Технология единого входа

Главная > Статьи > Технология единого входа

Определение технологии

Информационная безопасность любой современной системы строится на нескольких элементах, важнейшим из которых считается аутентификация. Термин описывает процесс, в ходе которого определятся подлинность пользователя, запрашивающего доступ к ресурсу. Говоря простым языком, аутентификация позволяет пользователю подтвердить, что он является той личностью, которой претендует быть.

Для успешной аутентификации учетные данные, предоставленные пользователем, должны совпасть с теми, что хранятся в базе данных ресурса. Сама процедура сверки может строиться на основе трех различных факторов: знание (пароль пользователя), владение (токен доступа) и биометрия. При совпадении информации пользователю предоставляется доступ к ресурсу.

Комбинирование разных методов аутентификации обеспечивает более высокий уровень информационной безопасности. Аутентификация бывает однофакторной, двухфакторной и многофакторной. Последний вариант дает наибольшую защиту, поскольку пользователь должен не только ввести логин и пароль, но и подтвердить подлинность при помощи SMS-кода или push-уведомления в мобильном приложении.

Однако у многофакторной аутентификации есть существенный недостаток. Всякий раз, когда пользователь пытается получить необходимый уровень доступа к ресурсу, ему приходится тратить время на подтверждение личности. Решить подобную проблему призвана технология единого входа.

single-sign-on-what-is-it

Технология единого входа (SSO, Single Sign-On) предлагает пользователю разовую безопасную аутентификацию с унифицированным набором данных в различных программных продуктах или на нескольких веб-сайтах. Благодаря единому входу пользователю достаточно лишь единожды ввести учетные данные, чтобы получить доступ к необходимым сервисам в рамках одной сессии.

Пример: представьте, что вам нужно войти в учетную запись на двух разных доменах. Веб-браузеры используют правило ограничения домена (Same-Origin Policy), согласно которому cookie-файлы и прочие локально хранимые данные доступны только тому домену, который их создал. То есть веб-сайт на одном домене не может получить доступ к cookie-файлам из другого домена и наоборот. Технология SSO делает возможным совместное использование информации о сеансе в разных доменах.

Принцип работы Single Sign-On

Существуют несколько протоколов единого входа, по-разному обменивающихся информацией о сеансе, однако базовая концепция их работы одинакова. Есть первичный домен (веб-сайт или приложение), через который выполняется аутентификация, а затем данные о ћсеансе одним из доступных способов передаются другим, вторичным доменам.

Принцип работы SSO заключается в существовании доверенной стороны — именно она проводит аутентификацию и выпускает утверждения о пользователе, заверенные этой стороной.

single-sign-on-principle

Когда пользователь запрашивает доступ к ресурсу, тот проверяет, была ли выполнена аутентификация SSO. Ресурс отправляет токен с информацией о пользователе (например, логин или email-адрес) системе управления доступами, которая смотрит, аутентифицировался ли пользователь или нет. Если ответ положительный — он получает доступ, в противном случае переводится на корпоративный SSO, где ему нужно ввести идентификационные данные, например, логин и пароль.

SSO запрашивает аутентификацию этих данных и после того как их одобрит, он вернет токен ресурсу, подтверждающему подлинность личности пользователя. Пользователь возвращается на исходный ресурс и получает защищенный доступ к нему.

Возможности SSO-технологии

Single Sign-On избавляет от необходимости хранить пароли и иные данные в локальных базах данных, что практически устраняет опасность столкнуться с их утечкой. Кроме того, технология SSO делает невозможным несанкционированное изменение пользовательских данных.

Организация, использующая SSO, может выстроить гибкую политику назначения паролей и облегчить себе работу по генерированию и частоте смены паролей в различных системах и сервисах.

Технология Single Sign-On защищает:

  • от кражи паролей пользовательских учетных записей и регистрационных данных,
  • от входа на сетевые ресурсы или в приложения под чужими учетными записями,
  • от утечки конфиденциальной информации из локальных баз данных,
  • от несанкционированного изменения данных.

