واحدة من بيانات الاعتماد للمصادقة ، وهي اسم مستخدم وكلمة مرور فريدان. بعد ذلك ، تتيح لهم هذه المصادقة الوصول إلى العديد من التطبيقات الأخرى المستندة إلى الويب ومواقع الويب المحمية بكلمة مرور.

تعتمد الخدمات ومواقع الويب عبر الإنترنت التي تسمح باستخدام SSO للمصادقة على موفر جهة خارجية موثوق به للتحقق من هوية المستخدمين.

كيف يعمل تسجيل الدخول الأحادي على الويب؟

يعتمد نظام تسجيل الدخول الأحادي على الويب على علاقة ثقة بين الأنظمة والمواقع على الإنترنت.

فيما يلي الخطوات التي تتخذها أنظمة SSO على الويب للمصادقة عندما يقوم المستخدم بتسجيل الدخول إلى خدمة عبر الإنترنت أو موقع ويب محمي بكلمة مرور:

  1. التحقق من تسجيل الدخول : الخطوة الأولى هي التحقق لمعرفة ما إذا كان المستخدم قد قام بالفعل بتسجيل الدخول إلى نظام المصادقة. إذا قام المستخدم بتسجيل الدخول ، فسيتم منح الوصول على الفور. إذا لم يكن كذلك ، يتم توجيه المستخدم إلى نظام المصادقة لتسجيل الدخول.
  2. تسجيل دخول المستخدم : لكل جلسة ، يجب على المستخدم أولاً تسجيل الدخول إلى نظام المصادقة باستخدام اسم مستخدم فريد وكلمة مرور فريدة. يستخدم نظام المصادقة رمزًا مميزًا للجلسة يظل ساريًا حتى يقوم المستخدم بتسجيل الخروج.
  3. تأكيد المصادقة : بعد حدوث عملية المصادقة ، يتم تمرير معلومات المصادقة إلى خدمة الويب أو موقع الويب لطلب التحقق من المستخدم.

SSO على الويب مقابل تخزين كلمات المرور

يختلف SSO على الويب عن وجود قبو آمن لكلمات مرور مختلفة للخدمات المختلفة عبر الإنترنت. تحمي خزنة كلمات المرور عدة كلمات مرور من خلال اسم مستخدم واحد وكلمة مرور واحدة. ومع ذلك ، في كل مرة ينتقل فيها المستخدم إلى خدمة جديدة عبر الإنترنت ، يتطلب ذلك تسجيل الدخول إلى الخدمة. حتى إذا تم ملء حقول النموذج تلقائيًا من مخزن كلمات المرور ، فلا تزال هناك حاجة إلى عملية تسجيل الدخول.

باستخدام Web SSO ، بمجرد مصادقة المستخدم ، ليست هناك حاجة لتسجيل الدخول إلى أي خدمة ويب تستخدم نظام المصادقة هذا. وهذا ما يسمى عملية المصادقة "تسجيل الدخول مرة واحدة / استخدام الكل".

بناء حل تسجيل دخول فردي من الصفر

بالنسبة لبعض الاستخدامات ، من الممكن إنشاء حل تسجيل دخول واحد بسيط من البداية. يوجد مثال على الكود المصدري باستخدام Java في codeburst.io لأولئك الذين يميلون إلى تجربة هذه الطريقة. يعمل باستخدام الرموز المميزة. الرمز المميز عبارة عن مجموعة من الأحرف العشوائية والفريدة التي تم إنشاؤها للاستخدام لمرة واحدة والتي يصعب تخمينها.

يُنشئ تسجيل الدخول بواسطة مستخدم على نظام SSO على الويب جلسة جديدة ورمزًا مميزًا للمصادقة العالمية. يتم إعطاء هذا الرمز المميز للمستخدم. عندما ينتقل هذا المستخدم إلى خدمة ويب تتطلب تسجيل دخول ، تحصل خدمة الويب على نسخة من الرمز المميز العام من المستخدم ثم تتحقق من خادم الدخول الموحّد (SSO) لمعرفة ما إذا كان المستخدم قد تمت مصادقته أم لا.

