Czym dokładnie jest SSO – korzyści i wady

kapitanhack.pl 2 dni temu

Single Sign-on (SSO) to technologia, która łączy kilka różnych procesów logowania w aplikacjach. Dzięki niej użytkownik musi tylko raz wprowadzić swoje dane uwierzytelniające (nazwę użytkownika, hasło itp.) na jednej stronie, aby uzyskać dostęp do wszystkich aplikacji w obrębie SaaS.

Funkcja SSO jest często stosowana w kontekście biznesowym, gdy aplikacje użytkownika są przypisywane i zarządzane przez wewnętrzny zespół IT. Zdalni pracownicy używający aplikacji SaaS również korzystają z SSO.

Aby lepiej zrozumieć koncepcję SSO, wyobraźmy sobie sytuację, gdy osoba wchodzi na zamkniętą imprezę i musi przy wejściu pokazać dowód tożsamości. Dzięki temu wewnątrz uzyskuje dostęp do wielu udogodnień – baru, jedzenia i innych dodatkowych atrakcji bez konieczności przedstawiania się czy pokazywania dowodu tożsamości we wszystkich tych strefach. Niektórzy użytkownicy gwałtownie poczuliby się sfrustrowani ciągłymi kontrolami i mogliby choćby próbować obejść te środki, np. przemycając własne napoje.

Logowanie jednokrotne jest ważnym aspektem wielu rozwiązań do zarządzania tożsamością i dostępem (IAM) lub kontroli dostępu. Weryfikacja tożsamości użytkownika ma najważniejsze znaczenie, aby wiedzieć, jakie uprawnienia powinien posiadać każdy użytkownik.

Zalety stosowania SSO

Oprócz tego, iż jest znacznie prostsze i wygodniejsze dla użytkowników, logowanie jednokrotne jest powszechnie uważane za bezpieczniejsze. Może się to wydawać sprzeczne z intuicją: w jaki sposób jednorazowe logowanie przy użyciu jednego hasła zamiast wielokrotnego logowania przy użyciu wielu haseł może być bezpieczniejsze? Zwolennicy SSO podają następujące powody:

  • Silniejsze hasła: ponieważ użytkownicy muszą używać tylko jednego hasła, funkcja SSO ułatwia im tworzenie, zapamiętywanie i używanie silniejszych haseł. W praktyce zwykle tak się dzieje: większość użytkowników korzysta z silniejszych haseł przy użyciu funkcji SSO.
  • Żadnych powtarzających się haseł: gdy użytkownicy muszą pamiętać hasła do kilku różnych aplikacji i usług, najprawdopodobniej wystąpi stan zwany „zmęczeniem”: użytkownicy będą ponownie używać tych samych haseł w różnych usługach. Używanie tego samego hasła w kilku usługach stanowi ogromne zagrożenie bezpieczeństwa, ponieważ oznacza, iż ​​wszystkie usługi są tak bezpieczne, jak usługa z najsłabszą ochroną bazy haseł: jeżeli baza danych haseł tej usługi zostanie naruszona, osoby atakujące mogą wykorzystać hasło do zhakowania wszystkich kont użytkownika, także w innych usługach. Funkcja SSO eliminuje ten scenariusz, redukując liczbę wszystkich logowań do jednego.
  • Lepsze egzekwowanie zasad dotyczących haseł: dzięki jednemu miejscu do wprowadzania haseł funkcja SSO umożliwia zespołom IT łatwe egzekwowanie zasad bezpieczeństwa haseł. Na przykład niektóre firmy wymagają od użytkowników okresowego resetowania haseł. Dzięki SSO resetowanie haseł jest łatwiejsze do wdrożenia: zamiast ciągłego resetowania haseł w wielu różnych aplikacjach i usługach, użytkownicy zmieniają tylko jedno hasło.
  • Uwierzytelnianie wieloskładnikowe: MFA odnosi się do użycia więcej niż jednego czynnika tożsamości do uwierzytelnienia użytkownika. Na przykład oprócz wprowadzenia nazwy użytkownika i hasła może być konieczne podłączenie urządzenia USB lub wprowadzenie kodu wyświetlanego na telefonie. Posiadanie tego obiektu fizycznego jest drugim „czynnikiem” potwierdzającym, iż użytkownik jest tym, za kogo się podaje. Usługa MFA jest znacznie bezpieczniejsza niż poleganie na samym haśle. SSO umożliwia aktywację usługi MFA w jednym miejscu, zamiast konieczności aktywacji dla trzech, czterech czy kilkudziesięciu aplikacji, co może być niewykonalne.
  • Pojedynczy punkt wymuszania ponownego wprowadzenia hasła: administratorzy mogą wymusić ponowne wprowadzenie danych uwierzytelniających po upływie określonego czasu, aby mieć pewność, iż ten sam użytkownik jest przez cały czas aktywny na zalogowanym urządzeniu. Dzięki SSO mają centralne miejsce, z którego mogą to zrobić dla wszystkich aplikacji wewnętrznych, zamiast wymuszać to w wielu różnych aplikacjach (ponadto niektóre aplikacje mogą tej funkcji nie obsługiwać).
  • Mniej czasu straconego na odzyskiwanie hasła: oprócz powyższych korzyści związanych z bezpieczeństwem, logowanie jednokrotne ogranicza również czas marnowany przez zespoły wewnętrzne. Dział IT musi spędzać mniej czasu w pomaganiu użytkownikom w odzyskiwaniu lub resetowaniu haseł do dziesiątek aplikacji, a użytkownicy spędzają mniej czasu w logowaniu się do różnych aplikacji w celu wykonywania swoich zadań. Może to potencjalnie zwiększyć produktywność firmy.

Jak działa SSO pod względem technicznym?

Za każdym razem, gdy użytkownik loguje się do usługi SSO, usługa tworzy token uwierzytelniający, który pamięta, iż ​​użytkownik został zweryfikowany. Token uwierzytelniający to informacja cyfrowa przechowywana w przeglądarce użytkownika lub na serwerach usługi SSO, jak np. tymczasowy dowód osobisty wydawany użytkownikowi. Każda aplikacja, do której użytkownik uzyska dostęp, zostanie sprawdzona w usłudze SSO. Usługa SSO przekazuje do aplikacji token uwierzytelniający użytkownika i użytkownik zostaje wpuszczony. o ile jednak jeszcze się nie zalogował, zostanie o to poproszony za pośrednictwem SSO.

Usługa SSO niekoniecznie zapamiętuje, kim jest użytkownik, ponieważ nie przechowuje tożsamości użytkowników. Większość usług SSO działa poprzez sprawdzanie poświadczeń użytkownika w osobnej usłudze zarządzania tożsamością.

O SSO warto myśleć jak o pośredniku, który może potwierdzić, czy dane logowania użytkownika są zgodne z jego tożsamością w bazie danych, bez samodzielnego zarządzania bazą danych – podobnie jak bibliotekarz wyszukuje książkę w czyimś imieniu na podstawie tytułu. Bibliotekarz nie ma zapamiętanego całego katalogu kart bibliotecznych, ale ma do niego łatwy dostęp.

Wady SSO

Logowanie przez SSO ma wiele zalet, ale również swoje wady:

  • Tworzy pojedynczy punkt awarii – SSO umożliwia użytkownikom dostęp do wielu usług dzięki jednego zestawu danych uwierzytelniających. Jest to wygodne, ale także ryzykowne. jeżeli system SSO nie jest odpowiednio konserwowany, atakujący mogą spróbować go przejąć i uzyskać dostęp do wielu usług jednocześnie. Ponadto w przypadku awarii systemu SSO użytkownicy mogą nie być w stanie zalogować się do powiązanych z nim aplikacji lub usług.
  • Wdrożenie go jest złożone – wdrożenie pojedynczego logowania może być złożone, ponieważ wymaga zaangażowania sporej ilości czasu i zasobów ze strony organizacji. Podczas tworzenia architektury SSO niezbędne jest skonfigurowanie aplikacji, do których będzie przyznawany dostęp przez SSO. Dodatkowo należy zadbać o wysoką dostępność samej usługi, ponieważ jest ona krytyczna z punktu widzenia ciągłości pracy użytkowników.
  • Nie wszystkie aplikacje obsługują SSO – wiele popularnych usług i aplikacji obsługuje logowanie jednokrotne, ale oczywiście nie wszystkie. Często krytyczne aplikacje biznesowe, które są przestarzałe lub niszowe nie mają możliwości integracji z systemami SSO. Może to powodować problemy i zwiększać ryzyko bezpieczeństwa dla użytkowników, którzy muszą uzyskiwać dostęp zarówno do usług obsługiwanych, jak i nieobsługiwanych przez jednokrotne logowanie.

Podsumowanie

Logowanie jednokrotne to tylko jeden z aspektów zarządzania dostępem użytkowników. Należy to połączyć z kontrolą dostępu, kontrolą uprawnień, dziennikami aktywności i innymi środkami służącymi do śledzenia i kontrolowania zachowań użytkowników w wewnętrznych systemach organizacji. SSO jest już jednak kluczowym elementem zarządzania dostępem w rozległej infrastrukturze i warto rozważyć jego wdrożenie.

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Czym dokładnie jest SSO – korzyści i wady

Powiązane

SII i NASK SA rozpoczynają współpracę dotyczącą cyberbezpieczeństwa spółek publicznych (Aktualności)

SII i NASK SA rozpoczynają współpracę dotyczącą cyberbezpiec...

13 godzin temu
W jaki sposób można korzystać z chmury?

W jaki sposób można korzystać z chmury?

15 godzin temu
Przegląd technologiczny 1 – 5 lipca

Przegląd technologiczny 1 – 5 lipca

15 godzin temu
Przedstawiciele Cyberpolicy na konferencji EuroDIG 2024

Przedstawiciele Cyberpolicy na konferencji EuroDIG 2024

15 godzin temu
Skradziono miliony numerów telefonów. Doszło do ataku

Skradziono miliony numerów telefonów. Doszło do ataku

16 godzin temu
Cyberbezpieczeństwo wzmocnione prawnie

Cyberbezpieczeństwo wzmocnione prawnie

19 godzin temu
Jak kompletnie i bezpiecznie usunąć wszystkie dane z dysku twardego, pendrive’a czy kart pamięci?

Jak kompletnie i bezpiecznie usunąć wszystkie dane z dysku t...

19 godzin temu
Polska z akredytacją do wydawania certyfikatów CC

Polska z akredytacją do wydawania certyfikatów CC

19 godzin temu
TeamViewer ponownie z problemami bezpieczeństwa

TeamViewer ponownie z problemami bezpieczeństwa

1 dzień temu

Polecane

Niewybuch nad rzeką

Niewybuch nad rzeką

2 dni temu
Niemcy chcą zmienić przepisy o deportacji. Wystarczy jeden „lajk”

Niemcy chcą zmienić przepisy o deportacji. Wystarczy jeden „...

4 dni temu
Stan gotowości w bazach USA w Europie podwyższony pierwszy raz od 10 lat

Stan gotowości w bazach USA w Europie podwyższony pierwszy r...

4 dni temu
Takiego zagrożenia nie było „przynajmniej od 10 lat”. Podwyższony alarm w bazach USA

Takiego zagrożenia nie było „przynajmniej od 10 lat”. Podwyż...

4 dni temu
HUK, DYM W STOLICY. ATAK TERRORYSTYCZNY NA OBIEKTACH WODOCIĄGÓW WARSZAWSKICH I OCZYSZCZALNI ŚCIEKÓW „CZAJKA”

HUK, DYM W STOLICY. ATAK TERRORYSTYCZNY NA OBIEKTACH WODOCIĄ...

6 dni temu
Udział delegacji ZOR RP na obchodach Święta Stowarzyszenia Saperów Polskich

Udział delegacji ZOR RP na obchodach Święta Stowarzyszenia S...

1 tydzień temu
Ataki terrorystyczne w rosyjskim Dagestanie na synagogi, cerkwie i posterunek policji

Ataki terrorystyczne w rosyjskim Dagestanie na synagogi, cer...

1 tydzień temu
Święto Służby Kontrwywiadu Wojskowego!

Święto Służby Kontrwywiadu Wojskowego!

1 tydzień temu
Przyjechali chłopaki z Inowrocławia!

Przyjechali chłopaki z Inowrocławia!

2 tygodni temu