Single Sign On (SSO) یک سرویس احراز هویت است که به کاربر اجازه می دهد با یک بار استفاده از اطلاعات لاگین مثلا نام کاربری و رمز عبور بتواند به چندین اپلیکیشن دسترسی داشته باشد. افراد، شرکت ها و سازمان های کوچک و متوسط می توانند از SSO برای سهولت مدیریت اطلاعات اکانت متعدد استفاده کنند. SSO به کاربران این امکان را می دهد تا بتوانند به چندین اپلیکیشن لاگین کنند، بدون اینکه نیاز به یادآوری پسورد برای هر کدام داشته باشند. در ادامه این مطلب با ما همراه باشید تا به بررسی جامع این موضوع بپردازیم.
Single Sign on یا احراز هویت یکپارچه چیست؟
SSO یک راهکار احراز هویتی امن است که به کاربران اجازه می دهد تنها با استفاده از یک مجموعه داده ای برای احراز هویت، هم بتوانند بدون اتلاف وقت و انرژی به سایت ها و اپلیکیشن های مختلف وارد شوند و همچنین از دردسر های فراموشی پسورد نیز پیشگیری شود.
Single Sign On یا شناسایی یگانه (SSO) یک راهکار احراز هویت است که به کاربران اجازه میدهد تنها با یک بار ورود به سیستم، به چندین سرویس، اپلیکیشن، یا وبسایت دسترسی پیدا کنند. در این روش، پس از وارد کردن یک نام کاربری و پسورد در ابتدا، کاربر نیازی به وارد کردن مجدد اطلاعات در هر مرحله و برای هر سرویس ندارد. SSO بر اساس ایجاد یک رابطه اعتماد بین ارائهدهنده هویت (مانند گوگل یا فیسبوک) و ارائهدهنده سرویس (مانند وبسایتها یا اپلیکیشنها) عمل میکند. این راهکار موجب صرفهجویی در وقت و کاهش فراموشی رمز عبور میشود.
در سیستم SSO، مکانیزم احراز هویت به گونهای طراحی شده که از طریق گواهینامهها و پروتکلهای امنیتی، اطمینان حاصل میشود که هویت کاربر به طور ایمن به تمامی سرویسهای مرتبط منتقل میشود. این سیستم امنیت را بهبود میبخشد، زیرا کاربران میتوانند از پسوردهای قویتر و پیچیدهتر استفاده کنند، بدون اینکه نگران بهخاطر سپردن چندین پسورد برای سرویسهای مختلف باشند.
Single Sign-on یا شناسایی یگانه (SSO) چیست؟
شناسایی یگانه یا همان SSO، یک مکانیزم و راهکار احراز هویتی است که باعث می شود با یکبار ورود به سیستم و لاگین کردن در این سرویس، احراز هویت کاربر به تمامی وبسایت ها و اپلیکیشن های موجود در آن سرویس انجام شود و دیگر نیاز نباشد که هر دفعه و در هر مرحله، نام کاربری و پسورد وارد شود که همین، منجر به صرفه جویی در انرژی و وقت کاربران می شود.
Single Sign-on چطور کار میکند؟
در حالت عادی، زمانی که می خواهید وارد سایت یا اپلیکیشنی شوید که نیاز به احراز هویت دارید، ابتدا باید نام کاربری و پسورد خود را وارد کنید تا اپلیکیشن یا سامانه مورد نظر اطلاعات شما را با اطلاعات پایگاه داده ای خودش تطبیق دهد و سپس به شما اجازه ورود دهد؛ ولی در حالت SSO، احراز هویت شما به جای نام کاربری و پسورد شما، به اعتماد بین دامنه ها و نرم افزار ها بستگی دارد و نیاز نیست که شما هر بار نام کاربری و پسورد خود را وارد کنید و احراز هویت شما بر اساس اعتبار سرویس ارائه دهنده هویت به صورت خودکار انجام می شود.
Single Sign-on، بر مبنای یک رابطه اعتماد بین اپلیکیشن (ارائه دهنده سرویس) و ارائه دهنده هویت (مانند گوگل) عمل می کند که بر پایه یک گواهینامه بین ارائه دهنده سرویس و ارائه دهنده هویت برقرار می شود به طوری که شما برای احراز هویت در یک نرم افزار یا وبسایت، فقط کافی است نام کاربری و پسورد خود را یک بار ثبت کنید؛ Single Sign On اطلاعاتی که شما وارد کردید را با مخزن اطلاعات کاربران مقایسه کرده و در صورت صحت و تایید اطلاعات، ورود و اجازه دسترسی کاربر در سامانه SSO مجاز می شود و پس از این، ورود کاربر به تمام وبسایت ها و اپلیکیشن های متصل به این سرویس مجاز اعلام می شود و تا زمانی که شما در داخل این سرویس لاگین هستید، نیاز به وارد کردن نام کاربری و پسورد نخواهد بود.