Ключевые преимущества SSO-технологии

Важнейшим преимуществом Single Sign-On можно считать устранение «парольного хаоса», когда пользователю приходилось перебирать различные комбинации паролей и логинов, чтобы получить доступ к ресурсу. Поскольку SSO подразумевает единый механизм аутентификации для первичного и вторичных доменов, пользователю достаточно запомнить лишь один пароль. Это преимущество неизбежно тянет за собой сокращение времени, необходимое на аутентификацию: у пользователя не возникнет проблем из-за неправильного ввода паролей.

Офицеры по информационной безопасности предприятия могут настроить оптимальные политики для защиты систем и приложений, которые будут построены на унифицированных наборах правил паролирования. Кроме того, они без труда могут лишить прав пользования ресурсами сотрудников с ограниченным доступом или уволившихся.

single-sign-on-benefits

За счет многофакторной аутентификации Single Sign-On позволяет обеспечить эффективную безопасность ресурсов и конфиденциальных данных, поскольку действия пользователя защищаются на каждом уровне входа/выхода и доступа.

Кроме того, технология Single Sign-On позволяет повторно не вводить «креденшелы». Напомним, что credentials — это набор аргументов, которым пользователь доказывает, что он является тем, на чью личность претендует. Это могут быть логин с паролем, сертификат или биометрические данные.

Реализация SSO. Известные решения

Увеличение спроса на ИБ-решения способствует тому, что разработчики программного обеспечения по всему миру создают свои продукты, реализующие технологию SSO. Single Sign-On на два основных вида технологий единого входа:

Enterprise SSO — решение устанавливается на рабочие станции пользователей и обеспечивают автоматическую подстановку в формы аутентификации приложения реквизиты пользователя;

Web SSO — решения, обеспечивающие аутентификацию в веб-приложениях. Они предоставляют подключенным приложениям единый сервис аутентификации с поддержкой протоколов SAML, OAuth 2.0 и OpenID Connect. При этом для доступа ко всем приложениям используется одна учетная запись.

Рассмотрим несколько известных решений, поддерживающих технологию SSO.

Oracle Enterprise Single Sign-On. Набор продуктов, обеспечивающий однократную аутентификацию и прозрачное подключение пользователей к приложениям, установленным на «толстых» и «тонких» клиентах. Не требует изменять существующие приложения. Автоматизированный вход пользователей повышает безопасность системы и ускоряет процедуру аутентификации для каждого сотрудника компании.

Avanpost Web SSO. Российская разработка — представляет собой систему управления аутентификацией пользователей в корпоративных ресурсах организации. Основана на механизме единого входа в приложение или веб-ресурс. Вход в различные системы происходит с применением одного идентификатора. Использует разные факторы аутентификации — токены, смарт-карты и биометрические данные.

IBM Security Access Manager for Enterprise Single Sign-On. Один из крупнейших производителей ПО предлагает решение на базе продукта Security Access Manager, которое автоматизирует доступ к приложениям всем сотрудникам компании. Работа настроена на строгую настройку профилей и политик безопасности и обеспечивает поддержку работы на любых устройствах корпоративной сети (планшеты, десктопы, мобильные терминалы и проч.)

Наше решение eKassir Identity Platform позволяет создать единый центр аутентификации и авторизации внешних и внутренних пользователей и сервисов. В решении реализованы механизм входа Single Sign-On и поддержка протоколов аутентификации OAuth 2.0 и OpenID Connect.

В состав комплекса Identity Platform входит компонент Access Manager, предоставляющий функции централизованного управления учетными записями и обеспечивает аутентификацию через внешних провайдеров: ЕСИА, Google, ВКонтакте и проч.

Одна из ключевых «фишек» решения — поддержка стандарта безопасности ФАПИ.СЕК Банка России и прикладных стандартов безопасности, которые отвечают за защиту проведения платежей и взаимодействия между доверенными участниками среды Открытых API.