Единый вход

Схема аутентификации

Единый вход ( SSO ) — это схема аутентификации, которая позволяет пользователю входить в систему с использованием одного идентификатора в любой из нескольких связанных, но независимых программных систем.

Настоящий единый вход позволяет пользователю войти в систему один раз и получить доступ к услугам без повторного ввода факторов аутентификации.

Его не следует путать с проверкой подлинности сервера каталогов (Directory Server Authentication), которая часто выполняется с использованием протокола LDAP (Lightweight Directory Access Protocol ) и хранящихся баз данных LDAP на серверах (каталогов). ^{[1] [2]}

Простую версию единого входа можно реализовать через IP-сети с использованием файлов cookie , но только если сайты имеют общий родительский домен DNS. ^[3]

Для ясности проводится различие между аутентификацией сервера каталогов (один и тот же вход) и единым входом: аутентификация сервера каталогов относится к системам, требующим аутентификации для каждого приложения, но использующим одни и те же учетные данные с сервера каталогов, тогда как единый вход относится к системам, в которых единая аутентификация обеспечивает доступ к нескольким приложениям путем беспрепятственной передачи токена аутентификации настроенным приложениям.

Напротив, единый выход из системы или единый выход из системы ( SLO ) — это свойство, при котором одно действие выхода из системы прекращает доступ к нескольким программным системам.

Поскольку разные приложения и ресурсы поддерживают разные механизмы аутентификации , система единого входа должна хранить внутри себя учетные данные, используемые для первоначальной аутентификации, и преобразовывать их в учетные данные, необходимые для разных механизмов.

Другие общие схемы аутентификации, такие как OpenID и OpenID Connect , предлагают другие сервисы, которые могут потребовать от пользователей сделать выбор во время входа на ресурс, но могут быть настроены для единого входа, если эти другие сервисы (например, согласие пользователя) отключены. ^[4] Все большее число федеративных социальных входов, таких как Facebook Connect , требуют от пользователя ввести варианты согласия при первой регистрации на новом ресурсе и поэтому не всегда являются единым входом в самом строгом смысле.

Преимущества

Преимущества использования единого входа включают в себя:

• Снижение риска доступа к сторонним сайтам («федеративная аутентификация») ^[5] , поскольку пароли пользователей не хранятся и не управляются извне
• Уменьшение утомляемости при использовании различных комбинаций имени пользователя и пароля
• Сокращение времени, затрачиваемого на повторный ввод паролей для одной и той же личности ^[5]
• Сокращение расходов на ИТ за счет уменьшения количества звонков в службу ИТ-поддержки по поводу паролей ^[6]
• Более простое администрирование. Задачи, связанные с SSO, выполняются прозрачно как часть обычного обслуживания с использованием тех же инструментов, которые используются для других административных задач.
• Лучший административный контроль. Вся информация по управлению сетью хранится в едином репозитории. Это означает, что существует единый авторитетный список прав и привилегий каждого пользователя. Это позволяет администратору изменять привилегии пользователя и знать, что результаты будут распространяться по всей сети.
• Улучшенная производительность пользователей. Пользователи больше не увязают в многочисленных входах в систему, и им не нужно запоминать множество паролей для доступа к сетевым ресурсам. Это также является преимуществом для персонала службы поддержки, которому нужно обрабатывать меньше запросов на забытые пароли.
• Лучшая безопасность сети. Устранение нескольких паролей также уменьшает распространенный источник нарушений безопасности — пользователей, записывающих свои пароли. Наконец, благодаря консолидации информации по управлению сетью администратор может быть уверен, что когда он отключает учетную запись пользователя, эта учетная запись полностью отключается.
• Объединение разнородных сетей. Объединяя разнородные сети, можно консолидировать административные усилия, гарантируя последовательное применение передовых административных практик и корпоративной политики безопасности.

SSO использует централизованные серверы аутентификации , которые все другие приложения и системы используют для аутентификации, и сочетает это с методами, гарантирующими, что пользователям не придется вводить свои учетные данные более одного раза.

