Czym dokładnie jest SSO – korzyści i wady

kapitanhack.pl 4 miesięcy temu

Single Sign-on (SSO) to technologia, która łączy kilka różnych procesów logowania w aplikacjach. Dzięki niej użytkownik musi tylko raz wprowadzić swoje dane uwierzytelniające (nazwę użytkownika, hasło itp.) na jednej stronie, aby uzyskać dostęp do wszystkich aplikacji w obrębie SaaS.

Funkcja SSO jest często stosowana w kontekście biznesowym, gdy aplikacje użytkownika są przypisywane i zarządzane przez wewnętrzny zespół IT. Zdalni pracownicy używający aplikacji SaaS również korzystają z SSO.

Aby lepiej zrozumieć koncepcję SSO, wyobraźmy sobie sytuację, gdy osoba wchodzi na zamkniętą imprezę i musi przy wejściu pokazać dowód tożsamości. Dzięki temu wewnątrz uzyskuje dostęp do wielu udogodnień – baru, jedzenia i innych dodatkowych atrakcji bez konieczności przedstawiania się czy pokazywania dowodu tożsamości we wszystkich tych strefach. Niektórzy użytkownicy gwałtownie poczuliby się sfrustrowani ciągłymi kontrolami i mogliby choćby próbować obejść te środki, np. przemycając własne napoje.

Logowanie jednokrotne jest ważnym aspektem wielu rozwiązań do zarządzania tożsamością i dostępem (IAM) lub kontroli dostępu. Weryfikacja tożsamości użytkownika ma najważniejsze znaczenie, aby wiedzieć, jakie uprawnienia powinien posiadać każdy użytkownik.

Zalety stosowania SSO

Oprócz tego, iż jest znacznie prostsze i wygodniejsze dla użytkowników, logowanie jednokrotne jest powszechnie uważane za bezpieczniejsze. Może się to wydawać sprzeczne z intuicją: w jaki sposób jednorazowe logowanie przy użyciu jednego hasła zamiast wielokrotnego logowania przy użyciu wielu haseł może być bezpieczniejsze? Zwolennicy SSO podają następujące powody:

  • Silniejsze hasła: ponieważ użytkownicy muszą używać tylko jednego hasła, funkcja SSO ułatwia im tworzenie, zapamiętywanie i używanie silniejszych haseł. W praktyce zwykle tak się dzieje: większość użytkowników korzysta z silniejszych haseł przy użyciu funkcji SSO.
  • Żadnych powtarzających się haseł: gdy użytkownicy muszą pamiętać hasła do kilku różnych aplikacji i usług, najprawdopodobniej wystąpi stan zwany „zmęczeniem”: użytkownicy będą ponownie używać tych samych haseł w różnych usługach. Używanie tego samego hasła w kilku usługach stanowi ogromne zagrożenie bezpieczeństwa, ponieważ oznacza, iż ​​wszystkie usługi są tak bezpieczne, jak usługa z najsłabszą ochroną bazy haseł: jeżeli baza danych haseł tej usługi zostanie naruszona, osoby atakujące mogą wykorzystać hasło do zhakowania wszystkich kont użytkownika, także w innych usługach. Funkcja SSO eliminuje ten scenariusz, redukując liczbę wszystkich logowań do jednego.
  • Lepsze egzekwowanie zasad dotyczących haseł: dzięki jednemu miejscu do wprowadzania haseł funkcja SSO umożliwia zespołom IT łatwe egzekwowanie zasad bezpieczeństwa haseł. Na przykład niektóre firmy wymagają od użytkowników okresowego resetowania haseł. Dzięki SSO resetowanie haseł jest łatwiejsze do wdrożenia: zamiast ciągłego resetowania haseł w wielu różnych aplikacjach i usługach, użytkownicy zmieniają tylko jedno hasło.
  • Uwierzytelnianie wieloskładnikowe: MFA odnosi się do użycia więcej niż jednego czynnika tożsamości do uwierzytelnienia użytkownika. Na przykład oprócz wprowadzenia nazwy użytkownika i hasła może być konieczne podłączenie urządzenia USB lub wprowadzenie kodu wyświetlanego na telefonie. Posiadanie tego obiektu fizycznego jest drugim „czynnikiem” potwierdzającym, iż użytkownik jest tym, za kogo się podaje. Usługa MFA jest znacznie bezpieczniejsza niż poleganie na samym haśle. SSO umożliwia aktywację usługi MFA w jednym miejscu, zamiast konieczności aktywacji dla trzech, czterech czy kilkudziesięciu aplikacji, co może być niewykonalne.
  • Pojedynczy punkt wymuszania ponownego wprowadzenia hasła: administratorzy mogą wymusić ponowne wprowadzenie danych uwierzytelniających po upływie określonego czasu, aby mieć pewność, iż ten sam użytkownik jest przez cały czas aktywny na zalogowanym urządzeniu. Dzięki SSO mają centralne miejsce, z którego mogą to zrobić dla wszystkich aplikacji wewnętrznych, zamiast wymuszać to w wielu różnych aplikacjach (ponadto niektóre aplikacje mogą tej funkcji nie obsługiwać).
  • Mniej czasu straconego na odzyskiwanie hasła: oprócz powyższych korzyści związanych z bezpieczeństwem, logowanie jednokrotne ogranicza również czas marnowany przez zespoły wewnętrzne. Dział IT musi spędzać mniej czasu w pomaganiu użytkownikom w odzyskiwaniu lub resetowaniu haseł do dziesiątek aplikacji, a użytkownicy spędzają mniej czasu w logowaniu się do różnych aplikacji w celu wykonywania swoich zadań. Może to potencjalnie zwiększyć produktywność firmy.