مزایای سرویس SSO
سرویس Single Sign-on یا همان SSO، با اینکه بسیار ساده و آسان می آید ولی از امتیاز امنیتی بالایی برخوردار است و شاید برای شما تعجب آور باشد که چگونه یک سرویس می تواند با یک پسورد و فقط یک بار استفاده از آن، از استفاده چندین پسورد مختلف و مکرر امن تر باشد؛ با ما همراه باشید تا به دلایلی که SSO را انتخابی ایمن تر و بهتری می سازند بپردازیم:
پسورد قوی
در صورت استفاده از سرویس های SSO، به خاطر سپردن پسورد ها و نام های کاربری لزومی ندارد و کاربران می توانند برای تامین امنیت حسابهای خود از پسورد های پیچیده و قدرتمند تری که حفظ کردن آنها شاید دشوار باشد، استفاده کنند.
پسورد های مختلف و متنوع
کاربران از به خاطر سپردن و استفاده کردن از پسورد و نام کاربری های متفاوت برای اپلیکیشن های متفاوت، خسته می شوند و در نتیجه ترجیح میدهند برای تمام حسابهای کاربری خود، از پسورد و نام کاربری واحد و یکسانی استفاده کند.
این کار مشکلات و خطرات امنیتی زیادی ره به دنبال دارد؛ زیرا استفاده از پسورد یکسان برای تمام سرویسها، یعنی تمام سرویسها به اندازه سرویسی امنیت دارند که از پایینترین سطح حفاظت از پسورد برخوردار است! بنابراین، اگر پایگاه دادههای آن سرویس مذکور به خطر بیافتد، مهاجمان می توانند از پسورد کاربر برای دسترسی به تمام سرویسهای مورد استفاده او، بهره ببرند ولی سامانه Single Sign On با ارائه امکان ورود یکپارچه به سیستم، این خطر را رفع میکند.
اجرای بهتر خط مشی های پسورد
Single Sign On به متخصصین حوزه IT این اجازه را میدهد که قوانین مربوط به امنیت پسورد را به سادگی اعمال کنند؛ برای مثال، برخی از سازمان ها از کاربران خود می خواهند که پسورد خود را به صورت دورهای تغییر دهند؛ با استفاده از SSO، تغییر دادن پسورد به فرایند سادهتری تبدیل میشود و به این ترتیب، کاربران به جای اینکه چندین پسورد را تغییر دهند، فقط یک رمز عبور تغییر می دهند.
احراز هویت چند عاملی
احراز هویت چند عاملی یا همان MFA، به استفاده از بیش از یک عامل هویتی برای احراز هویت کاربر مربوط است؛ به عنوان مثال، کاربر علاوه بر وارد کردن نام کاربری و پسورد، شاید مجبور باشد از یک دستگاه USB استفاده کند یا کدی را وارد کند که روی گوشی موبایلش ظاهر میشود؛ برخورداری از یک شیء فیزیکی مانند دستگاه USB، که هویت کاربر را تایید میکند، پیشنیاز یک احراز هویت چند عاملی است و استفاده کردن از پروتکل احراز هویت چند عاملی، بسیار ایمن تر از یک پسورد واحد است بنابراین، کاربران با استفاده از سامانه SSO میتوانند از این روش برای افزایش امنیت پسورد بهرهمند شوند.
نکته واحد برای اجرای مجدد ورود رمز عبور
ادمینهای شبکه میتوانند پس از مدت زمانی مشخصی اعتبارنامه ها را مجددا وارد کنند، و مطمئن شوند که کاربر همچنان از طریق همان دستگاه مورد استفاده برای ورود به سیستم، فعالیت میکند؛ این سامانه احراز هویت یکپارچه، یک مکان مرکزی نیز در اختیار ادمین ها قرار میدهد تا به جای اعمال فرایند های مختلف روی اپلیکیشنهای مختلف، فقط یک فرآیند مشخص را روی همه اپلیکیشنهای داخلی اجرا کنند.
