Web SSO คืออะไรและทำงานอย่างไร

ผู้ใช้ทางธุรกิจโดยเฉลี่ยตาม Security Magazine จัดการรหัสผ่าน 191 รหัสผ่านสำหรับการใช้งานระดับมืออาชีพและอีกหลายสิบรหัสผ่านสำหรับการใช้งานส่วนตัว องค์กรที่มีพนักงาน 50,000 คนอาจมีรหัสผ่านที่พนักงานใช้มากถึง 10 ล้านรหัสผ่าน ด้วยรหัสผ่านจำนวนมาก การละเมิดความปลอดภัยที่แพร่กระจายจากการโจมตีทางไซเบอร์ส่วนใหญ่มาจากช่องโหว่ที่เกิดจากรหัสผ่าน

ความเสี่ยงมาจากรหัสผ่านที่ใช้ง่ายเกินไป เดาง่าย ใช้มากกว่าหนึ่งระบบ และไม่เปลี่ยนแปลงด้วยความถี่ที่เพียงพอ แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยรวมถึงการไม่ใช้รหัสผ่านเดียวกันในหลายระบบ ผู้เชี่ยวชาญส่วนใหญ่รู้กฎนี้ อย่างไรก็ตาม 61% ของผู้ใช้ธุรกิจโดยเฉลี่ยยอมรับว่าใช้รหัสผ่านเดียวกันทุกที่

ปัญหาอีกประการหนึ่งจากการขยายรหัสผ่านนี้คือพนักงานเสียเวลาพิมพ์รหัสผ่านเป็นจำนวนมาก

ทางออกหนึ่งสำหรับปัญหาการจัดการรหัสผ่านคือขจัดความจำเป็นในการใช้งานหลายอย่าง แทนที่จะใช้กลุ่มรหัสผ่านเพื่อเข้าถึงบริการออนไลน์ต่างๆ เป็นไปได้ที่จะใช้วิธีตรวจสอบสิทธิ์แบบรวมศูนย์ที่มาจากระบบ "การลงชื่อเพียงครั้งเดียวบนเว็บ" (Web SSO)

Web SSO คืออะไร?

ระบบ SSO ของเว็บอนุญาตให้ผู้ใช้เข้าสู่ระบบโดยใช้บริการเว็บ SSO ด้วยข้อมูลรับรองชุดเดียวสำหรับการตรวจสอบสิทธิ์ ซึ่งเป็นชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำกัน จากนั้น การรับรองความถูกต้องนี้ทำให้พวกเขาสามารถเข้าถึงแอปพลิเคชันบนเว็บอื่นๆ และเว็บไซต์ที่มีการป้องกันด้วยรหัสผ่านได้อีกมากมาย

บริการออนไลน์และเว็บไซต์ที่อนุญาต SSO สำหรับการตรวจสอบสิทธิ์นั้นขึ้นอยู่กับผู้ให้บริการบุคคลที่สามที่เชื่อถือได้เพื่อยืนยันตัวตนของผู้ใช้

การลงชื่อเพียงครั้งเดียวทางเว็บทำงานอย่างไร

ระบบการลงชื่อเพียงครั้งเดียวของเว็บอาศัยความสัมพันธ์ที่เชื่อถือได้ระหว่างระบบออนไลน์และเว็บไซต์

ต่อไปนี้คือขั้นตอนที่ระบบ SSO ของเว็บใช้ในการตรวจสอบสิทธิ์เมื่อผู้ใช้เข้าสู่ระบบบริการออนไลน์หรือเว็บไซต์ที่มีการป้องกันด้วยรหัสผ่าน:

1. Verify Sign-In : ขั้นตอนแรกคือการตรวจสอบเพื่อดูว่าผู้ใช้ล็อกอินเข้าสู่ระบบการตรวจสอบสิทธิ์แล้วหรือไม่ หากผู้ใช้ลงชื่อเข้าใช้ การเข้าถึงจะได้รับทันที หากไม่เป็นเช่นนั้น ระบบจะนำผู้ใช้ไปที่ระบบตรวจสอบสิทธิ์เพื่อลงชื่อเข้าใช้
2. User Sign-In : ในแต่ละเซสชัน ผู้ใช้ต้องลงชื่อเข้าใช้ระบบการตรวจสอบสิทธิ์ด้วยชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำกันก่อน ระบบตรวจสอบสิทธิ์ใช้โทเค็นสำหรับเซสชันที่มีผลจนกว่าผู้ใช้จะออกจากระบบ
3. การยืนยันความถูกต้อง : หลังจากกระบวนการตรวจสอบเกิดขึ้น ข้อมูลการรับรองความถูกต้องจะถูกส่งไปยังบริการเว็บหรือเว็บไซต์เพื่อขอการตรวจสอบของผู้ใช้

