Что такое технология единого входа (SSO)?

Технология единого входа (SSO) — это средство аутентификации, позволяющее пользователям осуществлять доступ к нескольким приложениям с помощью одного набора учетных данных. Обычно организации используют технологию единого входа для упрощения доступа к различным приложениям на стороне потребителя, веб- и облачным приложениям с целью повышения комфортности работы пользователей. Она также может предоставить ИТ-отделу расширенный контроль пользовательского доступа, сократить число обращений в службу поддержки в связи с паролями, а также улучшить безопасность и соответствие стандартам.

Зачем использовать технологию единого входа?

Сегодня приложения развертываются в центрах обработки данных и облаках, а также доставляются в виде SaaS-приложений. Каждое бизнес-приложение предусматривает прохождение пользователем процедуры аутентификации перед получением доступа к тому или иному ресурсу. Раньше, до появления технологии единого входа, пользователям приходилось выполнять вход при помощи набора учетных данных каждый раз, когда требовалось переключаться между приложениями. В большинстве случаев для каждого приложения был предусмотрен отдельный набор учетных данных, результатом чего становились снижение комфортности работы пользователей, невозможность получения доступа к нужным ресурсам из-за забытого логина или пароля, неоднородность политик контроля доступа и увеличение расходов на поддержку этих приложений.

Технология единого входа упростила взаимодействие пользователей с приложениями и доступ к ним. Благодаря ей пользователи могут экономить время, осуществляя доступ ко всем своим корпоративным, VDI-, веб- и SaaS-приложениям, а также к другим корпоративным ресурсам, например сетевым файлообменникам, с помощью всего одного набора учетных данных.

Как работает технология единого входа?

Технология единого входа является компонентом системы управления федеративными удостоверениями (FIM), межорганизационной структуры, позволяющей подписчикам использовать одни и те же идентификационные данные для доступа к сети каждой организации. FIM часто называют федерацией удостоверений.

Идентификация пользователя происходит в нескольких доменах безопасности, в каждом из которых имеется собственная система управления средствами идентификации. При федерации доменов пользователь может пройти аутентификацию в одном из них и осуществлять доступ к ресурсам в другом без необходимости повторно выполнять вход.

Схема, позволяющая сторонним организациям, например LinkedIn или Facebook, использовать чьи-либо данные учетной записи для выполнения входа без раскрытия пароля, называется OAuth. Она служит посредником, предоставляя сервису токен, позволяющий делиться данными только конкретной учетной записи. Когда пользователь осуществляет доступ к приложению, сервис отправляет запрос аутентификации поставщику идентификации, который проверяет запрос и предоставляет доступ.

Существуют и другие протоколы аутентификации, например Kerberos и язык разметки утверждений безопасности (Security Assertion Markup Language, SAML). SSO-сервисы на базе Kerberos выдают удостоверение аутентификации с временными метками или разрешение на получение удостоверения (TGT), которые предоставляют удостоверения для доступа к сервису другим приложениям, освобождая пользователя от ввода новых учетных данных. SSO-сервисы на базе SAML обмениваются данными аутентификации и авторизации пользователей в безопасных доменах и управляют связью между пользователем, поставщиком идентификации с каталогом пользователей и поставщиком услуг.

Каковы преимущества технологии единого входа?

Технология единого входа (SSO) дает преимущества как пользователям, так и ИТ-отделу. С точки зрения пользователей технология SSO облегчает управление паролями, упрощая и ускоряя доступ к приложениям.

ИТ-отделу технология единого входа помогает уменьшить число обращений в службу поддержки в связи с паролями. А автоматическое управление учетными данными сокращает объем ручного управления доступом сотрудников к приложениям и сервисам. Благодаря технологии единого входа ИТ-администраторам становится проще обеспечивать быстрый провижининг и развертывание SaaS-приложений для сотрудников.

Кроме того, с точки зрения безопасности технология SSO может снизить угрозу кибератак, например фишинга, за счет уменьшения количества подверженных риску учетных данных. Однако очень важно в качестве резервного варианта также внедрить многофакторную аутентификацию на случай, если пароли все-таки будут взломаны.   

Передовые методы применения технологии единого входа

При поиске решения для технологии единого входа важно учитывать следующие факторы:

  1. Доступ к любому приложению. Некоторые решения для технологии единого входа предлагают ограниченную поддержку приложений. Ряд решений на стороне потребителя позволяет использовать технологию единого входа для веб- и корпоративных приложений, но не охватывает приложения VDI и SaaS-приложения. Другие решения, например предлагаемые некоторыми разработчиками IDaaS, предусматривают использование технологии единого входа для облачных и SaaS-приложений, но не для приложений на стороне потребителя. Оценивая решение для технологии единого входа, нужно уделять особое внимание не только возможности применения технологии единого входа для всех приложений VDI, корпоративных, веб- и SaaS-приложений, но еще и возможности предоставления сетевого доступа к другим корпоративным ресурсам, таким как сетевые файлообменники.
  2. Защита личных данных пользователей на этапе получения доступа к SaaS-приложениям. SaaS-приложения находятся за пределами сети центра обработки данных. Для применения технологии единого входа в этих приложениях многие решения требуют от клиентов переноса каталога пользователей в облако. Для многих компаний это представляет проблему и связано с большим риском, поэтому ваше решение должно предусматривать вариант сохранения каталога пользователей на стороне потребителя.
  3. Интеграция с механизмами многофакторной аутентификации. Возможность быстро и безошибочно идентифицировать пользователей и предоставлять им соответствующий уровень доступа к корпоративным ресурсам приобретает все большее значение. Поэтому корпоративным клиентам не следует полагаться только на имя пользователя и пароль. Им также нужно найти решение, которое обеспечит достаточную гибкость для использования схем аутентификации на основе состояния устройств конечных пользователей, местоположения этих пользователей, приложений, к которым они пытаются получить доступ, и других критериев. При этом важно, чтобы выбранное решение для технологии единого входа поддерживало любые механизмы и протоколы аутентификации, такие как RADIUS, Kerberos, Microsoft NTLM, Certificate Services и прочие.
  4. Инструменты для мониторинга и устранения неисправностей. Решение для технологии единого входа должно содержать инструменты для мониторинга проблем с производительностью всех приложений независимо от того, находятся ли они в центре обработки данных, в облаке или доставляются в виде SaaS-приложений, чтобы можно было решать проблемы быстро.

Дополнительные ресурсы