Ce este Web SSO și cum funcționează?

Utilizatorul mediu de afaceri, conform Revistei Security, gestionează 191 de parole pentru uz profesional și alte zeci pentru uz privat. O organizație cu 50.000 de angajați poate avea până la 10 milioane de parole folosite de angajații săi. Cu atât de multe parole, breșele de securitate care proliferează din atacurile cibernetice provin în cea mai mare parte din vulnerabilități cauzate de parole.

Riscurile provin din parolele folosite care sunt prea simple, ușor de ghicit, folosite pentru mai multe sisteme și neschimbate cu suficientă frecvență. Cele mai bune practici pentru securitate includ neutilizarea aceleiași parole pe mai multe sisteme. Majoritatea profesioniștilor cunosc această regulă. Cu toate acestea, 61% dintre utilizatorii medii de afaceri recunosc că folosesc aceeași parolă peste tot.

O altă problemă de la această umflare a parolelor este că angajații pierd o cantitate enormă de timp tastând parolele.

O soluție pentru problema de gestionare a parolelor este eliminarea nevoii de a folosi atât de multe. În loc să folosiți un grup de parole pentru a accesa diferite servicii online, este posibil să utilizați o metodă de autentificare centralizată care provine dintr-un sistem de „autentificare unică bazată pe web” (Web SSO).

Ce este Web SSO?

Un sistem web SSO permite unui utilizator să se conecteze utilizând serviciul web SSO cu un set de acreditări pentru autentificare, care sunt un nume de utilizator și o parolă unice. Apoi, această autentificare le permite să acceseze multe alte aplicații bazate pe web și site-uri web protejate prin parolă.

Serviciile online și site-urile web care permit SSO pentru autentificare se bazează pe un furnizor terț de încredere pentru a verifica identificarea utilizatorilor.

Cum funcționează conectarea unică web?

Un sistem de conectare unică web se bazează pe o relație de încredere între sistemele online și site-uri web.

Iată pașii care sunt urmați de sistemele web SSO pentru autentificare atunci când un utilizator se conectează la un serviciu online sau la un site web protejat prin parolă:

1. Verificați autentificarea: primul pas este să verificați dacă utilizatorul este deja conectat la sistemul de autentificare. Dacă utilizatorul este conectat, accesul este acordat imediat. Dacă nu, utilizatorul este direcționat către sistemul de autentificare pentru a se conecta.
2. Conectare utilizator : Pentru fiecare sesiune, utilizatorul trebuie mai întâi să se conecteze la sistemul de autentificare cu un nume de utilizator și o parolă unice. Sistemul de autentificare folosește un token pentru sesiune care rămâne în vigoare până când utilizatorul se deconectează.
3. Confirmare autentificare : După ce procesul de autentificare are loc, informațiile de autentificare sunt transmise serviciului web sau site-ului web care solicită verificarea utilizatorului.

Web SSO vs. Password Vulting

Web SSO diferă de a avea un seif securizat cu parole diferite pentru diferite servicii online. Salvarea parolelor protejează mai multe parole printr-un singur nume de utilizator și parolă. Cu toate acestea, de fiecare dată când un utilizator merge la un nou serviciu online, acest lucru necesită un semn în serviciu. Chiar dacă câmpurile formularului sunt completate automat din seiful de parole, mai este necesar un proces de conectare.

Cu Web SSO, odată ce un utilizator este autentificat, nu este nevoie să vă conectați la niciun serviciu web care utilizează acel sistem de autentificare. Acest lucru se numește proces de autentificare „conectare o dată/utilizați tot”.

Construirea unei soluții de conectare unică de la zero

Pentru unele utilizări, este posibil să se creeze o soluție simplă de conectare unică de la zero. Un exemplu de cod sursă care utilizează Java este dat pe codeburst.io pentru cei înclinați să încerce această metodă. Funcționează folosind jetoane. Un jeton este un set de caractere aleatorii și unice create pentru a fi folosite o singură dată, care sunt greu de ghicit.

Conectarea de către un utilizator pe sistemul web SSO creează o nouă sesiune și un token de autentificare global. Acest token este dat utilizatorului. Când acest utilizator merge la un serviciu web care necesită o conectare, serviciul web primește o copie a simbolului global de la utilizator și apoi verifică cu serverul SSO pentru a vedea dacă utilizatorul este autentificat.

Dacă utilizatorul s-a conectat deja la sistemul SSO, jetonul este verificat ca autentic de către serverul SSO, care returnează un alt jeton serviciului web cu informațiile utilizatorului. Acesta se numește un token local. Schimbul de jetoane se face automat în fundal, fără implicarea utilizatorului.

Soluții populare de conectare unică pe site

Pentru utilizări mai avansate, există multe soluții robuste de conectare unică disponibile. Autentificarea folosind soluțiile de conectare unică pe site includ aceste sisteme SSO populare bazate pe web, revizuite de Capterra:

• LastPass
• ADSelfService Plus
• Acces Cloud de nouă generație
• SAP Single Sign-On
• JumpCloud DaaS
• OneSign
• Bluink Enterprise
• SecureAuth
• Profil SSO al browserului web SAML
• OpenID

Beneficiile Web SSO

Conectarea unică bazată pe web este utilă, deoarece este convenabilă. Este mai ușor, mai rapid, iar cererile de ajutor pentru parolă sunt reduse. Utilizatorii nu trebuie să-și amintească mai multe parole și nu mai trebuie să se conecteze individual la fiecare serviciu web.