مدیریت اعتبار داخلی به جای حافظه خارجی
اپلیکیشن ها و سرویسهای مختلف معمولا نام کاربری و پسورد کاربران خود را از راه دور و به شیوه مدیریت نشده ای ذخیره میکنند که این ممکن است امنیت کاربر را به خطر بیندازد؛ ولی با استفاده از SSO، نام کاربری و پسورد کاربر به حالت داخلی و در محیطی ذخیره میشوند که تیم IT قادر است آن را به روش بهتر و ایمن تری کنترل و مدیریت کند.
اتلاف زمان کمتر برای بازیابی رمز عبور
استفاده از سامانه SSO، باعث کاهش اتلاف زمان تیمهای فنی میشود زیرا متخصصین IT وقت کمتری را صرف پاسخگویی به کاربران در رابطه با بازیابی پسورد های متعدد مورد استفاده در برنامههای مختلف میکنند و همچنین، کاربران نیز زمان کمتری را صرف ورود به سامانهها و اپلیکیشن های مختلف میکنند؛ به این ترتیب استفاده از سامانه Single Sign On باعث افزایش بهرهوری کسبوکار، و صرفه جویی در زمان میشود.
تفاوت SSO با مکانیزم Central Authentication service) CAS) چیست؟
برای ورود به سیستم SSO، کاربران فقط یک بار احراز هویت می کنند، صرف نظر از اینکه پس از ورود اولیه به چه تعداد سرویس یا اپلیکیشن دسترسی پیدا کنند؛ شبکه، اطلاعات و هویت کاربران را به خاطر می سپارد و هر زمان که کاربران بخواهد به یک منبع دسترسی پیدا کنند از آن اطلاعات استفاده می کند؛ بنابراین یک سرویس SSO، دو مشکل عمده را برطرف میکند.
- دیگر نیاز نخواهد بود که کاربران چندین بار اطلاعات احراز هویت خود را وارد کنند.
- کاربران دیگر چندین مجموعه از اطلاعات احراز هویت را به خاطر نمیسپارند.
اما در CAS یا احراز هویت متمرکز، پروسه احراز هویت کمی متفاوت است؛ به طوری که ورود به سایر اپلیکیشن ها و وبسایت ها به طور خودکار انجام نمیشود و کاربر باید برای به ورود به هر سایت، اطلاعات احراز هویت خود را وارد کند ولی با این حال، مزیت CAS این است که اطلاعات وارد شده، یکسان خواهد بود. سازوکار احراز هویت CAS تنها یک مشکل را برطرف میکند و آن هم این است که کاربران دیگر مجبور نخواهند بود چندین مجموعه از اطلاعات احراز هویت را به خاطر بسپارند.
فاکتورهای برقراری یک محیط امن
امروزه، پیدا کردن یک اپلیکیشن کاربردی که نیازهای امنیتی و کنترل دسترسی در آن وجود نداشته باشد کاری بسیار سخت و حتی غیر ممکن است؛ در دنیای اینترنت که تمامی ارتباطات، تراکنش های بانکی، تماس ها، تبادلات و… بیشتر و بیشتر به سمت الکترونیکی شدن حرکت می کنند، اثبات و حضور در اینترنت نیز مهم تر می شود؛ با گسترش دنیای تکنولوژی، IT و ارتباطات، امنیت به یکی از مهم ترین مباحث و موضوعات در پروسه طراحی و مدیریت یک سازمان تبدیل شده و در تمام زیرساخت ها و سرویسهای درون سازمانی برای استفاده از خدمات اختصاصی باید به طریقی هویت آشکار سازی شود. به طور کلی، برای برقراری یک محیط امن، چند فاکتور و موضوع اساسی باید برقرار باشند، این فاکتورها عبارتند از:
جامعیت:
باید اطمینان حاصل شود که اطلاعات، صحیح و کامل هستند؛ این به معنی دست خوردگی و عدم تغییر پیغام و در نتیجه اطمینان از اینکه دادهها با اطلاعات مخربی همچون یک ویروس آلوده نشده باشند، است.
محرمانگی:
اطمینان حاصل کردن از اینکه اطلاعات، فقط و تنها توسط افراد یا سازمانهای مجاز قابل استفاده بوده و هیچگونه فاش سازی دیتا برای افراد غیر مجاز و تأیید هویت نشده، صورت نخواهد گرفت.
شناسایی و احراز هویت:
هر دو گیرنده و فرستنده، باید از هویت طرف مقابل خود و حقیقت پیام ارسال یا دریافت شده مطمئن باشند.
