Технология единого входа (SSO) — это средство аутентификации, позволяющее пользователям осуществлять доступ к нескольким приложениям с помощью одного набора учетных данных. Обычно организации используют технологию единого входа для упрощения доступа к различным приложениям на стороне потребителя, веб- и облачным приложениям с целью повышения комфортности работы пользователей. Она также может предоставить ИТ-отделу расширенный контроль пользовательского доступа, сократить число обращений в службу поддержки в связи с паролями, а также улучшить безопасность и соответствие стандартам.
Сегодня приложения развертываются в центрах обработки данных и облаках, а также доставляются в виде SaaS-приложений. Каждое бизнес-приложение предусматривает прохождение пользователем процедуры аутентификации перед получением доступа к тому или иному ресурсу. Раньше, до появления технологии единого входа, пользователям приходилось выполнять вход при помощи набора учетных данных каждый раз, когда требовалось переключаться между приложениями. В большинстве случаев для каждого приложения был предусмотрен отдельный набор учетных данных, результатом чего становились снижение комфортности работы пользователей, невозможность получения доступа к нужным ресурсам из-за забытого логина или пароля, неоднородность политик контроля доступа и увеличение расходов на поддержку этих приложений.
Технология единого входа упростила взаимодействие пользователей с приложениями и доступ к ним. Благодаря ей пользователи могут экономить время, осуществляя доступ ко всем своим корпоративным, VDI-, веб- и SaaS-приложениям, а также к другим корпоративным ресурсам, например сетевым файлообменникам, с помощью всего одного набора учетных данных.
Технология единого входа является компонентом системы управления федеративными удостоверениями (FIM), межорганизационной структуры, позволяющей подписчикам использовать одни и те же идентификационные данные для доступа к сети каждой организации. FIM часто называют федерацией удостоверений.
Идентификация пользователя происходит в нескольких доменах безопасности, в каждом из которых имеется собственная система управления средствами идентификации. При федерации доменов пользователь может пройти аутентификацию в одном из них и осуществлять доступ к ресурсам в другом без необходимости повторно выполнять вход.
Схема, позволяющая сторонним организациям, например LinkedIn или Facebook, использовать чьи-либо данные учетной записи для выполнения входа без раскрытия пароля, называется OAuth. Она служит посредником, предоставляя сервису токен, позволяющий делиться данными только конкретной учетной записи. Когда пользователь осуществляет доступ к приложению, сервис отправляет запрос аутентификации поставщику идентификации, который проверяет запрос и предоставляет доступ.
Существуют и другие протоколы аутентификации, например Kerberos и язык разметки утверждений безопасности (Security Assertion Markup Language, SAML). SSO-сервисы на базе Kerberos выдают удостоверение аутентификации с временными метками или разрешение на получение удостоверения (TGT), которые предоставляют удостоверения для доступа к сервису другим приложениям, освобождая пользователя от ввода новых учетных данных. SSO-сервисы на базе SAML обмениваются данными аутентификации и авторизации пользователей в безопасных доменах и управляют связью между пользователем, поставщиком идентификации с каталогом пользователей и поставщиком услуг.
Технология единого входа (SSO) дает преимущества как пользователям, так и ИТ-отделу. С точки зрения пользователей технология SSO облегчает управление паролями, упрощая и ускоряя доступ к приложениям.
ИТ-отделу технология единого входа помогает уменьшить число обращений в службу поддержки в связи с паролями. А автоматическое управление учетными данными сокращает объем ручного управления доступом сотрудников к приложениям и сервисам. Благодаря технологии единого входа ИТ-администраторам становится проще обеспечивать быстрый провижининг и развертывание SaaS-приложений для сотрудников.
Кроме того, с точки зрения безопасности технология SSO может снизить угрозу кибератак, например фишинга, за счет уменьшения количества подверженных риску учетных данных. Однако очень важно в качестве резервного варианта также внедрить многофакторную аутентификацию на случай, если пароли все-таки будут взломаны.
При поиске решения для технологии единого входа важно учитывать следующие факторы: