Единая регистрация (SSO)

Хорошо известно, что большинство компаний активно работают в социальных сетях и/или используют преимущества облачных сервисов, а также мобильных устройств, таких как смартфоны и планшеты. Эти виды технологий уже давно стали неотъемлемой частью повседневной рабочей жизни. Это означает, что вам придется запоминать множество паролей — в дополнение к тем, которые вы уже придумали для своей личной электронной почты и аккаунтов в социальных сетях.

Поэтому неудивительно, что повседневный пользователь Интернета страдает от серьезного случая хронической «усталости от паролей» — в итоге вы прибегаете к простым цифровым последовательностям, таким как «12345», или записываете важные пароли на листочках на мониторе компьютера. Долгосрочными последствиями этого является не только снижение производительности, но и отсутствие безопасности данных. Решение проблемы: единый вход в систему, или сокращенно SSO. Но что такое единый вход, и насколько безопасен этот популярный метод аутентификации?

Что такое SSO?

Единый вход описывает процедуру аутентификации в ИТ, которая в основном всегда проходит одинаково:

  1. Веб-пользователь один раз входит в систему на своей рабочей станции.
  2. Таким образом, он получает доступ ко всем компьютерам и сервисам (включая облако), для которых он локально авторизован, до тех пор, пока он находится на той же рабочей станции.
  3. Как только пользователь выходит со своей рабочей станции, все права доступа больше не действуют. Это происходит либо по истечении заранее определенного периода, либо когда пользователь вручную выполняет однократный выход или однократную регистрацию.

Таким образом, SSO — это метод доступа для нескольких связанных, но независимых приложений, при котором пользователь должен войти в систему только один раз вместо того, чтобы вводить свои данные доступа отдельно для каждого программного обеспечения. Благодаря удобству для пользователя процедуры единого входа используются как в частном секторе (веб-приложения и частные облака), так и в профессиональном секторе (приложения и порталы, используемые внутри компании в интранете).

Как работает единая регистрация?

Если веб-пользователь хочет войти в несколько сервисов и приложений во время сеанса, ему обычно приходится вводить данные доступа отдельно для каждого из них. Если же пользователь зарегистрировался с помощью службы единого входа, то эту задачу выполняет пакет программного обеспечения, установленный выше. Это программное обеспечение имеет в своем распоряжении все данные доступа пользователя и полностью автоматически проверяет их на всех других сервисах без какого-либо вмешательства со стороны пользователя. Используется единая, всеобъемлющая идентификация пользователя (подобно VIP-бейджу), которая известна всем участвующим приложениям и считается надежной благодаря репутации службы единого входа.

Для обеспечения бесперебойной работы такой процедуры единого входа используются различные системы аутентификации и авторизации.

OpenID

OpenID — это открытый стандарт аутентификации, который используется для более чем миллиарда учетных записей, включая Google, WordPress и PayPal. Последняя версия системы называется OpenID Connect (OIDC) и представляет собой комбинацию OpenID и OAuth2. Если она используется с процедурой единого входа, пользователю необходим аккаунт OpenID, который он получает от так называемого провайдера идентификации OpenID (например, Google). С помощью этой учетной записи (или соответствующего URL) пользователь входит на все веб-сайты, которые также поддерживают OpenID. При этом доверенный провайдер идентификации передает соответствующему веб-сайту «токен» в качестве подтверждения личности пользователя.

Образно говоря, SSO через OpenID можно представить как путешествие, в котором вы пересекаете границу. Путешественник (пользователь) использует паспорт, выданный правительством (поставщиком идентификационных данных), которому доверяет страна назначения (веб-сайт). Паспорт подтверждает личность путешественника. Хорошим примером этого является кнопка «Войти с помощью Facebook», которую можно найти на многих сайтах.

OAuth2

В отличие от OpenID, OAuth2 является инструментом авторизации, а не аутентификации. Основное отличие заключается в том, что вместо того, чтобы доказывать свою подлинность, вы должны делегировать это так называемому клиенту, который входит на веб-страницу с маркером от поставщика идентификационных данных. Преимуществом этого является то, что вам не нужно передавать данные на соответствующий веб-сайт.

Подходящей метафорой для этого будет «сидение в доме»: Если владелец дома (в качестве пользователя) передает ключ от своего дома другу (клиенту), то друг «авторизуется» для входа в дом (на веб-сайт). OAuth2 используется, например, когда вы хотите импортировать друзей из своего аккаунта Facebook в другой сервис, не передавая ему информацию о себе.