انکارناپذیری:
هیچ کدام از دو طرف ارتباط نباید بتوانند مشارکت خود را در ارتباط انکار کنند؛ یعنی تمام امکانات شبکه به راحتی در اختیار افراد مجاز قرار بگیرد و هیچکس نتواند در دسترسی به شبکه ایجاد اشکال کند.
SSO چگونه کار می کند؟
SSO یک تمهید مدیریت هویت متحد است. استفاده از چنین سیستمی گاهی فدراسیون هویت نامیده می شود. Open Autorization (OAuth) فریم ورکی است که امکان استفاده از اطلاعات اکانت کاربر توسط سرویس های شخص ثالث مانند فیسبوک را بدون افشای پسورد کاربر فراهم می کند.OAuth به عنوان یک واسطه از طرف کاربر نهایی عمل کرده و یک توکن دسترسی در اختیار سرویس قرار می دهد که اجازه می دهد اطلاعات خاصی از اکانت به اشتراک گذاشته شود. هنگامی که یک کاربر تلاش می کند به یک اپلیکیشن از ارائه دهنده خدمات دسترسی پیدا کند، ارائه دهنده خدمات درخواستی را برای احراز هویت به ارائه دهنده هویت ارسال می کند. سپس ارائه دهنده خدمات، احراز هویت را تأیید کرده و کاربر وارد می شود.
در یک وب سرویس Single Sign On پایه، یک ماژول ایجینت در سرور اپلیکیشن، اطلاعات احراز هویت خاص را برای یک کاربر از یک پالیسی سرور اختصاصی SSO دریافت کرده و کاربر را از طریق یک بانک کاربر، مانند LDAP، احراز هویت میکند. این سرویس، کاربر نهایی را برای تمام اپلیکیشن هایی که مجوزشان به کاربر داده شده است، احراز هویت میکند و درخواستهای پسورد بعدی برای اپلیکیشن های دیگر در همان جلسه را حذف میکند.
انواع تنظیمات SSO
برخی از سرویس های SSO از پروتکل هایی مانند Kerberos یاSAML استفاده می کنند.
- در یک راه اندازی مبتنی بر Kerberosپس از ارائه اطلاعات اکانت توسط کاربر، یک تیکت TGT صادر می شود. TGT تیکت های سرویس را برای سایر اپلیکیشن هایی که کاربر میخواهد به آنها دسترسی داشته باشد فرا می خواند، بدون اینکه از کاربر بخواهد اطلاعات اکانت را دوباره وارد کند.
- SAML یک استاندارد زبان نشانه گذاری توسعه پذیر است که تبادل اطلاعات احراز هویت کاربر و مجوز را در دامنه های امن تسهیل می کند. سرویسهای SSO مبتنی بر SAML ارتباطات بین کاربر، ارائهدهنده هویت – که فهرست کاربر را نگه داری می کند – و ارائهدهنده خدمات را شامل می شود.
- SSO مبتنی بر کارت هوشمند از کاربر نهایی می خواهد که برای اولین لاگین از کارتی استفاده کند که اطلاعات اکانت را در خود دارد. پس از استفاده از کارت، کاربر مجبور نیست نام کاربری یا پسورد را دوباره وارد کند. کارتهای هوشمند SSO گواهیها و یا پسوردها را در خود ذخیره میکنند.
خطرات امنیتی SSO
اگرچه Single Sign On برای کاربران یک راحتی محسوب می شود، اما خطراتی را برای امنیت سازمان ایجاد می کند. مهاجمی که کنترل اطلاعات SSO کاربر را به دست میآورد، به هر اپلیکیشنی که کاربر اجازه دسترسی به آن را دارد، دسترسی پیدا میکند و میزان آسیب احتمالی را افزایش میدهد.
به منظور جلوگیری از دسترسی مخرب،SSO باید با ناظر هویت لینک شود. همچنین برای بهبود امنیت، سازمان ها می توانند از احراز هویت دو-مرحله ای (2FA) یا احراز هویت چند-عاملی در کنار SSO استفاده کنند.
SSOاجتماعی
گوگل، لینکدین، اپل، توییتر و فیسبوک خدمات محبوب SSO را ارائه می دهند که به کاربران نهایی امکان می دهد با اطلاعات احراز هویت رسانه های اجتماعی خود به اپلیکیشن های شخص ثالث لاگین کنند. اگرچه Single Sign On اجتماعی یک راحتی برای کاربران محسوب می شوند اما می توانند خطرات امنیتی ایجاد کنند زیرا یک نقطه خرابی واحد ایجاد می کنند که می توانند توسط مهاجمان مورد سوء استفاده قرار گیرند.
