Tehnologia Single Sign-On ( ing. Single Sign-On ) este o tehnologie în care utilizatorul trece dintr-o secțiune a portalului în alta, sau de la un sistem la altul, neconectat cu primul sistem, fără re- autentificare .
De exemplu, dacă există mai multe secțiuni independente extinse pe portalul web ( forum , chat , blog etc.), atunci, după ce a trecut procedura de autentificare într-unul dintre servicii, utilizatorul primește automat acces la toate celelalte, ceea ce salvează el de la introducerea în mod repetat a datelor sale.cont.
Single Sign-On poate fi împărțit în două tipuri principale de tehnologii de single sign-on:
După autentificarea primară cu succes, Centrul de distribuție a cheilor (KDC) emite identitatea principală a utilizatorului pentru accesarea resurselor de rețea, Ticket Granting Ticket (TGT). Ulterior, la accesarea resurselor individuale ale rețelei, utilizatorul, prezentând TGT-ul, primește de la KDC o identitate pentru accesarea unei anumite resurse de rețea - Tichet de serviciu (TGS). Ca exemplu de implementare a protocolului Kerberos , se poate remarca autentificarea utilizatorilor de domeniu în sistemele de operare Microsoft, începând cu Windows 2000 [1] .
La autentificarea inițială, trebuie să conectați un smart card și un token . Tehnologia de conectare unică bazată pe carduri inteligente și jetoane utilizează fie certificate, fie parole scrise pe aceste chei.
Autentificarea integrată Windows se referă la un produs Microsoft care utilizează protocoalele SPNEGO , Kerberos și NTLMSSP . Cel mai adesea, acest termen se referă la autentificarea care are loc în timpul interacțiunii dintre Microsoft Internet Information Services și Internet Explorer .
SAML (security assertion markup language) este un limbaj de marcare bazat pe XML . Un standard deschis pentru schimbul de date de autentificare și autorizare între participanți, în primul rând între un furnizor de identitate și un furnizor de servicii. Utilizatorul solicită acces la o resursă protejată de furnizorul de servicii. Furnizorul de servicii, pentru a identifica utilizatorul, trimite o cerere de autentificare furnizorului de identitate. Furnizorul de identitate verifică dacă utilizatorul are o sesiune activă, dacă nu, îl autentifică pe utilizator și generează un răspuns cu datele utilizatorului.
Ca exemplu de implementare, putem cita sistemul cu intrare unică implementat în Guvernul Electronic bazat pe Sistemul Unificat de Identificare și Autentificare . Un exemplu de furnizor de identitate care utilizează SAML în scopuri SSO este Oracle Identity Federation și Blitz Identity Provider .
Un sistem de autentificare descentralizat standard, deschis , care oferă utilizatorului posibilitatea de a crea un singur cont pentru autentificare pe o varietate de resurse de Internet care nu au legătură, utilizând servicii terțe.
Principalele beneficii ale tehnologiei de conectare unică includ:
Tehnologia Single Sign-on folosește servere de autentificare centralizate utilizate de alte aplicații și sisteme care asigură că utilizatorul introduce acreditările o singură dată.
Unii experți observă importanța tot mai mare a unei parole unice ca principal dezavantaj al tehnologiei de conectare unică, la primirea căreia un atacator obține acces la toate resursele unui utilizator folosind o conectare unică. Furnizorii de manageri de parole indică, de asemenea, utilizarea de parole diferite pentru diferite resurse de informații ca o soluție mai sigură decât tehnologia de conectare unică.
Mecanismul SSO corporativ (Enterprise SSO) nu oferă un nivel ridicat de securitate, deoarece autentificarea în sistemele finale are loc cu o parolă. În plus, acest mecanism necesită instalarea de agenți speciali, nu toate dispozitivele și sistemele de operare sunt acceptate.
https://www.anti-malware.ru/analytics/Market_Analysis/enterprise-single-sign-on