إذا قام المستخدم بتسجيل الدخول بالفعل إلى نظام SSO ، يتم التحقق من صحة الرمز المميز بواسطة خادم SSO ، والذي يعيد رمزًا مميزًا آخر إلى خدمة الويب بمعلومات المستخدم. هذا يسمى رمز محلي. يتم تبادل الرموز تلقائيًا في الخلفية دون تدخل المستخدم.

حلول الدخول الموحد للمواقع الشهيرة

للاستخدامات الأكثر تقدمًا ، هناك العديد من حلول تسجيل الدخول الفردي القوية المتاحة. تتضمن المصادقة باستخدام حلول تسجيل الدخول الأحادي لموقع الويب أنظمة SSO الشائعة المستندة إلى الويب والتي تمت مراجعتها بواسطة Capterra:

  • LastPass
  • ADSelfService Plus
  • سحابة الوصول من الجيل التالي
  • SAP Single Sign-On
  • JumpCloud DaaS
  • علامة واحدة
  • بلوينك انتربرايز
  • SecureAuth
  • ملف تعريف الدخول الموحد لمتصفح الويب SAML
  • OpenID

فوائد Web SSO

يعد تسجيل الدخول الأحادي المستند إلى الويب مفيدًا لأنه ملائم. إنه أسهل وأسرع ، ويتم تقليل طلبات المساعدة الخاصة بكلمة المرور. لا يتعين على المستخدمين تذكر كلمات مرور متعددة ولم يعدوا بحاجة إلى تسجيل الدخول إلى كل خدمة تستند إلى الويب بشكل فردي.

مثال شائع على الويب SSO متاح لأي صاحب حساب Google Gmail. من خلال تسجيل دخول واحد إلى Gmail ، يتمكن هؤلاء المستخدمون من الوصول إلى جميع منتجات Google ، والتي يتم توفيرها للمستخدم دون الحاجة إلى تسجيل الدخول مرة أخرى حتى يقوموا بتسجيل الخروج من حساب Gmail الخاص بهم. يتيح فتح Gmail لهؤلاء المستخدمين إمكانية الوصول الفوري إلى Google Drive وصور Google و Google Apps وإصدارهم المخصص من YouTube.

باستخدام SSO على الويب ، يتم استعادة الوقت الذي كان سيتم إهداره لتسجيل الدخول إلى الخدمات المختلفة. يتم التخلص فعليًا من الشكاوى المتعلقة بمشاكل كلمة المرور لخدمات الويب. تعمل عملية الاتصال بالخدمات عبر الإنترنت بكفاءة عبر جميع الأجهزة ، بما في ذلك الأجهزة المحمولة ، مما يحسن الإنتاجية.

إدارة الوصول إلى الهوية على مستوى المؤسسة

يمكن استخدام SSO المستند إلى الويب بواسطة مؤسسة كبيرة للمصادقة. يسمح SSO على الويب بتسجيل الدخول الفردي للمستخدم للوصول إلى بيانات الشركة الخاصة والأنظمة المتصلة بالشبكة بالإضافة إلى استخدام الموارد عبر الإنترنت التي توفرها الكيانات الأخرى التي تقبل نفس بروتوكولات المصادقة.

تكامل SSO مع خدمات قواعد الويب الشائعة

تقدم خدمات تسجيل الدخول الفردي الخارجية التكامل مع العديد من التطبيقات الشائعة المستندة إلى الويب مثل Dropbox و Microsoft Azure Active Directory و New Relic و Salesforce و SharePoint و Slack و Zendesk وغيرها الكثير.

يوفر Facebook و Google تكامل SSO مع آلاف الأنظمة المستندة إلى الويب. في كل مرة يرغب فيها المستخدم في الاشتراك في خدمة جديدة بها إمكانية تكامل SSO ، ستقدم شاشة التسجيل / تسجيل الدخول عملية تسجيل الدخول باستخدام معلومات من Facebook SSO أو Google SSO أو غير SSO الخيار باستخدام حساب البريد الإلكتروني للمستخدم كاسم مستخدم وكلمة مرور يختارها المستخدم.

