Что такое Web SSO и как он работает?

Средний бизнес-пользователь, по данным журнала Security Magazine, управляет 191 паролем для профессионального использования и еще десятками для личного использования. Организация с 50 000 сотрудников может иметь до 10 миллионов паролей, используемых ее сотрудниками. С таким количеством паролей нарушения безопасности, которые множатся в результате кибератак, в основном происходят из-за уязвимостей, вызванных паролями.

Риски исходят от используемых паролей, которые слишком просты, легко угадываются, используются более чем в одной системе и не меняются с достаточной частотой. Лучшие методы обеспечения безопасности включают отказ от использования одного и того же пароля в нескольких системах. Большинство профессионалов знают это правило. Тем не менее, 61% средних бизнес-пользователей признают, что везде используют один и тот же пароль.

Еще одна проблема, связанная с раздуванием паролей, заключается в том, что сотрудники тратят огромное количество времени на ввод паролей.

Одним из решений проблемы управления паролями является устранение необходимости использовать так много паролей. Вместо использования группы паролей для доступа к различным онлайн-сервисам можно использовать централизованный метод аутентификации, который исходит из системы «единого входа через Интернет» (Web SSO).

Что такое веб-система единого входа?

Веб-система единого входа позволяет пользователю входить в систему с помощью веб-службы единого входа с одним набором учетных данных для аутентификации, которые представляют собой уникальное имя пользователя и пароль. Затем эта аутентификация позволяет им получить доступ ко многим другим веб-приложениям и защищенным паролем веб-сайтам.

Интернет-службы и веб-сайты, которые разрешают SSO для аутентификации, полагаются на доверенного стороннего поставщика для проверки идентификации пользователей.

Как работает единый веб-вход?

Система единого входа в Интернет основана на доверительных отношениях между онлайн-системами и веб-сайтами.

Вот шаги, которые предпринимаются веб-системами SSO для аутентификации, когда пользователь входит в онлайн-службу или на защищенный паролем веб-сайт:

1. Подтвердить вход: первый шаг — проверить, вошел ли пользователь в систему аутентификации. Если пользователь вошел в систему, доступ предоставляется немедленно. Если нет, пользователь направляется в систему аутентификации для входа.
2. Вход пользователя : для каждого сеанса пользователь должен сначала войти в систему аутентификации с уникальным именем пользователя и паролем. Система аутентификации использует токен для сеанса, который действует до тех пор, пока пользователь не выйдет из системы.
3. Подтверждение аутентификации : после того, как происходит процесс аутентификации, информация об аутентификации передается веб-службе или веб-сайту, запрашивающему проверку пользователя.

Web SSO против хранилища паролей

Веб-SSO отличается от защищенного хранилища разных паролей для различных онлайн-сервисов. Хранилище паролей защищает несколько паролей одним именем пользователя и паролем. Однако каждый раз, когда пользователь переходит к новой онлайн-службе, для этого требуется войти в службу. Даже если поля формы автоматически заполняются из хранилища паролей, все равно необходим процесс входа.

При использовании Web SSO после аутентификации пользователя нет необходимости входить в какую-либо веб-службу, использующую эту систему аутентификации. Это называется процессом аутентификации «войти один раз/использовать все».

Создание решения для единого входа с нуля

Для некоторых целей можно создать простое решение для единого входа с нуля. Пример исходного кода с использованием Java приведен на codeburst.io для тех, кто склонен попробовать этот метод. Работает с помощью токенов. Жетон — это набор случайных и уникальных символов, созданных для одноразового использования, которые трудно угадать.

При входе пользователя в веб-систему единого входа создается новый сеанс и глобальный токен аутентификации. Этот токен дается пользователю. Когда этот пользователь обращается к веб-службе, требующей входа в систему, веб-служба получает копию глобального маркера от пользователя, а затем проверяет на сервере SSO, аутентифицирован ли пользователь.

Если пользователь уже вошел в систему SSO, токен проверяется как подлинный сервером SSO, который возвращает другой токен веб-службе с информацией о пользователе. Это называется локальным токеном. Обмен токенами происходит автоматически в фоновом режиме без участия пользователя.

Популярные решения единого входа для веб-сайтов

Для более продвинутых целей существует множество надежных решений для единого входа в систему. Аутентификация с использованием решений для единого входа на веб-сайт включает следующие популярные веб-системы SSO, проверенные Capterra:

• ЛастПасс
• ADSelfService Plus
• Облако доступа следующего поколения
• Единый вход в SAP
• JumpCloud DaaS
• OneSign
• Блюлинк Энтерпрайз
• SecureAuth
• Профиль SSO веб-браузера SAML
• OpenID

Преимущества веб-системы единого входа

Единый вход через Интернет полезен, потому что он удобен. Это проще, быстрее, а количество запросов на помощь по паролю сокращается. Пользователям не нужно запоминать несколько паролей и входить в каждую веб-службу по отдельности.