Un exemplu popular de SSO web este disponibil pentru orice deținător de cont Google Gmail. Cu o singură conectare la Gmail, acești utilizatori obțin acces la toate produsele Google, care sunt puse la dispoziție utilizatorului fără a fi nevoie să se conecteze din nou până când se deconectează din contul lor Gmail. Deschiderea Gmail permite acestor utilizatori să aibă acces instantaneu la Google Drive, Google Foto, Google Apps și versiunea lor personalizată de YouTube.

Cu SSO web, timpul care altfel ar fi pierdut pentru autentificarea la diferitele servicii este recuperat. Plângerile legate de problemele legate de parole sunt practic eliminate pentru serviciile web. Procesul de conectare la serviciile online funcționează eficient pe toate dispozitivele, inclusiv pe cel mobil, ceea ce îmbunătățește productivitatea.

Gestionarea accesului la identitate la nivel de întreprindere

SSO bazat pe web poate fi utilizat de o organizație mare pentru autentificare. Web SSO permite utilizatorului să acceseze datele private ale companiei și sistemele în rețea printr-o singură conectare, precum și să utilizeze resurse online furnizate de alte entități care acceptă aceleași protocoale de autentificare.

Integrare SSO cu serviciile populare de baze web

Serviciile externe de înregistrare/conectare unică oferă integrare cu multe aplicații populare bazate pe web, cum ar fi Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk și multe altele.

Facebook și Google oferă integrare SSO cu mii de sisteme bazate pe web. De fiecare dată când un utilizator dorește să se înscrie pentru un serviciu nou care are această capacitate de integrare SSO, ecranul de înregistrare/conectare va oferi un proces de conectare utilizând informații din Facebook SSO, Google SSO sau un non-SSO opțiune prin utilizarea unui cont de e-mail al utilizatorului ca nume de utilizator și a unei parole alese de utilizator.

Integrare Web SSO cu serviciile cloud

Serviciile cloud au metodele lor de gestionare a accesului utilizatorilor în cloud și pot accepta, de asemenea, autentificarea de la sisteme terțe. De exemplu, Amazon Web Services (AWS), care este cel mai mare furnizor de servicii cloud din lume, oferă sistemul său de gestionare a accesului la identitate în cadrul AWS și permite autentificarea utilizatorilor de către sisteme terțe.

Conexiunea realizată cu sistemele terțe se realizează prin conectorul AWS IAM Authenticator. Această caracteristică permite administratorilor de sistem să aleagă dintre multe servicii care oferă SSO web, cum ar fi conexiunea realizată cu Amazon EKS la Kubernetes sau Github open-source.

Riscurile de securitate ale conectării unice bazate pe web

Există instrumente pentru îmbunătățirea securității IAM care ajută întreprinderile să gestioneze riscul. Web SSO reduce unele riscuri în timp ce crește alte riscuri.

De exemplu, atacurile de tip phishing sunt mai puțin eficiente, deoarece atunci când un utilizator este păcălit de o copie falsă a unui site web, acesta nu se conectează oferind un nume de utilizator și o parolă. Dacă site-ul web este fals, serverul SSO nu are încredere în el și nu primește un jeton de sesiune local dacă încearcă să trimită un jeton de utilizator global pentru al solicita. În acest caz, autentificarea de pe site-ul fals va eșua automat, ceea ce protejează utilizatorul de a fi păcălit de încercare.

Riscul crescut poate proveni din a avea un singur nume de utilizator și o singură parolă pentru sistemul de autentificare SSO. Aceste date confidențiale trebuie protejate extrem de bine deoarece, dacă sunt furate, pot fi folosite pentru a vă conecta la multe servicii online.

Strategiile de valori mobiliare bazate pe o politică de încredere zero, cum ar fi autentificarea cu mai mulți factori, resetarea automată a parolelor, care necesită parole complexe care sunt diferite pentru fiecare resetare a parolei și controalele de acces la dispozitive sunt utile pentru a crește securitatea sistemului SSO

Concluzie

Web SSO este foarte convenabil și utilizat pe scară largă. Cu toate acestea, toate sistemele web SSO nu sunt create în mod egal. Selectarea atentă a furnizorului de autentificare SSO este prima regulă de utilizare a acestui tip de autentificare. Orice încălcare a datelor a acestei terțe părți ar putea expune acreditările de conectare care pot accesa multe sisteme online, care pot cauza daune grave.

CTO și administratorii IT sunt încurajați să efectueze revizuiri regulate de securitate IT ale procedurilor lor de autentificare SSO și să urmeze o strategie de zero încredere. O analiză cuprinzătoare de securitate include o evaluare aprofundată a securității oricăror terți care furnizează servicii de autentificare.