شناسایی یگانه (SSO) چیست؟

شناسایی یگانه چیست؟

شناسایی یگانه (Single Sign-On یا SSO) روشی برای احراز هویت است که به کاربران امکان می‌دهد تنها با یک‌بار ورود، به چندین وب‌سایت و اپلیکیشن دسترسی پیدا کنند. چون کاربران امروزی بیشتر از مرورگر برای استفاده از اپلیکیشن‌ها بهره می‌برند، سازمان‌ها به دنبال راهکارهایی هستند که هم امنیت را افزایش دهند و هم تجربه کاربری را بهبود بخشند. SSO هر دو هدف را فراهم می‌کند، چون بعد از تأیید هویت کاربر، دیگر نیازی به ورود مجدد به سرویس‌های مختلف نیست.

چرا SSO مهم است؟

استفاده از SSO برای ساده‌سازی ورود کاربران، مزایای زیادی برای افراد و سازمان‌ها دارد:

تقویت امنیت رمز عبور
بدون استفاده از SSO، افراد مجبورند چندین رمز عبور برای سایت‌های مختلف به خاطر بسپارند. این موضوع ممکن است منجر به عادت‌های ضعیف امنیتی شود، مانند انتخاب رمزهای ساده یا تکراری. همچنین کاربران ممکن است رمز خود را فراموش کنند یا اشتباه وارد کنند. SSO با کاهش خستگی ناشی از ورود مکرر، به کاربران کمک می‌کند تنها یک رمز قوی برای همه سرویس‌ها انتخاب کنند.

افزایش بهره‌وری
کارکنان معمولاً از چند اپلیکیشن سازمانی استفاده می‌کنند که هر کدام نیاز به ورود جداگانه دارند. وارد کردن نام کاربری و رمز برای هر اپلیکیشن زمان‌بر است و بهره‌وری را کاهش می‌دهد. SSO این فرایند را ساده می‌کند و دسترسی به منابع محافظت‌شده را راحت‌تر می‌سازد.

کاهش هزینه‌ها
کاربران سازمانی ممکن است در تلاش برای حفظ چند رمز عبور، اطلاعات ورود خود را فراموش کنند. این موضوع منجر به درخواست‌های مکرر برای بازیابی یا تغییر رمز عبور می‌شود و بار کاری تیم فناوری اطلاعات را افزایش می‌دهد. با اجرای SSO، تعداد این درخواست‌ها کاهش یافته و در نتیجه منابع پشتیبانی نیز کمتر درگیر می‌شوند.

بهبود وضعیت امنیتی
با کاهش تعداد رمزهای عبور هر کاربر، SSO فرآیند نظارت بر دسترسی کاربران را تسهیل می‌کند و کنترل دسترسی قدرتمندی به انواع داده‌ها فراهم می‌آورد. این امر خطر رویدادهای امنیتی که به‌طور خاص رمزهای عبور را هدف قرار می‌دهند کاهش می‌دهد و به سازمان‌ها در رعایت مقررات امنیت داده‌ها کمک می‌کند.

ارائه تجربه مشتری بهتر
فروشندگان اپلیکیشن‌های ابری از SSO برای فراهم کردن تجربه ورود یکپارچه و مدیریت اعتبارنامه برای کاربران نهایی استفاده می‌کنند. کاربران با مدیریت تعداد کمتری رمز عبور می‌توانند همچنان به‌طور ایمن به اطلاعات و اپلیکیشن‌هایی که برای انجام کارهای روزانه‌شان نیاز دارند دسترسی پیدا کنند.

SSO چگونه کار می‌کند؟

SSO از طریق یک سری مراحل احراز هویت، اعتبارسنجی و ارتباطات بین اپلیکیشن و سرویس مرکزی SSO، اعتماد را بین اپلیکیشن یا سرویس و یک ارائه‌دهنده خدمات خارجی (که به آن تأمین‌کننده هویت یا IdP گفته می‌شود) برقرار می‌کند. اجزای مهم در راه‌حل‌های SSO به شرح زیر هستند:

سرویس SSO
سرویس SSO یک سرویس مرکزی است که اپلیکیشن‌ها هنگام ورود کاربر به آن متکی هستند. اگر کاربری که احراز هویت نشده باشد درخواست دسترسی به اپلیکیشن کند، اپلیکیشن او را به سرویس SSO ارجاع می‌دهد. سپس سرویس SSO کاربر را احراز هویت کرده و به اپلیکیشن اصلی باز می‌گرداند. این سرویس معمولاً روی سرور ویژه‌ای که سیاست‌های SSO را مدیریت می‌کند، اجرا می‌شود.