Критика

Термин «сокращенный вход» (RSO) использовался некоторыми для отражения того факта, что единый вход нецелесообразен для удовлетворения потребности в различных уровнях безопасного доступа на предприятии, и поэтому может потребоваться более одного сервера аутентификации. ^[7]

Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), он увеличивает негативное воздействие в случае, если учетные данные становятся доступны другим людям и используются не по назначению. Поэтому единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и одноразовые пароли . ^[7]

Единый вход также увеличивает зависимость от высокодоступных систем аутентификации; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным в рамках единого входа. Единый вход может быть настроен с возможностями переключения сеансов при сбое для поддержания работы системы. ^[8] Тем не менее, риск сбоя системы может сделать единый вход нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или производственные системы.

Кроме того, использование методов единого входа с использованием социальных сетей , таких как Facebook , может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокируют сайты социальных сетей по причинам производительности. Это также может вызвать трудности в странах с активными режимами цензуры , таких как Китай и его « Проект Золотой щит », где сторонний веб-сайт может не подвергаться активной цензуре, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть. ^{[9] [10]}

Безопасность

В марте 2012 года ^[11] в исследовательской статье сообщалось о масштабном исследовании безопасности механизмов входа в социальные сети . Авторы обнаружили 8 серьезных логических недостатков в известных поставщиках удостоверений личности и веб-сайтах проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook , Janrain , Freelancer , FarmVille и Sears.com . Поскольку исследователи проинформировали поставщиков удостоверений личности и веб-сайты проверяющих сторон до публичного объявления об обнаружении недостатков, уязвимости были исправлены, и не было зарегистрировано ни одного нарушения безопасности. ^[12]

В мае 2014 года была раскрыта уязвимость под названием Covert Redirect . ^[13] Впервые об этом сообщил ее первооткрыватель Ван Цзинь, аспирант кафедры математики Наньянского технологического университета в Сингапуре, об «уязвимости Covert Redirect, связанной с OAuth 2.0 и OpenID». ^{[14] [15] [16]} Фактически, уязвимы почти все ^{[ обидные слова ]} протоколы единого входа. Covert Redirect использует сторонние клиенты, уязвимые для XSS или Open Redirect. ^[17]

В декабре 2020 года были обнаружены уязвимости в системах федеративной аутентификации, которые были использованы злоумышленниками во время утечки данных федерального правительства США в 2020 году . ^{[18] [19]}

Из-за того, как работает единый вход, отправляя запрос на вошедший в систему веб-сайт для получения токена SSO и отправляя запрос с токеном на вышедший из системы веб-сайт, токен не может быть защищен флагом cookie HttpOnly и, таким образом, может быть украден злоумышленником, если на вышедшем из системы веб-сайте есть уязвимость XSS, чтобы выполнить перехват сеанса . Другая проблема безопасности заключается в том, что если сеанс, используемый для SSO, украден (который может быть защищен флагом cookie HttpOnly в отличие от токена SSO), злоумышленник может получить доступ ко всем веб-сайтам, которые используют систему SSO. ^[20]

Конфиденциальность

Первоначально реализованный в Kerberos и SAML , единый вход не давал пользователям возможности выбора относительно раскрытия их личной информации каждому новому ресурсу, который посещал пользователь. Это работало достаточно хорошо в рамках одного предприятия, например, MIT, где был изобретен Kerberos, или крупных корпораций, где все ресурсы были внутренними сайтами. Однако по мере распространения федеративных служб, таких как Active Directory Federation Services , личная информация пользователя отправлялась на аффилированные сайты, не находящиеся под контролем предприятия, которое собирало данные от пользователя. Поскольку правила конфиденциальности теперь ужесточаются с помощью такого законодательства, как GDPR , новые методы, такие как OpenID Connect, начали становиться более привлекательными; например, MIT, создатель Kerberos, теперь поддерживает OpenID Connect . ^[21]

Адрес электронной почты

Единый вход в систему в теории может работать без раскрытия идентификационной информации, такой как адреса электронной почты, проверяющей стороне (потребителю учетных данных), но многие поставщики учетных данных не позволяют пользователям настраивать, какая информация передается потребителю учетных данных. По состоянию на 2019 год вход в Google и Facebook не требует от пользователей предоставления адресов электронной почты потребителю учетных данных. « Войти с Apple », представленный в iOS 13, позволяет пользователю запрашивать уникальный адрес электронной почты ретрансляции каждый раз, когда он регистрируется на новую услугу, тем самым снижая вероятность привязки учетной записи потребителем учетных данных. ^[22]

