O singură logare

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Single sign-on (în acronim SSO , care poate fi tradus ca „autentificare unică” sau „identificare unică”) este proprietatea unui sistem de control al accesului care permite utilizatorului să efectueze o singură autentificare valabilă pentru mai multe sisteme software sau resurse IT la care este calificat.

Obiective

Obiectivele sunt multiple:

  • simplificarea gestionării parolelor : cu cât este mai mare numărul de parole de gestionat, cu atât este mai mare posibilitatea ca parolele similare între ele și ușor de memorat să fie utilizate, scăzând astfel nivelul de securitate;
  • simplifica gestionarea accesului la diferite servicii;
  • simplifica definirea și gestionarea politicilor de securitate.

Arhitectură

Există trei abordări pentru crearea unui sistem SSO: abordarea centralizată, abordarea federativă și abordarea cooperativă.

Abordare centralizată

Principiul este de a avea o bază de date globală și centralizată a tuturor utilizatorilor și de a centraliza politica de securitate în același mod. Această abordare este destinată în primul rând serviciilor dependente de aceeași entitate, de exemplu în cadrul unei companii.

Abordare federativă

Cu această abordare, diferiți manageri („federați” între ei) gestionează datele aceluiași utilizator. Accesul la unul dintre sistemele federate permite automat accesul la toate celelalte sisteme.

Un călător ar putea fi atât pasagerul unui avion, cât și oaspete într-un hotel. Dacă compania aeriană și hotelul ar folosi o abordare federativă, ar putea încheia un acord reciproc privind autentificarea utilizatorului final. De exemplu, călătorul ar putea să se autentifice singur pentru a rezerva zborul și să fie autorizat, în virtutea acelei autentificări, să facă o rezervare de cameră de hotel.

Această abordare a fost dezvoltată pentru a răspunde unei nevoi de gestionare descentralizată a utilizatorilor: fiecare manager federat menține controlul propriei politici de securitate.

Abordare cooperativă

Abordarea cooperativă pleacă de la principiul că fiecare utilizator depinde, pentru fiecare serviciu, doar de unul dintre managerii care cooperează. În acest fel, dacă încercați, de exemplu, să accesați rețeaua locală , autentificarea se efectuează de către managerul care este responsabil de utilizator pentru a accesa rețeaua.

La fel ca în cazul abordării federației, în acest fel fiecare manager își gestionează în mod independent propria politică de securitate. Abordarea cooperativă răspunde nevoilor structurilor instituționale în care utilizatorii depind de o entitate, cum ar fi în universități, laboratoare de cercetare, administrații etc.

Soluții pentru SSO

Există multe SSO-uri gratuite și comerciale, iată o listă parțială:

  1. Serviciul central de autentificare JA-SIG (CAS) este un serviciu gratuit de conectare simplă (inițial dezvoltat de Universitatea Yale) care permite aplicațiilor web posibilitatea de a redirecționa toate autentificările către un server central sau mai multe servere de încredere. Numeroși clienți sunt disponibili gratuit, inclusiv clienți pentru Java , Microsoft .Net , PHP , Perl , Apache , uPortal , Liferay și altele.
  2. A-Select este sistemul de autentificare olandez co-dezvoltat de SURFnet (NREN olandez). [1] A-Select a devenit acum open source și este utilizat de guvernul olandez de exemplu pentru DigiD, sistemul lor de autentificare. A-Select permite personalului și studenților să obțină acces la o varietate de servicii web printr-o singură autentificare online. Instituțiile pot utiliza A-Select pentru a-și securiza cu ușurință aplicațiile web. Aceștia pot utiliza diferite instrumente de autentificare, de la nume de utilizator / parolă la metode mai sigure, cum ar fi o parolă unică trimisă către un telefon mobil sau autentificare bancară prin Internet.
  3. CoSign este un proiect open source , inițial destinat echipării Universității din Michigan cu un sistem securizat de autentificare web cu autentificare unică. CoSign vă permite să autentificați utilizatorii pe serverul web și apoi oferă un câmp variabil numele utilizatorului. Atunci când utilizatorul accesează o parte a site-ului care necesită autentificare, prezența acestei variabile permite accesul fără a fi nevoie să vă conectați din nou. CoSign face parte din software-ul de lansare al National Science Foundation Middleware Initiative (NMI http://www.nsf-middleware.org/default.aspx ).
  4. Enterprise single sign-on (E-SSO), numit și legacy single sign-on, după o primă autentificare de utilizator, interceptează solicitările de conectare prezentate de o aplicație secundară și le introduce automat în câmpuri precum un login ID sau o parolă . Sistemul E-SSO ia în considerare interacțiunea cu aplicațiile care nu pot extrage autentificarea, făcută anterior de utilizator, în esență prin ecranarea ecranului .
  5. Web single sign-on (Web-SSO), numit și Web Access Management (Web-AM), funcționează îndeaproape cu aplicațiile și resursele care au acces la un browser web. Accesul la resursele web este interceptat fie prin utilizarea unui server proxy web, fie prin instalarea unei componente pe fiecare server web stabilit. Utilizatorii neautorizați care încearcă să acceseze o resursă sunt redirecționați către un serviciu de autentificare și se întorc numai după conectarea cu succes. Cookie-urile sunt folosite foarte des pentru a urmări starea de autentificare a utilizatorului; infrastructura Web-SSO extrage informațiile de identificare a utilizatorilor din cookie - urile în sine, trecându-le către fiecare resursă web.
  6. Kerberos este un mecanism cunoscut de aplicații și este utilizat pentru a extrage autentificările în întregime. Utilizatorii se înregistrează pe serverul Kerberos, care emite o „carte de vizită”, pe care software-ul clientului său o va prezenta serverelor pe care încearcă să le acceseze. Kerberos este disponibil pentru platformele Unix , Windows și de procesare a datelor, dar necesită modificări ample ale codului aplicației client / server, deci nu este utilizat de multe aplicații vechi .
  7. Federația este o nouă abordare, de asemenea, pentru aplicațiile web, care utilizează un protocol bazat pe standarde care permite unei aplicații să verifice identitatea unui utilizator de diferite servicii o singură dată, pentru a evita necesitatea autentificării redundante. Standardele care susțin Federația includ SAML și WS-Federation ( http://www-128.ibm.com/developerworks/library/specification/ws-fed ).
  8. Identitatea ușoară și ID-ul deschis, sub protecția YADIS, oferă SSO distribuit și descentralizat, unde identitatea este legată de un URL ușor de executat, care poate fi verificat de orice server utilizând unul dintre protocoalele partajate.
  9. JOSSO sau Java Open Single Sign-On este o infrastructură SSO open source bazată pe J2EE, care își propune să găsească o soluție pentru platformele de autentificare centralizate neutre pentru utilizatori. JOSSO folosește servicii web pentru a stabili identitatea utilizatorului, permițând integrarea aplicațiilor non-Java (de exemplu, PHP, Microsoft ASP etc.) la serviciul Single Sign-On folosind protocolul SOAP peste protocolul HTTP .
  10. Shibboleth System este un pachet software open source , bazat pe standarde, pentru SSO web între organizații sau în cadrul unei organizații (sistem dezvoltat de Internet2 ).

Notă

  1. ^ (EN) OpenASelect pe openaselect.org (depus de „Original url 26 aprilie 2011).

linkuri externe

Securitate IT Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT
Adus de la „ https://it.wikipedia.org/w/index.php?title=Single_sign-on&oldid=115920271