Web SSO Nedir ve Nasıl Çalışır?

Yayınlanan: 2019-08-12

Security Magazine'e göre ortalama bir iş kullanıcısı, profesyonel kullanım için 191 ve özel kullanım için düzinelerce parolayı yönetiyor. 50.000 çalışanı olan bir kuruluş, çalışanları tarafından kullanılan 10 milyona kadar parolaya sahip olabilir. Bu kadar çok parola olduğu için, siber saldırılardan kaynaklanan güvenlik ihlalleri çoğunlukla parolaların neden olduğu güvenlik açıklarından kaynaklanır.

Riskler, çok basit, tahmin edilmesi kolay, birden fazla sistem için kullanılan ve yeterince sık değiştirilmeyen şifrelerden kaynaklanmaktadır. Güvenlik için en iyi uygulamalar, aynı parolayı birden fazla sistemde kullanmamaktır. Çoğu profesyonel bu kuralı bilir. Bununla birlikte, ortalama iş kullanıcılarının %61'i her yerde aynı şifreyi kullandığını kabul ediyor.

Bu parola şişmesinden kaynaklanan bir başka sorun da çalışanların parola yazarak çok fazla zaman harcamasıdır.

Parola yönetimi sorunu için bir çözüm, çok fazla parola kullanma ihtiyacını ortadan kaldırmaktır. Farklı çevrimiçi hizmetlere erişmek için bir grup parola kullanmak yerine, “web tabanlı çoklu oturum açma” (Web SSO) sisteminden gelen merkezi bir kimlik doğrulama yöntemi kullanmak mümkündür.

Web SSO nedir?

Bir web SSO sistemi, bir kullanıcının, benzersiz bir kullanıcı adı ve parola olan kimlik doğrulama için bir dizi kimlik bilgisi ile SSO web hizmetini kullanarak oturum açmasına olanak tanır. Ardından, bu kimlik doğrulama, diğer birçok web tabanlı uygulamaya ve parola korumalı web sitesine erişmelerine olanak tanır.

Kimlik doğrulaması için SSO'ya izin veren çevrimiçi hizmetler ve web siteleri, kullanıcıların kimliğini doğrulamak için güvenilir bir üçüncü taraf sağlayıcıya güvenir.

Web çoklu oturum açma nasıl çalışır?

Bir web çoklu oturum açma sistemi, çevrimiçi sistemler ve web siteleri arasındaki güven ilişkisine dayanır.

Bir kullanıcı çevrimiçi bir hizmette veya parola korumalı bir web sitesinde oturum açtığında, kimlik doğrulama için web SSO sistemleri tarafından atılan adımlar şunlardır:

  1. Oturum Açmayı Doğrula : İlk adım, kullanıcının kimlik doğrulama sisteminde zaten oturum açıp açmadığını kontrol etmektir. Kullanıcı oturum açtıysa, erişim hemen verilir. Değilse, kullanıcı oturum açması için kimlik doğrulama sistemine yönlendirilir.
  2. Kullanıcı Girişi : Her oturum için, kullanıcı önce benzersiz bir kullanıcı adı ve şifre ile kimlik doğrulama sisteminde oturum açmalıdır. Kimlik doğrulama sistemi, kullanıcı oturumu kapatana kadar etkin kalan oturum için bir belirteç kullanır.
  3. Kimlik Doğrulama Onayı : Kimlik doğrulama işlemi gerçekleştikten sonra, kimlik doğrulama bilgileri, kullanıcının doğrulamasını isteyen web hizmetine veya web sitesine iletilir.

Web SSO'ya karşı Parola Kasası

Web SSO, çeşitli çevrimiçi hizmetler için farklı parolalardan oluşan güvenli bir kasaya sahip olmaktan farklıdır. Parola kasası, birden çok parolayı tek bir kullanıcı adı ve parolayla koruyor. Ancak, bir kullanıcı yeni bir çevrimiçi hizmete her gittiğinde, bu hizmette oturum açmayı gerektirir. Form alanları parola kasasından otomatik olarak doldurulsa bile, yine de bir oturum açma işlemi gerekir.