Факт

ИТ-термины «аутентификация» и «авторизация» часто путают или ошибочно используют как синонимы из-за их незначительных различий. Аутентификация происходит, когда служба идентифицирует пользователя на основе его данных доступа. В случае авторизации пользователь предоставляет службе право использовать определенные данные и функции своего профиля.

SAML

SAML является самой старой из трех упомянутых систем и служит открытым стандартом как для аутентификации, так и для авторизации в процедуре SSO. Здесь также проводится различие между тремя основными сторонами: пользователем (называемым принципалом), веб-сайтом (называемым поставщиком услуг) и поставщиком идентификационных данных, который осуществляет проверку. Процесс очень похож на OpenID, поэтому соответствующая метафора паспорта применима и здесь.

Однако веб-сайт SAML всегда сам делает активный запрос на идентификацию, который отправляется поставщику идентификационных данных в виде XML-сообщения с подробным указанием требуемой информации. В ответ поставщик идентификационных данных выдает так называемое утверждение, которое содержит запрашиваемую информацию об аутентификации и авторизации, а также специфические атрибуты, такие как адреса электронной почты и номера телефонов пользователей. SAML также можно описать как выдачу персональных правительственных документов по запросу целевой страны.

Решения для единой регистрации

Существует три основных подхода к реализации процессов SSO в распространенной ИТ-практике:

Портальное решение

Как следует из названия, пользователь входит в это решение SSO на портале — системе, в которую интегрированы различные приложения, процессы и сервисы. После успешной аутентификации эта система предоставляет пользователю идентификатор (например, cookie), который дает ему доступ ко всем функциям, интегрированным в портал. Хорошим примером является учетная запись Google: После регистрации и входа в систему вы также получаете немедленный доступ к другим сервисам всей группы Google, таким как Play Store или Google Mail.

Билетная система

Смысл тикетинга заложен уже в названии: в основе этого SSO-решения лежит сеть известных сервисов. Если пользователь входит в одну из этих служб, ему присваивается виртуальный билет для идентификации со всеми остальными участниками из этого «круга доверенных лиц». В качестве примера можно привести службу аутентификации Kerberos и проект Liberty Alliance.

Локальное решение

При локальном решении единой регистрации клиент SSO обычно устанавливается на рабочей станции. Эта рабочая станция настраивается таким образом, что получает данные доступа для всех необходимых приложений и служб, например, из зашифрованного локального файла на жестком диске, сервера в локальной сети или базы данных, и автоматически вводит их на экране входа в систему. Парольные службы таких браузеров, как Safari или Chrome, являются клиентами единой регистрации. Еще один особенно безопасный метод — использование физического «маркера» в качестве носителя информации о доступе. Для этого можно использовать USB-накопитель или смарт-карту.

В чем плюсы и минусы единой регистрации?

С помощью SSO вы можете получить доступ к нескольким сервисам и приложениям без необходимости регистрироваться в каждом из них по отдельности.

Преимущества единого входа

Для пользователей основным преимуществом является то, что им больше не нужно запоминать десятки паролей. Это даже освобождает пользователя от необходимости управлять паролями, поэтому процедуры единого входа также рассматриваются как альтернатива менеджерам паролей. Поскольку это такая удобная альтернатива, и поскольку она экономит время и хлопоты, решения SSO используются как в частном, так и в профессиональном контексте.

Компании, внедряющие SSO в свою деятельность, ожидают большей продуктивности от своих сотрудников и меньшего количества обращений в службу поддержки из-за забытых паролей. Таким образом, у ИТ-отдела меньше работы и меньше затрат. В то же время IT-специалистам проще назначать учетные записи новым сотрудникам или удалять доступы бывших сотрудников.

Кроме того, решения SSO дают преимущества для безопасности внутренних данных компании. Если сотрудники должны помнить только один пароль, он может быть гораздо более сложным. Таким образом, можно избежать типичных ошибок при выборе пароля, которые часто являются причиной успешных хакерских атак. Пароль нужно вводить только на одном интерфейсе, а это снижает вероятность фишинговых атак и атак типа «человек в браузере». В этих условиях компания может позволить себе сосредоточить все усилия по обеспечению безопасности — например, SSL-сертификаты — в одной области.