تكامل Web SSO مع الخدمات السحابية

تتمتع الخدمات السحابية بأساليبها الخاصة بإدارة وصول مستخدمي السحابة وقد تقبل أيضًا المصادقة من أنظمة الجهات الخارجية. على سبيل المثال ، تقدم Amazon Web Services (AWS) ، وهي أكبر مزود للخدمات السحابية في العالم ، نظامها لإدارة الوصول إلى الهوية داخل AWS وتسمح بمصادقة المستخدم بواسطة أنظمة الجهات الخارجية.

يتم تحقيق الاتصال مع أنظمة الجهات الخارجية من خلال موصل AWS IAM Authenticator. تسمح هذه الميزة لمسؤولي النظام بالاختيار من بين العديد من الخدمات التي توفر خدمة الدخول الموحد على الويب ، مثل الاتصال الذي تم إجراؤه باستخدام Amazon EKS ببرنامج Kubernetes أو Github مفتوح المصدر.

المخاطر الأمنية للدخول الموحّد المستند إلى الويب

هناك أدوات لتحسين أمان IAM تساعد المؤسسات على إدارة المخاطر. يقلل SSO على الويب من بعض المخاطر مع زيادة المخاطر الأخرى.

على سبيل المثال ، تعتبر هجمات التصيد الاحتيالي أقل فاعلية لأنه عندما يتم خداع المستخدم بواسطة نسخة مزيفة من موقع ويب ، فإنه لا يقوم بتسجيل الدخول عن طريق إعطاء اسم مستخدم وكلمة مرور. إذا كان موقع الويب مزيفًا ، فلن يثق به خادم SSO ولا يحصل على رمز جلسة محلي إذا حاول إرسال رمز مستخدم عالمي لطلبه. في هذه الحالة ، سيفشل تسجيل الدخول من الموقع المزيف تلقائيًا ، مما يحمي المستخدم من أن تنخدعه المحاولة.

قد تأتي المخاطر المتزايدة من وجود اسم مستخدم واحد وكلمة مرور لنظام مصادقة SSO. يجب حماية هذه البيانات السرية بشكل جيد للغاية لأنه في حالة سرقتها يمكن استخدامها لتسجيل الدخول إلى العديد من الخدمات عبر الإنترنت.

استراتيجيات الأوراق المالية المستندة إلى سياسة عدم الثقة ، مثل المصادقة متعددة العوامل ، وإعادة تعيين كلمة المرور تلقائيًا ، والتي تتطلب كلمات مرور معقدة تختلف لكل إعادة تعيين كلمة مرور ، وعناصر التحكم في الوصول إلى الجهاز مفيدة لزيادة أمان نظام SSO

استنتاج

SSO على الويب ملائم للغاية ويستخدم على نطاق واسع. ومع ذلك ، لا يتم إنشاء جميع أنظمة SSO على الويب بشكل متساوٍ. يعد التحديد الدقيق لموفر مصادقة SSO هو القاعدة الأولى لاستخدام هذا النوع من المصادقة. قد يؤدي أي خرق للبيانات من جانب هذا الطرف الثالث إلى كشف بيانات اعتماد تسجيل الدخول التي يمكنها الوصول إلى العديد من الأنظمة عبر الإنترنت والتي من المحتمل أن تتسبب في أضرار جسيمة.

يتم تشجيع CTO ومسؤولي تكنولوجيا المعلومات على إجراء مراجعات منتظمة لأمن تكنولوجيا المعلومات لإجراءات مصادقة SSO واتباع إستراتيجية عدم الثقة. تتضمن المراجعة الأمنية الشاملة تقييمًا أمنيًا متعمقًا لأي جهات خارجية تقدم خدمات المصادقة.