Web SSO ile, bir kullanıcının kimliği doğrulandıktan sonra, o kimlik doğrulama sistemini kullanan herhangi bir web hizmetinde oturum açmaya gerek yoktur. Buna "bir kez oturum aç/tümünü kullan" kimlik doğrulama işlemi denir.

Sıfırdan Tek Bir Oturum Açma Çözümü Oluşturma

Bazı kullanımlar için sıfırdan basit bir tek oturum açma çözümü oluşturmak mümkündür. Java kullanan kaynak kodun bir örneği, bu yöntemi denemek isteyenler için codeburst.io'da verilmiştir. Belirteçleri kullanarak çalışır. Belirteç, tek seferlik kullanım için oluşturulmuş, tahmin edilmesi zor, rastgele ve benzersiz bir dizi karakterdir.

Bir kullanıcının web SSO sisteminde oturum açması, yeni bir oturum ve genel bir kimlik doğrulama belirteci oluşturur. Bu jeton kullanıcıya verilir. Bu kullanıcı oturum açmayı gerektiren bir web hizmetine gittiğinde, web hizmeti kullanıcıdan genel belirtecin bir kopyasını alır ve ardından kullanıcının kimliğinin doğrulanıp doğrulanmadığını görmek için SSO sunucusuyla kontrol eder.

Kullanıcı zaten SSO sisteminde oturum açtıysa, belirtecin gerçek olduğu SSO sunucusu tarafından doğrulanır ve bu, kullanıcının bilgileriyle birlikte web hizmetine başka bir belirteç döndürür. Buna yerel belirteç denir. Token değişimi, kullanıcının müdahalesi olmadan arka planda otomatik olarak yapılır.

Popüler Web Sitesi Tek Oturum Açma Çözümleri

Daha gelişmiş kullanımlar için birçok sağlam tekli oturum açma çözümü mevcuttur. Web sitesi çoklu oturum açma çözümlerini kullanan kimlik doğrulama, Capterra tarafından incelenen bu popüler web tabanlı SSO sistemlerini içerir:

  • Son Geçiş
  • ADSelfService Plus
  • Yeni Nesil Erişim Bulutu
  • SAP Tek Oturum Açma
  • JumpCloud Verileri
  • OneSign
  • Blink Kurumsal
  • Güvenli Yetkilendirme
  • SAML Web Tarayıcısı TOA Profili
  • Açık Kimlik

Web SSO'nun Faydaları

Web tabanlı çoklu oturum açma kullanışlı olduğu için kullanışlıdır. Daha kolay, daha hızlıdır ve parola yardım istekleri azalır. Kullanıcıların birden fazla parolayı hatırlaması ve artık her web tabanlı hizmette ayrı ayrı oturum açması gerekmiyor.

Herhangi bir Google Gmail hesabı sahibi için popüler bir web SSO örneği mevcuttur. Gmail'de tek bir oturum açarak, bu kullanıcılar, Gmail hesaplarından çıkış yapana kadar tekrar oturum açmaya gerek kalmadan kullanıcıya sunulan tüm Google ürünlerine erişim elde eder. Gmail'i açmak, bu kullanıcıların Google Drive, Google Fotoğraflar, Google Apps ve kişiselleştirilmiş YouTube sürümlerine anında erişmelerini sağlar.

Web SSO ile, çeşitli hizmetlerde oturum açmak için aksi takdirde boşa harcanacak zaman yeniden kazanılır. Web servisleri için şifre sorunları ile ilgili şikayetler neredeyse ortadan kalkar. Çevrimiçi hizmetlere bağlanma süreci, mobil cihaz da dahil olmak üzere tüm cihazlarda verimli bir şekilde çalışır ve bu da üretkenliği artırır.

Kurumsal Çapta Kimlik Erişimi Yönetimi

Web tabanlı SSO, büyük bir kuruluş tarafından kimlik doğrulama için kullanılabilir. Web SSO'su, kullanıcının özel şirket verilerine ve ağ bağlantılı sistemlere erişmesinin yanı sıra aynı kimlik doğrulama protokollerini kabul eden diğer kuruluşlar tarafından sağlanan çevrimiçi kaynakları kullanması için tek bir oturum açmaya izin verir.

