Единая точка входа

Схема аутентификации

Единый вход ( SSO ) — это схема аутентификации, которая позволяет пользователю входить с одним идентификатором в любую из нескольких связанных, но независимых программных систем.

Настоящая система единого входа позволяет пользователю войти в систему один раз и получить доступ к службам без повторного ввода факторов аутентификации.

Его не следует путать с одним и тем же входом (аутентификация сервера каталога), часто выполняемая с использованием облегченного протокола доступа к каталогам (LDAP) и хранящихся баз данных LDAP на серверах (каталогов). ^{[1] [2]}

Простая версия единого входа может быть реализована в IP-сетях с использованием файлов cookie , но только в том случае, если сайты используют общий родительский домен DNS. ^[3]

Для ясности проводится различие между проверкой подлинности сервера каталогов (один и тот же вход) и единым входом: проверка подлинности сервера каталогов относится к системам, требующим аутентификации для каждого приложения, но с использованием одних и тех же учетных данных с сервера каталогов, тогда как единый вход относится к к системам, где одна проверка подлинности обеспечивает доступ к нескольким приложениям путем беспрепятственной передачи токена аутентификации настроенным приложениям.

И наоборот, однократный выход или однократный выход ( SLO ) — это свойство, при котором одно действие выхода прекращает доступ к нескольким программным системам.

Поскольку разные приложения и ресурсы поддерживают разные механизмы аутентификации , система единого входа должна хранить внутри себя учетные данные, используемые для начальной аутентификации, и преобразовывать их в учетные данные, необходимые для различных механизмов.

Другие схемы общей аутентификации, такие как OpenID и OpenID Connect , предлагают другие службы, которые могут потребовать от пользователей делать выбор во время входа в ресурс, но могут быть настроены для единого входа, если эти другие службы (например, согласие пользователя) отключены. ^[4] Все большее число федеративных социальных входов, таких как Facebook Connect , требует от пользователя ввода вариантов согласия при первой регистрации на новом ресурсе, и поэтому не всегда является единым входом в строгом смысле этого слова.

Преимущества

Преимущества использования единого входа включают в себя:

• Снижение риска доступа к сторонним сайтам («федеративная аутентификация») ^[5] , поскольку пароли пользователей не хранятся и не управляются извне.
• Уменьшите утомляемость паролями от различных комбинаций имени пользователя и пароля.
• Сократите время, затрачиваемое на повторный ввод паролей для одного и того же удостоверения ^[5]
• Сократите ИТ-расходы за счет меньшего количества обращений в службу ИТ-поддержки по поводу паролей ^[6]
• Более простое администрирование. Задачи, связанные с единым входом, выполняются прозрачно в рамках обычного обслуживания с использованием тех же инструментов, которые используются для других задач администрирования.
• Улучшение административного контроля. Вся информация по управлению сетью хранится в одном хранилище. Это означает, что существует единый авторитетный список прав и привилегий каждого пользователя. Это позволяет администратору изменять привилегии пользователя и знать, что результаты будут распространяться по всей сети.
• Улучшена производительность пользователей. Пользователи больше не увязнут в необходимости многократного входа в систему, и им не нужно запоминать несколько паролей для доступа к сетевым ресурсам. Это также является преимуществом для сотрудников службы поддержки, которым приходится отправлять меньше запросов на забытые пароли.
• Улучшенная сетевая безопасность. Отказ от нескольких паролей также уменьшает распространенный источник нарушений безопасности — запись пользователями своих паролей. Наконец, благодаря консолидации информации управления сетью администратор может быть уверен, что когда он отключает учетную запись пользователя, эта учетная запись отключается полностью.
• Объединение разнородных сетей. Объединив разрозненные сети, можно объединить административные усилия, гарантируя последовательное соблюдение лучших административных практик и политик корпоративной безопасности.

SSO использует централизованные серверы аутентификации , которые все другие приложения и системы используют для целей аутентификации, и сочетает это с методами, гарантирующими, что пользователям не придется активно вводить свои учетные данные более одного раза.