Jak działa SSO pod względem technicznym?

Za każdym razem, gdy użytkownik loguje się do usługi SSO, usługa tworzy token uwierzytelniający, który pamięta, iż ​​użytkownik został zweryfikowany. Token uwierzytelniający to informacja cyfrowa przechowywana w przeglądarce użytkownika lub na serwerach usługi SSO, jak np. tymczasowy dowód osobisty wydawany użytkownikowi. Każda aplikacja, do której użytkownik uzyska dostęp, zostanie sprawdzona w usłudze SSO. Usługa SSO przekazuje do aplikacji token uwierzytelniający użytkownika i użytkownik zostaje wpuszczony. o ile jednak jeszcze się nie zalogował, zostanie o to poproszony za pośrednictwem SSO.

Usługa SSO niekoniecznie zapamiętuje, kim jest użytkownik, ponieważ nie przechowuje tożsamości użytkowników. Większość usług SSO działa poprzez sprawdzanie poświadczeń użytkownika w osobnej usłudze zarządzania tożsamością.

O SSO warto myśleć jak o pośredniku, który może potwierdzić, czy dane logowania użytkownika są zgodne z jego tożsamością w bazie danych, bez samodzielnego zarządzania bazą danych – podobnie jak bibliotekarz wyszukuje książkę w czyimś imieniu na podstawie tytułu. Bibliotekarz nie ma zapamiętanego całego katalogu kart bibliotecznych, ale ma do niego łatwy dostęp.

Wady SSO

Logowanie przez SSO ma wiele zalet, ale również swoje wady:

  • Tworzy pojedynczy punkt awarii – SSO umożliwia użytkownikom dostęp do wielu usług dzięki jednego zestawu danych uwierzytelniających. Jest to wygodne, ale także ryzykowne. jeżeli system SSO nie jest odpowiednio konserwowany, atakujący mogą spróbować go przejąć i uzyskać dostęp do wielu usług jednocześnie. Ponadto w przypadku awarii systemu SSO użytkownicy mogą nie być w stanie zalogować się do powiązanych z nim aplikacji lub usług.
  • Wdrożenie go jest złożone – wdrożenie pojedynczego logowania może być złożone, ponieważ wymaga zaangażowania sporej ilości czasu i zasobów ze strony organizacji. Podczas tworzenia architektury SSO niezbędne jest skonfigurowanie aplikacji, do których będzie przyznawany dostęp przez SSO. Dodatkowo należy zadbać o wysoką dostępność samej usługi, ponieważ jest ona krytyczna z punktu widzenia ciągłości pracy użytkowników.
  • Nie wszystkie aplikacje obsługują SSO – wiele popularnych usług i aplikacji obsługuje logowanie jednokrotne, ale oczywiście nie wszystkie. Często krytyczne aplikacje biznesowe, które są przestarzałe lub niszowe nie mają możliwości integracji z systemami SSO. Może to powodować problemy i zwiększać ryzyko bezpieczeństwa dla użytkowników, którzy muszą uzyskiwać dostęp zarówno do usług obsługiwanych, jak i nieobsługiwanych przez jednokrotne logowanie.

Podsumowanie

Logowanie jednokrotne to tylko jeden z aspektów zarządzania dostępem użytkowników. Należy to połączyć z kontrolą dostępu, kontrolą uprawnień, dziennikami aktywności i innymi środkami służącymi do śledzenia i kontrolowania zachowań użytkowników w wewnętrznych systemach organizacji. SSO jest już jednak kluczowym elementem zarządzania dostępem w rozległej infrastrukturze i warto rozważyć jego wdrożenie.

Idź do oryginalnego materiału