Popüler Web Tabanları Hizmetleriyle SSO Entegrasyonu

Harici tek kayıt/oturum açma hizmetleri, Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk ve daha pek çok popüler web tabanlı uygulamayla entegrasyon sunar.

Facebook ve Google, binlerce web tabanlı sistemle SSO entegrasyonu sunar. Bir kullanıcı, bu SSO entegrasyon özelliğine sahip yeni bir hizmete kaydolmak istediğinde, kaydolma/oturum açma ekranı, Facebook SSO, Google SSO veya SSO olmayan bir kullanıcıdan gelen bilgileri kullanarak bir oturum açma işlemi sunacaktır. kullanıcı adı ve kullanıcı tarafından seçilen bir şifre olarak bir kullanıcının e-posta hesabını kullanarak seçeneği.

Bulut Hizmetleri ile Web SSO Entegrasyonu

Bulut hizmetlerinin kendi bulut kullanıcı erişim yönetimi yöntemleri vardır ve ayrıca üçüncü taraf sistemlerden kimlik doğrulamayı kabul edebilir. Örneğin, dünyanın en büyük bulut hizmetleri sağlayıcısı olan Amazon Web Services (AWS), kendi kimlik erişim yönetimi sistemini AWS içinde sunar ve üçüncü taraf sistemler tarafından kullanıcı kimlik doğrulamasına izin verir.

Üçüncü taraf sistemlerle yapılan bağlantı, AWS IAM Authenticator bağlayıcısı aracılığıyla sağlanır. Bu özellik, sistem yöneticilerinin Amazon EKS ile açık kaynaklı Kubernetes veya Github'a yapılan bağlantı gibi web SSO'su sağlayan birçok hizmet arasından seçim yapmasına olanak tanır.

Web Tabanlı Tek Oturum Açmanın Güvenlik Riskleri

İşletmelerin riski yönetmesine yardımcı olan IAM güvenliğini geliştirmeye yönelik araçlar vardır. Web SSO, diğer riskleri artırırken bazı riskleri azaltır.

Örneğin, kimlik avı saldırıları daha az etkilidir, çünkü bir kullanıcı bir web sitesinin sahte bir kopyası tarafından kandırıldığında, bir kullanıcı adı ve şifre vererek oturum açmazlar. Web sitesi sahteyse, SSO sunucusu tarafından güvenilmez ve talep etmek için genel bir kullanıcı belirteci göndermeye çalışırsa yerel bir oturum belirteci almaz. Bu durumda, sahte siteden oturum açma işlemi otomatik olarak başarısız olur ve bu da kullanıcıyı girişim tarafından kandırılmaktan korur.

Artan risk, SSO kimlik doğrulama sistemi için tek bir kullanıcı adı ve parolaya sahip olmaktan kaynaklanabilir. Bu gizli verilerin son derece iyi korunması gerekir çünkü çalınması durumunda birçok çevrimiçi hizmette oturum açmak için kullanılabilir.

Çok faktörlü kimlik doğrulama, otomatik parola yeniden ayarlama, her parola sıfırlama için farklı karmaşık parolalar gerektirme ve cihaz erişim kontrolleri gibi sıfır güven ilkesine dayalı güvenlik stratejileri, SSO sistem güvenliğini artırmaya yardımcı olur

Çözüm

Web SSO çok kullanışlıdır ve yaygın olarak kullanılmaktadır. Ancak, tüm web SSO sistemleri eşit olarak oluşturulmaz. SSO kimlik doğrulama sağlayıcısının dikkatli seçimi, bu tür bir kimlik doğrulamayı kullanmanın ilk kuralıdır. Bu üçüncü tarafın herhangi bir veri ihlali, potansiyel olarak ciddi hasara neden olabilecek birçok çevrimiçi sisteme erişebilen oturum açma kimlik bilgilerini açığa çıkarabilir.

CTO'lar ve BT yöneticileri, SSO kimlik doğrulama prosedürlerine ilişkin düzenli BT güvenlik incelemeleri yapmaya ve sıfır güven stratejisini izlemeye teşvik edilir. Kapsamlı bir güvenlik incelemesi, kimlik doğrulama hizmetleri sağlayan tüm üçüncü tarafların kapsamlı bir güvenlik değerlendirmesini içerir.