Критика

Термин сокращенный вход в систему (RSO) использовался некоторыми, чтобы отразить тот факт, что единый вход в систему непрактичен для удовлетворения потребностей в различных уровнях безопасного доступа на предприятии, и поэтому может потребоваться более одного сервера аутентификации. . ^[7]

Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), он увеличивает негативное воздействие в случае, если учетные данные доступны другим людям и используются неправильно. Таким образом, единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и токены одноразового пароля . ^[7]

Единый вход также увеличивает зависимость от высокодоступных систем аутентификации; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным в рамках единого входа. SSO можно настроить с возможностью переключения сеанса при отказе для поддержания работы системы. ^[8] Тем не менее, риск сбоя системы может сделать единый вход нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или производственные системы.

Кроме того, использование методов единого входа с использованием служб социальных сетей, таких как Facebook, может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокируют сайты социальных сетей по соображениям производительности. Это также может вызвать трудности в странах с активными режимами цензуры , таких как Китай и его « Проект Золотой щит », где сторонний веб-сайт может не подвергаться активной цензуре, но фактически блокируется, если блокируется вход пользователя в социальную сеть. ^{[9] [10]}

Безопасность

В марте 2012 года ^[11] в исследовательской работе сообщалось об обширном исследовании безопасности механизмов входа в социальные сети . Авторы обнаружили 8 серьезных логических ошибок у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook , Janrain , Freelancer , FarmVille и Sears.com . Поскольку исследователи проинформировали поставщиков удостоверений личности и веб-сайты проверяющих сторон до публичного объявления об обнаружении уязвимостей, уязвимости были исправлены, и о нарушениях безопасности не сообщалось. ^[12]

В мае 2014 года была обнаружена уязвимость под названием Covert Redirect . ^[13] Впервые об уязвимости скрытого перенаправления, связанной с OAuth 2.0 и OpenID, сообщил ее первооткрыватель Ван Цзин, аспирант математического факультета Наньянского технологического университета в Сингапуре. ^{[14] [15] [16]} Фактически, затронуты почти все ^{[ ласковые слова ]} протоколы единого входа. Скрытое перенаправление использует преимущества сторонних клиентов, подверженных XSS или открытому перенаправлению. ^[17]

В декабре 2020 года были обнаружены недостатки в федеративных системах аутентификации, которые использовались злоумышленниками во время утечки данных федерального правительства США в 2020 году . ^{[18] [19]}

Из-за того, как работает единый вход, при отправке запроса на веб-сайт, вошедший в систему, для получения токена единого входа и отправке запроса с токеном на веб-сайт, вышедший из системы, токен не может быть защищен с помощью флага cookie HttpOnly и, следовательно, может быть украден злоумышленником, если на веб-сайте, на котором выполнен выход, имеется XSS-уязвимость, с целью перехвата сеанса . Другая проблема безопасности заключается в том, что если сеанс, используемый для единого входа, украден (который можно защитить с помощью флага cookie HttpOnly в отличие от токена единого входа), злоумышленник может получить доступ ко всем веб-сайтам, использующим систему единого входа. ^[20]

Конфиденциальность

Первоначально реализованная в Kerberos и SAML, система единого входа не давала пользователям выбора относительно публикации их личной информации на каждом новом ресурсе, который посетил пользователь. Это работало достаточно хорошо в рамках одного предприятия, например Массачусетского технологического института, где был изобретен Kerberos, или крупных корпораций, где все ресурсы были внутренними сайтами. Однако по мере распространения федеративных служб, таких как службы федерации Active Directory , личная информация пользователя рассылалась на дочерние сайты, не находящиеся под контролем предприятия, которое собирало данные от пользователя. Поскольку правила конфиденциальности в настоящее время ужесточаются в соответствии с такими законами, как GDPR , новые методы, такие как OpenID Connect, начали становиться более привлекательными; например, MIT, создатель Kerberos, теперь поддерживает OpenID Connect . ^[21]

Адрес электронной почты

Теоретически единый вход может работать без раскрытия идентифицирующей информации, такой как адреса электронной почты, проверяющей стороне (потребителю учетных данных), но многие поставщики учетных данных не позволяют пользователям настраивать, какая информация передается потребителю учетных данных. С 2019 года для входа в Google и Facebook пользователи не требуют сообщать адреса электронной почты потребителю учетных данных. « Вход через Apple », представленный в iOS 13, позволяет пользователю запрашивать уникальный адрес электронной почты каждый раз, когда он регистрируется в новой службе, тем самым снижая вероятность привязки учетной записи потребителем учетных данных. ^[22]

Общие конфигурации

на базе Kerberos

• При первом входе в систему пользователю запрашивается учетные данные, и он получает билет на выдачу билета Kerberos (TGT).
• Дополнительные программные приложения, требующие аутентификации, такие как почтовые клиенты , вики и системы контроля версий , используют билет выдачи билетов для получения служебных билетов, подтверждая личность пользователя почтовому серверу/вики-серверу/т. д., не запрашивая пользователя повторно введите учетные данные.

