Single Sign On SSO là gì

Single Sign On viết tắt là SSO hay Đăng Nhập Một Lần là dịch vụ xác nhận phiên và người dùng được cho phép người dùng sử dụng một bộ thông tin xác nhận đăng nhập, ví dụ như tên và mật khẩu để truy vấn nhiều ứng dụng. Single sign on hoàn toàn có thể được sử dụng bởi những doanh nghiệp, tổ chức triển khai nhỏ và cá thể để thuận tiện quản trị những tên người dùng và mật khẩu .

Trong dịch vụ SSO web cơ bản, module tác nhân trên sever ứng dụng truy xuất thông tin xác nhận đơn cử cho người dùng cá thể từ sever chủ trương SSO chuyên sử dụng, đồng thời xác nhận người dùng dựa trên kho tàng trữ người dùng, ví dụ điển hình như thư mục Giao Thức Truy Cập Thư Mục Nhẹ ( LDAP ). Thương Mại Dịch Vụ xác nhận người dùng cuối cho toàn bộ những ứng dụng mà người dùng đã được cấp quyền và vô hiệu những lời nhắc mật khẩu trong tương lai cho những ứng dụng riêng không liên quan gì đến nhau trong cùng một phiên .

Cách thức hoạt động của Single Sign On

SSO là một sắp xếp quản trị danh tính link ( FIM ) và việc sử dụng mạng lưới hệ thống này được gọi là link danh tính. OAuth, viết tắt của Open Authorization là khuôn khổ được cho phép những dịch vụ của bên thứ ba, ví dụ điển hình như Facebook, sử dụng thông tin thông tin tài khoản của người dùng cuối mà không làm lộ mật khẩu của người dùng .
OAuth đóng vai trò trung gian đại diện thay mặt người dùng cuối bằng cách phân phối cho dịch vụ mã thông tin truy vấn cho phép san sẻ thông tin thông tin tài khoản đơn cử. Khi người dùng nỗ lực truy vấn một ứng dụng từ nhà sản xuất dịch vụ, nhà sản xuất dịch vụ sẽ gửi nhu yếu đến nhà phân phối danh tính để xác nhận. Sau đó, nhà sản xuất dịch vụ sẽ xác minh xác thực và đăng nhập người dùng .

Các loại cấu hình SSO

Một số dịch vụ Single Sign On sử dụng những giao thức như Kerberos và Ngôn ngữ ghi lại xác nhận bảo mật thông tin ( SAML ) .

SAML là một tiêu chuẩn ngôn từ ghi lại hoàn toàn có thể lan rộng ra ( XML ) tạo điều kiện kèm theo thuận tiện cho việc trao đổi tài liệu xác nhận và chuyển nhượng ủy quyền của người dùng trên những domain bảo đảm an toàn. Các dịch vụ SSO dựa trên SAML tương quan đến thông tin liên lạc giữa người dùng, nhà phân phối danh tính duy trì danh bạ người dùng và nhà sản xuất dịch vụ .

Trong thiết lập dựa trên Kerberos, khi thông tin xác nhận của người dùng được phân phối, một phiếu cấp vé ( TGT ) sẽ được phát hành. TGT tìm nạp những phiếu dịch vụ cho những ứng dụng khác mà người dùng muốn truy vấn mà không nhu yếu người dùng nhập lại thông tin đăng nhập .

Single Sign On dựa trên thẻ mưu trí sẽ nhu yếu người dùng cuối sử dụng thẻ có thông tin xác nhận đăng nhập cho lần đăng nhập tiên phong. Sau khi thẻ được sử dụng, người dùng sẽ không phải nhập lại tên người dùng hoặc mật khẩu. Thẻ mưu trí SSO sẽ tàng trữ chứng từ hoặc mật khẩu .