เว็บ SSO กับ Password Vaulting

Web SSO แตกต่างจากการมีห้องนิรภัยที่ปลอดภัยของรหัสผ่านที่แตกต่างกันสำหรับบริการออนไลน์ต่างๆ Password vaulting ปกป้องรหัสผ่านหลายอันด้วยชื่อผู้ใช้และรหัสผ่านเดียว อย่างไรก็ตาม ทุกครั้งที่ผู้ใช้ไปที่บริการออนไลน์ใหม่ จะต้องลงชื่อเข้าใช้บริการ แม้ว่าช่องกรอกแบบฟอร์มจะถูกกรอกโดยอัตโนมัติจากห้องนิรภัยรหัสผ่าน แต่ก็ยังต้องมีกระบวนการลงชื่อเข้าใช้

เมื่อใช้ Web SSO เมื่อตรวจสอบสิทธิ์ผู้ใช้แล้ว ไม่จำเป็นต้องลงชื่อเข้าใช้บริการเว็บใดๆ ที่ใช้ระบบการตรวจสอบสิทธิ์นั้น สิ่งนี้เรียกว่ากระบวนการตรวจสอบสิทธิ์ "ลงชื่อเข้าใช้ครั้งเดียว/ใช้ทั้งหมด"

การสร้างโซลูชันการเข้าสู่ระบบเดียวตั้งแต่เริ่มต้น

สำหรับการใช้งานบางอย่าง เป็นไปได้ที่จะสร้างโซลูชันการเข้าสู่ระบบเดียวแบบง่ายๆ ตั้งแต่เริ่มต้น ตัวอย่างของซอร์สโค้ดที่ใช้ Java มีให้ใน codeburst.io สำหรับผู้ที่มีแนวโน้มจะลองใช้วิธีนี้ มันทำงานโดยใช้โทเค็น โทเค็นคือชุดของอักขระแบบสุ่มและไม่ซ้ำใครที่สร้างขึ้นสำหรับการใช้งานครั้งเดียวซึ่งคาดเดาได้ยาก

การเข้าสู่ระบบโดยผู้ใช้บนระบบ SSO ของเว็บจะสร้างเซสชันใหม่และโทเค็นการตรวจสอบสิทธิ์ส่วนกลาง โทเค็นนี้มอบให้แก่ผู้ใช้ เมื่อผู้ใช้รายนี้ไปที่บริการเว็บที่ต้องการการเข้าสู่ระบบ บริการเว็บจะได้รับสำเนาของโทเค็นส่วนกลางจากผู้ใช้ จากนั้นตรวจสอบกับเซิร์ฟเวอร์ SSO เพื่อดูว่าผู้ใช้ได้รับการตรวจสอบสิทธิ์หรือไม่

หากผู้ใช้ลงชื่อเข้าใช้ระบบ SSO แล้ว โทเค็นจะได้รับการยืนยันว่าเป็นของแท้โดยเซิร์ฟเวอร์ SSO ซึ่งจะส่งคืนโทเค็นอื่นไปยังบริการเว็บพร้อมข้อมูลของผู้ใช้ สิ่งนี้เรียกว่าโทเค็นท้องถิ่น การแลกเปลี่ยนโทเค็นจะทำโดยอัตโนมัติในพื้นหลังโดยที่ผู้ใช้ไม่ต้องมีส่วนร่วม

โซลูชันการลงชื่อเพียงครั้งเดียวของเว็บไซต์ยอดนิยม

สำหรับการใช้งานขั้นสูง มีโซลูชันการเข้าสู่ระบบครั้งเดียวที่มีประสิทธิภาพมากมาย การตรวจสอบสิทธิ์โดยใช้โซลูชันการลงชื่อเพียงครั้งเดียวของเว็บไซต์รวมถึงระบบ SSO บนเว็บยอดนิยมที่ตรวจสอบโดย Capterra:

• LastPass
• ADS SelfService Plus
• Next-Gen Access Cloud
• SAP Single Sign-On
• JumpCloud DaaS
• OneSign
• Bluink Enterprise
• SecureAuth
• โปรไฟล์ SSO ของเว็บเบราว์เซอร์ SAML
• OpenID

ประโยชน์ของเว็บ SSO

การลงชื่อเพียงครั้งเดียวทางเว็บมีประโยชน์เพราะสะดวก ง่ายขึ้น เร็วขึ้น และคำขอช่วยเหลือเกี่ยวกับรหัสผ่านลดลง ผู้ใช้ไม่ต้องจำรหัสผ่านหลายอันและไม่ต้องลงชื่อเข้าใช้ทุกบริการบนเว็บอีกต่อไป

ตัวอย่างยอดนิยมของเว็บ SSO มีให้สำหรับเจ้าของบัญชี Google Gmail ด้วยการลงชื่อเข้าใช้ Gmail เพียงครั้งเดียว ผู้ใช้เหล่านั้นจะสามารถเข้าถึงผลิตภัณฑ์ทั้งหมดของ Google ซึ่งให้บริการแก่ผู้ใช้โดยไม่จำเป็นต้องลงชื่อเข้าใช้อีกครั้งจนกว่าจะออกจากระบบบัญชี Gmail การเปิด Gmail จะทำให้ผู้ใช้เหล่านี้สามารถเข้าถึง Google ไดรฟ์, Google Photos, Google Apps และ YouTube เวอร์ชันส่วนบุคคลได้ในทันที

ด้วยเว็บ SSO เวลาที่อาจเสียเปล่าสำหรับการลงชื่อเข้าใช้บริการต่างๆ จะกลับมาอีกครั้ง การร้องเรียนเกี่ยวกับปัญหารหัสผ่านเกือบจะหมดไปสำหรับบริการเว็บ กระบวนการเชื่อมต่อกับบริการออนไลน์ทำงานอย่างมีประสิทธิภาพในทุกอุปกรณ์ รวมถึงอุปกรณ์เคลื่อนที่ ซึ่งช่วยเพิ่มประสิทธิภาพการทำงาน

การจัดการการเข้าถึงข้อมูลประจำตัวทั่วทั้งองค์กร

องค์กรขนาดใหญ่อาจใช้ SSO บนเว็บเพื่อการตรวจสอบสิทธิ์ SSO ของเว็บอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้เพียงครั้งเดียวเพื่อเข้าถึงข้อมูลบริษัทส่วนตัวและระบบเครือข่าย ตลอดจนใช้ทรัพยากรออนไลน์ที่จัดเตรียมโดยหน่วยงานอื่นๆ ที่ยอมรับโปรโตคอลการตรวจสอบสิทธิ์เดียวกัน

การบูรณาการ SSO กับบริการฐานเว็บยอดนิยม

บริการลงชื่อสมัครใช้/เข้าสู่ระบบแบบครั้งเดียวจากภายนอกเสนอการผสานรวมกับแอปพลิเคชันบนเว็บยอดนิยมมากมาย เช่น Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk และอื่นๆ อีกมากมาย

Facebook และ Google เสนอการรวม SSO กับระบบบนเว็บหลายพันระบบ ทุกครั้งที่ผู้ใช้ต้องการสมัครใช้บริการใหม่ที่มีความสามารถในการรวม SSO นี้ หน้าจอลงทะเบียน/เข้าสู่ระบบจะเสนอกระบวนการลงชื่อเข้าใช้โดยใช้ข้อมูลจาก Facebook SSO, Google SSO หรือที่ไม่ใช่ SSO โดยใช้บัญชีอีเมลของผู้ใช้เป็นชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้เลือก

การรวมเว็บ SSO กับบริการคลาวด์

บริการคลาวด์มีวิธีการจัดการการเข้าถึงผู้ใช้บนคลาวด์และอาจยอมรับการรับรองความถูกต้องจากระบบของบุคคลที่สาม ตัวอย่างเช่น Amazon Web Services (AWS) ซึ่งเป็นผู้ให้บริการระบบคลาวด์ที่ใหญ่ที่สุดในโลก นำเสนอระบบการจัดการการเข้าถึงข้อมูลประจำตัวภายใน AWS และอนุญาตให้ผู้ใช้ตรวจสอบสิทธิ์โดยระบบของบุคคลที่สาม

การเชื่อมต่อที่ทำกับระบบของบริษัทอื่นทำได้ผ่านตัวเชื่อมต่อ AWS IAM Authenticator คุณลักษณะนี้ช่วยให้ผู้ดูแลระบบสามารถเลือกบริการต่างๆ ที่มี SSO ของเว็บได้ เช่น การเชื่อมต่อกับ Amazon EKS กับ Kubernetes แบบโอเพนซอร์สหรือ Github

ความเสี่ยงด้านความปลอดภัยของการลงชื่อเพียงครั้งเดียวบนเว็บ

มีเครื่องมือในการปรับปรุงความปลอดภัย IAM ที่ช่วยให้องค์กรจัดการความเสี่ยงได้ Web SSO ช่วยลดความเสี่ยงในขณะที่เพิ่มความเสี่ยงอื่นๆ

ตัวอย่างเช่น การโจมตีแบบฟิชชิงมีประสิทธิภาพน้อยกว่า เนื่องจากเมื่อผู้ใช้ถูกหลอกโดยสำเนาเว็บไซต์ปลอม พวกเขาจะไม่เข้าสู่ระบบโดยให้ชื่อผู้ใช้และรหัสผ่าน หากเว็บไซต์เป็นของปลอม เซิร์ฟเวอร์ SSO จะไม่ได้รับความเชื่อถือและไม่ได้รับโทเค็นเซสชันในเครื่องหากพยายามส่งโทเค็นผู้ใช้ทั่วโลกเพื่อขอ ในกรณีนี้ การเข้าสู่ระบบจากเว็บไซต์ปลอมจะล้มเหลวโดยอัตโนมัติ ซึ่งป้องกันผู้ใช้จากการถูกความพยายามหลอก

ความเสี่ยงที่เพิ่มขึ้นอาจมาจากการมีชื่อผู้ใช้และรหัสผ่านเดียวสำหรับระบบการตรวจสอบสิทธิ์ SSO ข้อมูลที่เป็นความลับนี้จำเป็นต้องได้รับการปกป้องอย่างดี เพราะหากถูกขโมย สามารถใช้เข้าสู่ระบบบริการออนไลน์ต่างๆ ได้

กลยุทธ์ด้านหลักทรัพย์ที่อิงตามนโยบาย Zero-trust เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย การรีเซ็ตรหัสผ่านอัตโนมัติ ต้องใช้รหัสผ่านที่ซับซ้อนซึ่งแตกต่างกันสำหรับการรีเซ็ตรหัสผ่านแต่ละครั้ง และการควบคุมการเข้าถึงอุปกรณ์จะช่วยเพิ่มความปลอดภัยให้กับระบบ SSO

บทสรุป

Web SSO สะดวกและใช้กันอย่างแพร่หลาย อย่างไรก็ตาม ระบบ SSO ของเว็บทั้งหมดไม่ได้ถูกสร้างขึ้นอย่างเท่าเทียมกัน การเลือกผู้ให้บริการตรวจสอบสิทธิ์ SSO อย่างระมัดระวังเป็นกฎข้อแรกของการใช้การตรวจสอบสิทธิ์ประเภทนี้ การละเมิดข้อมูลของบุคคลที่สามนี้อาจเปิดเผยข้อมูลรับรองการเข้าสู่ระบบที่สามารถเข้าถึงระบบออนไลน์จำนวนมากที่อาจก่อให้เกิดความเสียหายร้ายแรง

CTO และผู้ดูแลระบบไอทีได้รับการสนับสนุนให้ดำเนินการตรวจสอบความปลอดภัยด้านไอทีอย่างสม่ำเสมอเกี่ยวกับขั้นตอนการพิสูจน์ตัวตน SSO ของตน และปฏิบัติตามกลยุทธ์ที่ไม่ไว้วางใจ การตรวจสอบความปลอดภัยที่ครอบคลุมรวมถึงการประเมินความปลอดภัยในเชิงลึกของบุคคลที่สามที่ให้บริการการรับรองความถูกต้อง