Популярный пример веб-SSO доступен для любого владельца учетной записи Google Gmail. С помощью единого входа в Gmail эти пользователи получают доступ ко всем продуктам Google, которые становятся доступными для пользователя без необходимости повторного входа в систему, пока они не выйдут из своей учетной записи Gmail. Открытие Gmail позволяет этим пользователям получить мгновенный доступ к своему Google Диску, Google Фото, Google Apps и их персонализированной версии YouTube.

С веб-SSO время, которое в противном случае было бы потрачено впустую на вход в различные службы, возвращается. Жалобы на проблемы с паролями для веб-сервисов практически исключены. Процесс подключения к онлайн-сервисам эффективно работает на всех устройствах, включая мобильные, что повышает производительность.

Управление доступом к учетным записям в масштабе предприятия

Единый вход через Интернет может использоваться крупной организацией для аутентификации. Веб-система единого входа позволяет пользователю с помощью единого входа получать доступ к частным данным компании и сетевым системам, а также использовать онлайн-ресурсы, предоставляемые другими организациями, которые принимают те же протоколы аутентификации.

SSO-интеграция с популярными веб-базами

Внешние службы единой регистрации/входа предлагают интеграцию со многими популярными веб-приложениями, такими как Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk и многими другими.

Facebook и Google предлагают интеграцию SSO с тысячами веб-систем. Каждый раз, когда пользователь хочет зарегистрироваться в новой службе, которая имеет эту возможность интеграции SSO, на экране регистрации/входа будет предлагаться процесс входа с использованием информации из Facebook SSO, Google SSO или не-SSO. вариант с использованием учетной записи электронной почты пользователя в качестве имени пользователя и выбранного пользователем пароля.

Интеграция системы единого входа через Интернет с облачными службами

У облачных сервисов есть свои методы управления доступом пользователей к облаку, а также они могут принимать аутентификацию от сторонних систем. Например, Amazon Web Services (AWS), крупнейший поставщик облачных услуг в мире, предлагает свою систему управления доступом к удостоверениям в AWS и позволяет выполнять аутентификацию пользователей сторонними системами.

Соединение со сторонними системами осуществляется через коннектор AWS IAM Authenticator. Эта функция позволяет системным администраторам выбирать из множества сервисов, обеспечивающих единый вход через Интернет, таких как подключение с помощью Amazon EKS к Kubernetes или Github с открытым исходным кодом.

Риски безопасности единого входа через Интернет

Существуют инструменты для повышения безопасности IAM, которые помогают предприятиям управлять рисками. Web SSO снижает некоторые риски, увеличивая при этом другие риски.

Например, фишинговые атаки менее эффективны, потому что, когда пользователя обманывают с помощью поддельной копии веб-сайта, он не входит в систему, вводя имя пользователя и пароль. Если веб-сайт является поддельным, сервер единого входа не доверяет ему и не получает токен локального сеанса, если он пытается отправить глобальный токен пользователя для его запроса. В этом случае вход с поддельного сайта автоматически завершится неудачно, что защитит пользователя от попытки обмана.

Повышенный риск может быть связан с использованием единого имени пользователя и пароля для системы аутентификации SSO. Эти конфиденциальные данные должны быть очень хорошо защищены, потому что в случае кражи их можно использовать для входа во многие онлайн-сервисы.

Стратегии безопасности, основанные на политике нулевого доверия, такие как многофакторная проверка подлинности, автоматический сброс пароля, требование сложных паролей, разных для каждого сброса пароля, и контроль доступа к устройствам, помогают повысить безопасность системы единого входа.

Вывод

Web SSO очень удобен и широко используется. Однако не все веб-системы единого входа созданы одинаково. Тщательный выбор поставщика аутентификации единого входа — первое правило использования этого типа аутентификации. Любая утечка данных этой третьей стороной может привести к раскрытию учетных данных для входа, которые могут получить доступ ко многим онлайн-системам, что может нанести серьезный ущерб.

Техническим директорам и ИТ-администраторам рекомендуется проводить регулярные проверки ИТ-безопасности своих процедур аутентификации SSO и следовать стратегии нулевого доверия. Комплексная проверка безопасности включает в себя всестороннюю оценку безопасности любых третьих сторон, которые предоставляют услуги аутентификации.