توکن SSO
توکن SSO یک فایل دیجیتال است که حاوی اطلاعات شناسایی کاربر مانند نام کاربری یا آدرس ایمیل است. هنگامی که کاربر درخواست دسترسی به اپلیکیشن می‌دهد، اپلیکیشن توکن SSO را با سرویس SSO مبادله می‌کند تا کاربر را احراز هویت کند.

فرآیند SSO
فرآیند SSO به این شکل است:

هنگامی که یک کاربر وارد یک اپلیکیشن می‌شود، اپلیکیشن یک توکن SSO تولید کرده و درخواست احراز هویت به سرویس SSO ارسال می‌کند.
سرویس بررسی می‌کند که آیا کاربر قبلاً در سیستم احراز هویت شده است یا خیر. اگر بله، یک پاسخ تأیید احراز هویت به اپلیکیشن ارسال می‌کند تا به کاربر دسترسی داده شود.
اگر کاربر اعتبارنامه معتبر نداشته باشد، سرویس SSO کاربر را به سیستم ورود مرکزی ارجاع می‌دهد و از کاربر می‌خواهد نام کاربری و رمز عبور خود را وارد کند.
پس از ارسال، سرویس اعتبارنامه کاربر را بررسی کرده و پاسخ مثبت به اپلیکیشن ارسال می‌کند.
در غیر این صورت، کاربر پیامی خطا دریافت کرده و باید مجدداً مشخصات کاربری را وارد کند. تلاش‌های مکرر ناموفق برای ورود ممکن است منجر به مسدود شدن کاربر از تلاش‌های بیشتر برای مدت زمانی معین شود.

انواع SSO

راه‌حل‌های SSO از استانداردها و پروتکل‌های مختلفی برای اعتبارسنجی و احراز هویت مشخصات کاربری استفاده می‌کنند.

SAML
SAML یا زبان نشانه‌گذاری امنیتی (Security Assertion Markup Language) یک پروتکل یا مجموعه‌ای از قوانین است که اپلیکیشن‌ها برای تبادل اطلاعات احراز هویت با سرویس SSO از آن استفاده می‌کنند. SAML از XML، یک زبان نشانه‌گذاری مناسب مرورگرها، برای تبادل داده‌های شناسایی کاربران استفاده می‌کند. سرویس‌های SSO مبتنی بر SAML امنیت و انعطاف‌پذیری بهتری را ارائه می‌دهند، زیرا اپلیکیشن‌ها نیازی به ذخیره مشخصات کاربری در سیستم خود ندارند.

OAuth
OAuth یا مجوز باز یک استاندارد باز است که به اپلیکیشن‌ها اجازه می‌دهد به‌طور ایمن به اطلاعات کاربران از وب‌سایت‌های دیگر دسترسی پیدا کنند بدون اینکه نیاز به وارد کردن رمز عبور باشد. به‌جای درخواست رمز عبور از کاربر، اپلیکیشن‌ها از OAuth برای دریافت اجازه کاربر جهت دسترسی به داده‌های محافظت‌شده استفاده می‌کنند. OAuth از طریق API اعتماد بین اپلیکیشن‌ها برقرار کرده و به آن‌ها این امکان را می‌دهد تا درخواست‌های احراز هویت را در یک چارچوب مشخص ارسال و دریافت کنند.

OIDC
OpenID یک روش برای استفاده از مجموعه‌ای واحد از مشخصات کاربری است که به‌منظور دسترسی به چندین سایت استفاده می‌شود. این روش به ارائه‌دهنده سرویس این امکان را می‌دهد که نقش احراز هویت مشخصات کاربری را بر عهده گیرد. به‌جای ارسال توکن احراز هویت به تأمین‌کننده هویت شخص ثالث، اپلیکیشن‌های وب از OIDC برای درخواست اطلاعات اضافی و اعتبارسنجی اصالت کاربر استفاده می‌کنند.

کربروس (Kerberos)
کربروس یک سیستم احراز هویت مبتنی بر بلیت است که به دو یا چند طرف اجازه می‌دهد تا هویت خود را در شبکه به‌طور متقابل تأیید کنند. این سیستم از رمزنگاری امنیتی برای جلوگیری از دسترسی غیرمجاز به اطلاعات شناسایی که بین سرور، مشتری‌ها و مرکز توزیع کلید ارسال می‌شود، استفاده می‌کند.