Среда Windows — при входе в Windows получает TGT. Приложения, поддерживающие Active Directory , извлекают билеты служб, поэтому пользователю не предлагается пройти повторную аутентификацию.

Среда Unix / Linux . Вход через модули Kerberos PAM получает TGT. Клиентские приложения с поддержкой Kerberos, такие как Evolution , Firefox и SVN , используют служебные билеты, поэтому пользователю не предлагается пройти повторную аутентификацию.

На базе смарт-карты

При первом входе пользователю предлагается ввести смарт-карту . Дополнительные программные приложения также используют смарт-карту, не запрашивая у пользователя повторного ввода учетных данных. Для единого входа на основе смарт-карты можно использовать сертификаты или пароли, хранящиеся на смарт-карте.

Встроенная проверка подлинности Windows

Встроенная проверка подлинности Windows — это термин, связанный спродуктами Microsoft , который относится к протоколам проверки подлинности SPNEGO , Kerberos и NTLMSSP в отношении функциональности SSPI , представленной в Microsoft Windows 2000 и включенной в более поздниеоперационные системы на базе Windows NT . Этот термин чаще всего используется для обозначения автоматически аутентифицированных соединений между Microsoft Internet Information Services и Internet Explorer . Поставщики кросс-платформенной интеграции Active Directory расширили парадигму встроенной проверки подлинности Windows на системы Unix (включая Mac) и Linux.

Язык разметки утверждений безопасности

Язык разметки утверждений безопасности (SAML) — это основанный на XML метод обмена информацией о безопасности пользователя между поставщиком удостоверений SAML и поставщиком услуг SAML . SAML 2.0 поддерживает шифрование XML W3C и обмен данными с единым входом в систему, инициируемый поставщиком услуг. ^[23] Пользователь, использующий пользовательский агент (обычно веб-браузер), называется субъектом в системе единого входа на основе SAML. Пользователь запрашивает веб-ресурс, защищенный поставщиком услуг SAML. Поставщик услуг, желая узнать личность пользователя, отправляет запрос аутентификации провайдеру идентификации SAML через пользовательский агент. Поставщик удостоверений — это тот, кто предоставляет учетные данные пользователя. Поставщик услуг доверяет пользовательской информации от поставщика удостоверений для предоставления доступа к своим услугам или ресурсам.

Новые конфигурации

Мобильные устройства как учетные данные доступа

Был разработан новый вариант аутентификации с единым входом с использованием мобильных устройств в качестве учетных данных для доступа. Мобильные устройства пользователей могут использоваться для автоматической регистрации их в нескольких системах, таких как системы контроля доступа к зданиям и компьютерные системы, посредством использования методов аутентификации, которые включают OpenID Connect и SAML, ^[24] в сочетании с X.509. Криптографический сертификат ITU-T , используемый для идентификации мобильного устройства на сервере доступа.

Мобильное устройство — это «то, что у вас есть», в отличие от пароля, который является «чем-то, что вы знаете», или биометрических данных (отпечатков пальцев, сканирования сетчатки, распознавания лиц и т. д.), которые являются «чем-то, чем вы являетесь». Эксперты по безопасности рекомендуют использовать как минимум два из этих трех факторов ( многофакторная аутентификация ) для лучшей защиты.