Недостатки SSO

С другой стороны, существует определенная сложность внедрения, а также присущие единой регистрации недостатки. По сути, можно использовать только те сервисы, которые поддерживаются соответствующей системой SSO. Если система SSO выйдет из строя, доступ к соответствующим приложениям будет ограничен или невозможен. Это происходит, например, при интеграции аккаунтов социальных сетей, которые блокируются сетью в библиотеках и образовательных учреждениях, по производственным причинам на некоторых рабочих местах или в странах с активной цензурой (например, в Китайской Народной Республике).

Следует также учитывать фактическую безопасность единой регистрации. Если пользователь покидает свою рабочую станцию, третья сторона теоретически может использовать время до автоматического «единого выхода», чтобы воспользоваться доступом, предоставленным в результате входа. Также проблематично, если «мастер-пароль» для интерфейса SSO попадет в чужие руки — это дает злоумышленнику немедленный доступ ко всем связанным с ним сервисам.

Есть также опасения в связи с GDPR, в котором с 25 мая 2018 года по всей Европе ужесточились требования к защите персональных данных. Теперь для использования единой регистрации необходимо получить явное согласие пользователей. В прошлом такое согласие также требовалось, но правовые нормы, связанные с этой ситуацией, были изменены настолько, что теперь ситуация стала намного строже.

Учитывая эти потенциальные риски, необходимо уделять особое внимание безопасности данных, хранящихся на стороне сервера. Имеет смысл повысить безопасность функций SSO с помощью двухфакторной аутентификации или других решений, таких как смарт-карты или токены, которые могут генерировать TAN.

Тематическое исследование: Facebook против Verimi

Преимущества и недостатки единой регистрации можно проиллюстрировать на примере Facebook. Платформа социальной сети позволяет пользователю использовать свою учетную запись Facebook для регистрации и входа на другие веб-сайты. Так называемый социальный плагин в виде кнопки «Войти с помощью Facebook» интегрируется на соответствующую страницу регистрации или входа. Это удобно для пользователя, но имеет и тот недостаток, что чем больше сервисов и приложений связано с аккаунтом Facebook таким образом, тем больше персональных данных собирает Facebook. В этом случае достаточно одной успешной кибератаки, чтобы получить доступ ко всем личным данным.

Facebook также передал этим сервисам данные, которые на самом деле предназначались исключительно для платформы социальной сети. Сюда входят публичные данные, такие как имя и фотография профиля, но также передавались и непубличные данные, такие как возраст человека, место жительства и статус отношений. Хотя Facebook сообщает о своей политике передачи данных максимально прозрачно, для использования определенных сервисов у пользователей часто нет другого выбора, кроме как согласиться на такой обмен данными. Facebook также получает данные от связанных с ним сервисов. С их помощью платформа может пополнять свои профили пользователей и размещать еще более целевую, персонализированную рекламу.

Новый поставщик идентификационных данных SSO должен обеспечить более высокий уровень защиты данных и прозрачности и в перспективе использоваться также для банковских и административных операций. Основой для этого являются правила защиты данных, а также кодированное хранение персональных данных в исключительно европейских компьютерных центрах. Однако степень продолжения проекта зависит от того, сколько партнеров будут интегрировать его в веб-сайты и приложения в будущем.

Резюме: единая регистрация — да или нет?

Если исследовать единую регистрацию в Интернете, то можно найти относительно мало негативной информации об удобной процедуре многократной аутентификации. Напротив, в течение многих лет она рассматривалась как откровенное откровение для цифрового рабочего места с точки зрения комфорта и безопасности данных. Американский брокер по обеспечению безопасности доступа к облакам (CASB) Bitglass восхваляет глобальное использование облачных сервисов в компаниях, но в то же время критикует сравнительно слабое применение методов единого входа. В статье говорится, что использование непреднамеренно конкурирующих решений доступа к сервисам и приложениям не позволяет в полной мере использовать потенциал цифровизации.

Однако есть и другая сторона медали. Как мы уже говорили, единая регистрация — это удобное решение как для частного, так и для публичного использования. Однако при этом возникают определенные риски для безопасности. Например, если мастер-пароль будет утечен или передан не тому человеку, все данные, защищенные этим решением, окажутся под угрозой. Кроме того, при использовании физического решения, например, USB-токена, существует риск, что если сотрудник потеряет его, он может попасть в чужие руки.

Оцените статью
cdelat.ru
Добавить комментарий