آیا SSO ایمن است؟

بله، SSO یک راه‌حل پیشرفته و مطلوب برای مدیریت دسترسی هویت است. زمانی که این سیستم پیاده‌سازی می‌شود، راه‌حل شناسایی یگانه به سازمان‌ها کمک می‌کند تا مدیریت دسترسی کاربران به اپلیکیشن‌ها و منابع سازمانی را انجام دهند. راه‌حل SSO ایجاد و یادآوری رمزهای عبور قوی را برای کاربران اپلیکیشن‌ها آسان‌تر می‌کند. علاوه بر این، تیم فناوری اطلاعات می‌تواند از ابزار SSO برای نظارت بر رفتار کاربران، بهبود تاب‌آوری سیستم و کاهش خطرات امنیتی استفاده کند.

مقایسه شناسایی یگانه با انواع دیگر راه‌حل‌های مدیریت دسترسی

مدیریت هویت فدراسیونی
مدیریت هویت فدراسیونی (FIM) یک چارچوب دیجیتال است که به اپلیکیشن‌های مختلف از فروشندگان مختلف اجازه می‌دهد تا هویت کاربر را به اشتراک گذاشته، مدیریت کنند و آن را احراز هویت کنند. به‌طور مثال، FIM به نیروی کار شما این امکان را می‌دهد که وارد یک اپلیکیشن شده و سپس بدون نیاز به ورود دوباره به چندین اپلیکیشن سازمانی دیگر دسترسی پیدا کنند. FIM اعتبارنامه ارسال‌شده از سوی تأمین‌کننده سرویس را با یک تأمین‌کننده هویت معتبر احراز هویت می‌کند.

SSO در مقابل مدیریت هویت فدراسیونی

مدیریت هویت فدراسیونی یک راه‌حل جامع برای احراز هویت و مدیریت هویت در اپلیکیشن‌های میان‌دامنه است. در حالی که SSO یک قابلیت خاص در مدل FIM است. در حالی که FIM به کاربران این امکان را می‌دهد که با یک ورود به خدمات مختلف از فروشندگان مختلف دسترسی داشته باشند، SSO محدود به خدمات یا اپلیکیشن‌های میزبانی‌شده توسط یک فروشنده است.

ورود مشابه
ورود مشابه (Same sign-on)، یک راه‌حل دیجیتال است که مشخصات کاربری را بر روی دستگاه‌هایی که کاربر به آن‌ها دسترسی دارد ذخیره و هماهنگ می‌کند. این سیستم مشابه خزانه‌داری رمز عبور یا مدیران رمز عبور است که به کاربران این امکان را می‌دهد تا بدون یادآوری مشخصات کاربری وارد چندین اپلیکیشن روی دستگاه‌های مختلف شوند.

شناسایی یگانه در مقابل ورود مشابه
سیستم‌های شناسایی یگانه نیاز به یک بار احراز هویت از سوی کاربر دارند. پس از ورود، کاربر می‌تواند به سایر اپلیکیشن‌ها و خدمات وب دسترسی پیدا کند بدون اینکه نیاز به احراز هویت مجدد داشته باشد. در حالی که ورود مشابه نیاز دارد که کاربر هر بار با همان مشخصات کاربری فرآیند ورود را تکرار کند.

احراز هویت چندعاملی
احراز هویت چندعاملی یک چارچوب احراز هویت است که از دو یا بیشتر فناوری برای تأیید هویت کاربر استفاده می‌کند. به‌طور مثال، کاربران آدرس ایمیل و رمز عبور خود را در یک صفحه وب وارد کرده و یک رمز عبور یک‌بار مصرف (OTP) که به تلفن همراه آن‌ها ارسال شده وارد می‌کنند تا دسترسی ایمن فراهم شود.

SSO در مقابل احراز هویت چندعاملی
SSO به سازمان‌ها این امکان را می‌دهد که امنیت رمز عبور را ساده کرده و با یک ورود به تمامی خدمات متصل دسترسی پیدا کنند. احراز هویت چندعاملی لایه‌های امنیتی اضافی برای کاهش احتمال دسترسی غیرمجاز از طریق اطلاعات هویتی دزدیده‌شده فراهم می‌آورد. هر دو راه‌حل SSO و احراز هویت چندعاملی می‌توانند برای بهبود وضعیت امنیتی اپلیکیشن‌های وب با هم یکپارچه شوند.