Смотрите также

• Предварительный взлом аккаунта
• Центральная служба аутентификации
• Управление идентификацией
• Системы управления идентификацией
• Список реализаций единого входа
• Менеджер паролей
• Язык разметки утверждений безопасности
• Удобство использования систем веб-аутентификации

Рекомендации

1. «В чем разница между SSO (единый вход) и LDAP?» Джампклауд . 14 мая 2019 г. Проверено 27 октября 2020 г.
2. «SSO и аутентификация LDAP» . Authenticationworld.com. Архивировано из оригинала 23 мая 2014 г. Проверено 23 мая 2014 г.
3. «OpenID против сервера единого входа» . предполагаемый.org.uk. 13 августа 2007 г. Проверено 23 мая 2014 г.
4. «Поставщик OpenID Connect — система единого входа OpenID Connect (SSO) — аутентификация OIDC OAuth» . Один вход .
5. «Единый вход и федеративная аутентификация». kb.iu.edu .
6. «Преимущества единого входа» . Университет Гвельфа . Проверено 23 мая 2014 г.
7. «Аутентификация с использованием единого входа». Authenticationworld.com. Архивировано из оригинала 15 марта 2014 г. Проверено 28 мая 2013 г.
8. «Руководство по администрированию высокой доступности Sun GlassFish Enterprise Server v2.1.1» . Oracle.com . Проверено 28 мая 2013 г.
9. Лоуренсон, Лидия (3 мая 2014 г.). «Эффект цензуры». ТехКранч . Архивировано из оригинала 7 августа 2020 года . Проверено 27 февраля 2015 г.
10. Честер, Кен (12 августа 2013 г.). «Цензура, внешняя аутентификация и другие уроки социальных сетей из Великого китайского файрвола». Технологии в Азии . Архивировано из оригинала 26 марта 2014 года . Проверено 9 марта 2016 г.
11. Ван, Руи; Чен, Шуо; Ван, СяоФэн (2012). «Подписание меня в свои учетные записи через Facebook и Google: исследование безопасности коммерческих веб-служб единого входа с учетом трафика». Симпозиум IEEE 2012 по безопасности и конфиденциальности . стр. 365–379. дои :10.1109/СП.2012.30. ISBN 978-1-4673-1244-8. S2CID  1679661.
12. «OpenID: отчет об уязвимостях, путаница в данных» - OpenID Foundation, 14 марта 2012 г.
13. «Facebook, пользователям Google угрожает новый недостаток безопасности» . Путеводитель Тома. 2 мая 2014 года . Проверено 11 ноября 2014 г.
14. «Уязвимость скрытого перенаправления, связанная с OAuth 2.0 и OpenID» . Тетраф. 1 мая 2014 года . Проверено 10 ноября 2014 г.
15. «Студент-математик обнаруживает уязвимость безопасности OAuth, OpenID» . Техэксплор. 3 мая 2014 года . Проверено 10 ноября 2014 г.
16. «Facebook, пользователям Google угрожает новый недостаток безопасности» . Яху. 2 мая 2014 года . Проверено 10 ноября 2014 г.
17. «Недостаток скрытого перенаправления в OAuth — это не следующее кровотечение» . Симантек. 3 мая 2014 года . Проверено 10 ноября 2014 г.
18. «Недостаток VMware - вектор нарушения SolarWinds? - Кребс о безопасности» . 19 декабря 2020 г.
19. Ковач, Эдуард (15 декабря 2020 г.). «Группа, стоящая за взломом SolarWinds, обошла MFA для доступа к электронной почте аналитического центра США» . Неделя безопасности . Проверено 19 декабря 2020 г.
20. «Что такое перехват сеанса?». 22 августа 2019 г.
21. MIT IST. «Авторизация OpenID Connect».
22. Гуд, Лорен (15 июня 2019 г.). «Создатели приложений неоднозначно относятся к «Войти через Apple»». Проводной . ISSN  1059-1028 . Проверено 15 июня 2019 г.
23. Армандо, Алессандро; Карбоне, Роберто; Компаньа, Лука; Куэльяр, Хорхе; Пеллегрино, Джанкарло; Сорниотти, Алессандро (01 марта 2013 г.). «Дефект аутентификации в протоколах единого входа на основе браузера: влияние и исправления». Компьютеры и безопасность . 33 : 41–58. дои : 10.1016/j.cose.2012.08.007.
24. «Офис будущего MicroStrategy включает в себя мобильную идентификацию и кибербезопасность» . Вашингтон Пост . 14 апреля 2014 г. Проверено 30 марта 2014 г.

Внешние ссылки

• Введение в систему единого входа с диаграммами