Rủi ro bảo mật và SSO

Mặc dù đăng nhập một lần là một tiện ích cho người dùng, nhưng nó tiềm ẩn những rủi ro đáng tiếc so với bảo mật thông tin doanh nghiệp. Kẻ tiến công giành được quyền trấn áp thông tin đăng nhập Single Sign On của người dùng sẽ được cấp quyền truy vấn vào mọi ứng dụng mà người dùng có quyền, làm tăng mức độ thiệt hại tiềm ẩn. Để tránh truy vấn ô nhiễm, điều thiết yếu là mọi góc nhìn của việc tiến hành SSO phải được tích hợp với quản trị danh tính. Các tổ chức triển khai cũng hoàn toàn có thể sử dụng xác nhận hai yếu tố ( 2FA ) hoặc xác nhận đa yếu tố ( MFA ) với Single Sign On để cải tổ bảo mật thông tin .

Single Sign On xã hội

Google, LinkedIn, Twitter và Facebook phân phối những dịch vụ SSO thông dụng được cho phép người dùng cuối đăng nhập vào ứng dụng của bên thứ ba bằng thông tin xác nhận phương tiện đi lại truyền thông online xã hội của họ. Mặc dù đăng nhập một lần trên mạng xã hội là một tiện ích cho người dùng, nhưng nó hoàn toàn có thể tiềm ẩn những rủi ro đáng tiếc về bảo mật thông tin vì nó tạo ra một điểm lỗi duy nhất hoàn toàn có thể bị kẻ tiến công tận dụng .

Nhiều chuyên gia bảo mật khuyến nghị người dùng cuối không sử dụng những dịch vụ SSO xã hội chính do, một khi kẻ tiến công giành được quyền trấn áp so với thông tin đăng nhập SSO của người dùng, họ sẽ hoàn toàn có thể truy vấn vào toàn bộ những ứng dụng khác sử dụng cùng thông tin đăng nhập đó .

Apple gần đây đã bật mý dịch vụ đăng nhập một lần của riêng mình và đang xác định nó như một giải pháp sửa chữa thay thế riêng tư hơn cho những tùy chọn Single Sign On được phân phối bởi Google, Facebook, LinkedIn và Twitter. Dịch Vụ Thương Mại mới, sẽ được gọi là Đăng nhập với Apple, dự kiến ​ ​ sẽ số lượng giới hạn tài liệu mà những dịch vụ của bên thứ ba hoàn toàn có thể truy vấn. SSO của Apple cũng sẽ tăng cường bảo mật thông tin bằng cách nhu yếu người dùng sử dụng 2FA trên tổng thể những thông tin tài khoản Apple ID để tương hỗ tích hợp với Face ID và Touch ID trên thiết bị iOS .

SSO doanh nghiệp

Các mẫu sản phẩm và dịch vụ ứng dụng đăng nhập một lần ( eSSO ) dành cho doanh nghiệp là trình quản trị mật khẩu với những thành phần máy khách và sever đăng nhập người dùng để nhắm tiềm năng những ứng dụng bằng cách phát lại thông tin đăng nhập của người dùng. Những thông tin đăng nhập này hầu hết luôn là tên người dùng và mật khẩu ; những ứng dụng đích không cần phải sửa đổi để hoạt động giải trí với mạng lưới hệ thống eSSO .

Ưu điểm và nhược điểm của Single Sign On

Ưu điểm của SSO gồm có :

Nó được cho phép người dùng nhớ và quản trị ít mật khẩu và tên người dùng hơn cho mỗi ứng dụng .
Nó hợp lý hóa quy trình đăng nhập và sử dụng ứng dụng, không cần nhập lại mật khẩu .
Nó làm giảm thời cơ lừa đảo .
Nó dẫn đến ít phàn nàn hoặc rắc rối hơn về mật khẩu cho bộ phận trợ giúp CNTT .

Nhược điểm của SSO bao gồm:

Nó không đề cập đến những mức độ bảo mật thông tin nhất định mà mỗi lần đăng nhập ứng dụng hoàn toàn có thể cần .
Nếu tính khả dụng bị mất, thì người dùng sẽ bị khóa khỏi nhiều mạng lưới hệ thống được liên kết với SSO .
Nếu người dùng trái phép có quyền truy vấn, thì họ hoàn toàn có thể có quyền truy vấn vào nhiều ứng dụng .