Распространенные конфигурации

На основе Kerberos

• При первом входе в систему пользователю предлагается ввести учетные данные и получить билет на выдачу билетов Kerberos (TGT).
• Дополнительные программные приложения, требующие аутентификации, такие как почтовые клиенты , вики-сайты и системы контроля версий , используют билет на выдачу билетов для получения сервисных билетов, подтверждая личность пользователя почтовому серверу / вики-серверу и т. д., не запрашивая у пользователя повторного ввода учетных данных.

Среда Windows — вход в Windows извлекает TGT. Приложения, поддерживающие Active Directory, извлекают билеты служб, поэтому пользователю не требуется проходить повторную аутентификацию.

Среда Unix / Linux — вход через модули Kerberos PAM извлекает TGT. Клиентские приложения Kerberos, такие как Evolution , Firefox и SVN , используют билеты обслуживания, поэтому пользователю не предлагается повторно проходить аутентификацию.

На основе смарт-карт

Первоначальный вход запрашивает у пользователя смарт-карту . Дополнительные программные приложения также используют смарт-карту, не запрашивая у пользователя повторный ввод учетных данных. Единый вход на основе смарт-карты может использовать сертификаты или пароли, хранящиеся на смарт-карте.

Интегрированная аутентификация Windows

Integrated Windows Authentication — термин, связанный с продуктами Microsoft , и относится к протоколам аутентификации SPNEGO , Kerberos и NTLMSSP в отношении функциональности SSPI , представленной в Microsoft Windows 2000 и включенной в более поздние операционные системы на базе Windows NT . Термин чаще всего используется для обозначения автоматически аутентифицированных соединений между Microsoft Internet Information Services и Internet Explorer . Поставщики кроссплатформенной интеграции Active Directory расширили парадигму Integrated Windows Authentication до систем Unix (включая Mac) и Linux.

Язык разметки утверждений безопасности

Язык разметки утверждений безопасности (SAML) — это основанный на XML метод обмена информацией о безопасности пользователя между поставщиком удостоверений SAML и поставщиком услуг SAML . SAML 2.0 поддерживает шифрование W3C XML и обмены единым входом веб-браузера, инициированные поставщиком услуг. ^[23] Пользователь, использующий пользовательский агент (обычно веб-браузер), называется субъектом в едином входе на основе SAML. Пользователь запрашивает веб-ресурс, защищенный поставщиком услуг SAML. Поставщик услуг, желающий узнать личность пользователя, отправляет запрос на аутентификацию поставщику удостоверений SAML через пользовательский агент. Поставщик удостоверений — это тот, кто предоставляет учетные данные пользователя. Поставщик услуг доверяет пользовательской информации от поставщика удостоверений для предоставления доступа к своим услугам или ресурсам.

Новые конфигурации

Мобильные устройства как средства доступа

Разработан новый вариант аутентификации с единым входом, использующий мобильные устройства в качестве учетных данных доступа. Мобильные устройства пользователей могут использоваться для автоматического входа в несколько систем, таких как системы контроля доступа в здания и компьютерные системы, с помощью методов аутентификации, включающих OpenID Connect и SAML ^[24] в сочетании с сертификатом криптографии X.509 ITU-T, используемым для идентификации мобильного устройства на сервере доступа.

Мобильное устройство — это «то, что у вас есть», в отличие от пароля, который является «тем, что вы знаете», или биометрии (отпечатки пальцев, сканирование сетчатки глаза, распознавание лиц и т. д.), которая является «тем, кем вы являетесь». Эксперты по безопасности рекомендуют использовать по крайней мере два из этих трех факторов ( многофакторная аутентификация ) для лучшей защиты.