بسیاری از متخصصان امنیتی به کاربران نهایی توصیه میکنند از استفاده از سرویسهای SSO اجتماعی خودداری کنند زیرا وقتی مهاجمان کنترل اطلاعاتSSO کاربر را به دست میآورند، میتوانند به سایر اپلیکیشنهایی که از اطلاعات یکسانی استفاده میکنند دسترسی داشته باشند.
SSO سازمانی
نرم افزار و سرویس های سازمانی (eSSO)، پسورد منیجرهایی هستند که شامل بخش های کلاینت و سرور می باشند و کاربر را از طریق ارسال مجدد اطلاعات اکانت به اپلیکیشن های مورد نظر لاگین میکنند. این اطلاعات اکانت ها تقریبا همیشه نام کاربری و پسورد هستند. این اپلیکیشن ها برای کار با سیستم eSSO نیازی به تغییر ندارند.
مزایای SSO چیست
از مزایای SSO می توان به موارد زیر اشاره کرد:
- کاربران باید پسورد و نام کاربری کمتری را برای هر اپلیکیشن به خاطر بسپارند و مدیریت کنند.
- فرآیند ثبت نام و استفاده از اپلیکیشن ها ساده شده است – نیازی به وارد کردن مجدد پسورد نیست.
- حملات فیشینگ کاهش می یابد.
- تیم های پشتیبانی آی تی شکایت یا مشکل کمتری در رابطه با پسورد دریافت خواهند کرد.
معایب SSO
- سطوح خاصی از امنیت را که ممکن است هر اپلیکیشن برای لاگین به آن نیاز داشته باشد در اختیار قرار نمی دهد.
- اگر دسترسی از بین برود، کاربران از تمام سیستم های متصل به Single Sign On خارج می شوند.
- اگر کاربران غیرمجاز دسترسی پیدا کنند، می توانند به بیش از یک اپلیکیشن دسترسی داشته باشند.
فروشندگان SSO
فروشندگان مختلفی محصولات، خدمات و ویژگی های SSO را ارائه می دهند. فروشندگان SSO شامل موارد زیر هستند:
- Rippling به کاربران امکان می دهد از چندین دستگاه وارد اپلیکیشن های ابری شوند.
- Avatier Identity Anywhere SSO برای پلتفرم های مبتنی بر کانتینر داکر است.
- OneLogin by One Identity یک پلتفرم مدیریت دسترسی و هویت ابری است که از SSO پشتیبانی می کند.
- Okta ابزاری با قابلیت SSO است. Okta همچنین از 2FA پشتیبانی می کند و در عمدتا توسط سازمان ها استفاده می شود.
جمع بندی
Single Sign-on یا شناسایی یگانه (SSO) یک راهکار احراز هویت است که به کاربران اجازه میدهد تنها با یک بار ورود به سیستم، به چندین سرویس، اپلیکیشن، یا وبسایت دسترسی پیدا کنند. در این روش، پس از وارد کردن یک نام کاربری و پسورد در ابتدا، کاربر نیازی به وارد کردن مجدد اطلاعات در هر مرحله و برای هر سرویس ندارد. SSO بر اساس ایجاد یک رابطه اعتماد بین ارائهدهنده هویت (مانند گوگل یا فیسبوک) و ارائهدهنده سرویس (مانند وبسایتها یا اپلیکیشنها) عمل میکند. این راهکار موجب صرفهجویی در وقت و کاهش فراموشی رمز عبور میشود.
در سیستم SSO، مکانیزم احراز هویت به گونهای طراحی شده که از طریق گواهینامهها و پروتکلهای امنیتی، اطمینان حاصل میشود که هویت کاربر به طور ایمن به تمامی سرویسهای مرتبط منتقل میشود. این سیستم امنیت را بهبود میبخشد، زیرا کاربران میتوانند از پسوردهای قویتر و پیچیدهتر استفاده کنند، بدون اینکه نگران بهخاطر سپردن چندین پسورد برای سرویسهای مختلف باشند. شرکت داریا، وارد کننده محصولات اورجینال امنیت شبکه برند های فورتی نت، سیسکو و سوفوس بوده و شما را در تامین، حفظ و تقویت امنیت شبکه تان یاری می کند. شما می توانید برای دریافت مشاوره رایگان و خرید محصولاتی همچون فایروال فورتی گیت، با کارشناسان ما در ارتباط باشید.
مقالات مرتبط
