Обеспечение безопасности и удобства пользователей с технологией единого входа (SSO)

В больших компаниях сотрудники работают с огромным количеством различных программ.  Чтобы обеспечить безопасный и удобный доступ ко всем этим ресурсам, используется технология единого входа (SSO, Single Sign-On). Суть SSO заключается в том, что сотруднику достаточно один раз авторизоваться в системе, после чего он автоматически получает доступ ко всем необходимым приложениям и сервисам, без повторного ввода учётных данных для каждого из них.

Технология единого входа (Single Sign-On) значительно упрощает жизнь сотрудникам. Она избавляет от необходимости запоминать множество разных паролей. Кроме того, SSO повышает безопасность, так как уменьшает вероятность взлома аккаунтов — чем меньше паролей нужно хранить и использовать, тем меньше риск их компрометации.  

В этой статье мы расскажем, что такое SSO, как работает, а также отметим основные преимущества этой технологии для бизнеса. 

Что такое SSO? 

Технология единого входа (Single Sign-On, SSO) — это метод аутентификации, который позволяет пользователю ввести учётные данные (логин и пароль) один раз, чтобы получить доступ ко множеству приложений, сервисов или ресурсов без повторной авторизации.

Как работает SSO?

Принцип работы технологии единого входа:

1. Пользователь вводит свои учётные данные на странице авторизации.
2. Система проверяет подлинность пользователя посредством централизованного механизма аутентификации — Identity Provider (IdP).
3. После успешной проверки IdP выдаёт токены или утверждения (claims), подтверждающие личность пользователя.
4. Эти токены передаются каждому Service Provider (SP), которому необходим доступ пользователя.
5. SP доверяет IdP и автоматически авторизует пользователя без повторного ввода пароля.

Протоколы и стандарты SSO

Для реализации единой аутентификации используются различные протоколы и стандарты, обеспечивающие безопасность и удобство взаимодействия между различными системами.

Наиболее распространённые протоколы и стандарты:

1. SAML (Security Assertion Markup Language)

Это открытый стандарт безопасности, основанный на XML. Используется для обмена информацией об аутентификации и авторизации между поставщиком услуг (Service Provider, SP) и поставщиком удостоверений (Identity Provider, IdP). 

Особенности:

• Обеспечивает передачу утверждений (Assertions), касающихся идентификации пользователей
• Широко используется в корпоративных системах и веб-приложениях
• Поддерживается множеством коммерческих и открытых платформ

2. OAuth 2.0/2.1

Протокол авторизации, который позволяет приложениям получать доступ к защищённым ресурсам без передачи учётных данных пользователя непосредственно приложению. Часто применяется совместно с OpenID Connect для аутентификации.

Особенности:

• Работает на основе токенов доступа (Access Tokens)
• Предусматривает разные потоки авторизации (Authorization Code Flow, Implicit Grant, Client Credentials и др.) 
• Применяется во многих популярных сервисах вроде Google, VK и Яндекса

3. OpenID Connect (OIDC)

Стандартная надстройка поверх OAuth 2.0/2.1, предназначенная специально для аутентификации пользователей. Позволяет подтвердить личность пользователя и получить профиль пользователя от поставщика удостоверений. Открытый стандарт, поддерживаемый большинством крупных поставщиков ID-сервисов.

Особенности:

• Включает механизмы для проверки подлинности токенов и профилей пользователей 
• Совместимость с мобильными устройствами и браузерами 
• Простота интеграции с существующими инфраструктурами OAuth 2.0/2.1

4. WS-Federation

Часть семейства спецификаций WS-Fed (Web Services Security Federation). Протокол предназначен для федеративной аутентификации в среде Web-сервисов и позволяет обмениваться утверждениями о безопасности между поставщиками удостоверений и службами-потребителями. 

Особенности:

• Используется преимущественно в корпоративной среде Microsoft Active Directory Federation Services (AD FS)
• Может применяться в гибридных облачных средах вместе с Azure AD

5. LDAP (Lightweight Directory Access Protocol)

Несмотря на то, что изначально LDAP разрабатывался для доступа к каталогам, его часто используют для централизованного управления пользователями и аутентификацией. LDAP может интегрироваться с системами SSO, предоставляя источник данных о пользователях и группах.

Особенности:

• Использует древовидные структуры для хранения информации о пользователях
• Чаще всего встречается в локальных сетях организаций

6. Kerberos

Криптографический протокол аутентификации, разработанный Массачусетским технологическим институтом. Kerberos основан на концепции билетов (tickets), которые позволяют пользователю аутентифицироваться единожды и затем обращаться к различным сетевым ресурсам без повторного ввода пароля.

Особенности:

• Широко используется в инфраструктуре Windows Server Active Directory
• Подходит для внутренней сети организации

Безопасность SSO

Система единого входа значительно упрощает жизнь сотрудникам. Но возникает закономерный вопрос: насколько такая схема безопасна? Чтобы минимизировать риски взлома учётных записей, с технологией единого входа (Single Sign-On) рекомендуется использовать двухфакторную аутентификацию, например решение MULTIFACTOR.

Двухфакторная аутентификация добавляет дополнительный уровень защиты путём запроса второго фактора подтверждения личности помимо обычного пароля. Это может быть push, СМС-код, биометрия, аппаратный ключ.

Внедрение многофакторной аутентификации существенно повышает защиту критически важных корпоративных систем.

Преимущества внедрения SSO для бизнеса

Использование технологии единого входа обеспечивает ряд значительных преимуществ для компаний любых размеров:

• Усиленная защита данных — благодаря снижению риска несанкционированного доступа
• Упрощённое администрирование и централизованное управление доступом
• Сокращение числа забытых паролей и обращений в службу поддержки, снижение нагрузки с ИТ-отдела
• Увеличение производительности сотрудников за счёт минимального количества действий для входа в различные сервисы

Заключение

Технология единого входа (SSO) — эффективное решение для современных компаний, которые стремятся обеспечить высокий уровень информационной безопасности и удобство работы сотрудников. 

Компания МУЛЬТИФАКТОР предлагает в рамках решения двухфакторной аутентификации MULTIFACTOR использовать в бизнесе технологию SSO. 

MULTIFACTOR SSO — это:

• Гибкое гибридное развёртывание
• Легко встраивается в текущую инфраструктуру: поддержка OIDC, OAuth 2.0/2.1, SAML. Скоро — Kerberos
• Интеграция со службами каталогов на основе LDAP, включая MULTIDIRECTORY, AD, Альт Домен, Samba DC, FreeIPA
• Защита от перебора паролей и сессионных атак — CAPTCHA, блокировка УЗ, блокировка IP-адреса источника
• Базовые требования к паролям (длина и состав паролей, срок его действия и т.д.)
• Единый вход SSO MFA = комплексная безопасность. MULTIFACTOR предлагает единый вход и многофакторную аутентификацию с гибкой настройкой — push, Telegram, биометрия, СМС и другие методы для разных групп сотрудников
• Безопасная передача данных благодаря шифрованию учётных, персональных, сессионных и других данных пользователей
• Не запрашивает и не хранит пароли пользователей на серверах MULTIFACTOR 

Подробнее с функционалом решения вы можете ознакомиться на странице продукта.