Смотрите также

• Предварительный взлом аккаунта
• Центральная служба аутентификации
• Управление идентификацией
• Системы управления идентификацией
• Список реализаций единого входа
• Менеджер паролей
• Язык разметки утверждений безопасности
• Удобство использования систем веб-аутентификации

Ссылки

1. "В чем разница между SSO (единым входом) и LDAP?". JumpCloud . 2019-05-14 . Получено 2020-10-27 .
2. "SSO и LDAP-аутентификация". Authenticationworld.com. Архивировано из оригинала 2014-05-23 . Получено 2014-05-23 .
3. "OpenID против сервера единого входа". proposed.org.uk. 2007-08-13 . Получено 2014-05-23 .
4. "OpenID Connect Provider - Единый вход (SSO) OpenID Connect - Аутентификация OIDC OAuth". OneLogin .
5. "Единый вход и федеративная аутентификация". kb.iu.edu .
6. "Преимущества SSO". Университет Гвельфа . Получено 23.05.2014 .
7. "Single Sign On Authentication". Authenticationworld.com. Архивировано из оригинала 2014-03-15 . Получено 2013-05-28 .
8. "Руководство по администрированию высокой доступности Sun GlassFish Enterprise Server v2.1.1". Oracle.com . Получено 28.05.2013 .
9. Лоренсон, Лидия (3 мая 2014 г.). «Эффект цензуры». TechCrunch . Архивировано из оригинала 7 августа 2020 г. Получено 27 февраля 2015 г.
10. Честер, Кен (12 августа 2013 г.). «Цензура, внешняя аутентификация и другие уроки социальных сетей от Великого китайского файрвола». Технологии в Азии . Архивировано из оригинала 26 марта 2014 г. Получено 9 марта 2016 г.
11. Ван, Руи; Чэнь, Шуо; Ван, Сяофэн (2012). «Подписывайтесь на свои аккаунты через Facebook и Google: исследование безопасности коммерческих веб-сервисов с единым входом, основанное на трафике». Симпозиум IEEE по безопасности и конфиденциальности 2012 г. стр. 365–379. doi :10.1109/SP.2012.30. ISBN 978-1-4673-1244-8. S2CID  1679661.
12. «OpenID: отчет об уязвимостях, путаница в данных» — OpenID Foundation, 14 марта 2012 г.
13. «Facebook, Google Users Threatened by New Security Flaw». Tom's Guide. 2 мая 2014 г. Получено 11 ноября 2014 г.
14. "Уязвимость скрытого перенаправления, связанная с OAuth 2.0 и OpenID". Tetraph. 1 мая 2014 г. Получено 10 ноября 2014 г.
15. «Студент-математик обнаружил уязвимость безопасности OAuth и OpenID». Tech Xplore. 3 мая 2014 г. Получено 10 ноября 2014 г.
16. «Пользователи Facebook и Google подвергаются угрозе из-за новой уязвимости безопасности». Yahoo. 2 мая 2014 г. Получено 10 ноября 2014 г.
17. «Скрытый недостаток перенаправления в OAuth — это не следующий Heartbleed». Symantec. 3 мая 2014 г. Получено 10 ноября 2014 г.
18. «VMware Flaw a Vector в утечке SolarWinds? — Кребс о безопасности». 19 декабря 2020 г.
19. Ковач, Эдуард (15 декабря 2020 г.). «Группа, стоящая за взломом SolarWinds, обошла МИД, чтобы получить доступ к электронной почте в американском аналитическом центре». Security Week . Получено 19 декабря 2020 г.
20. «Что такое перехват сеанса?». 22 августа 2019 г.
21. MIT IST. «Авторизация OpenID Connect».
22. Гуд, Лорен (15.06.2019). «Мнения создателей приложений о «входе с Apple» неоднозначны». Wired . ISSN  1059-1028 . Получено 15.06.2019 .
23. Армандо, Алессандро; Карбоне, Роберто; Компаньа, Лука; Куэльяр, Хорхе; Пеллегрино, Джанкарло; Сорниотти, Алессандро (01 марта 2013 г.). «Дефект аутентификации в протоколах единого входа на основе браузера: влияние и исправления». Компьютеры и безопасность . 33 : 41–58. дои : 10.1016/j.cose.2012.08.007.
24. «Офис будущего MicroStrategy включает мобильную идентификацию и кибербезопасность». The Washington Post . 2014-04-14 . Получено 2014-03-30 .

Внешние ссылки

• Введение в систему единого входа с диаграммами