احراز هویت یکپارچه چیست؟ مزایا و تفاوت آن با CAS
اگر اتوماسیون اداری دارید و میخواهید امنیت پایگاه داده خود را تأمین کنید، یک راهحل عالی پیش روی شما استفاده از سامانه SSO یا احراز هویت یکارچه است. Single Sign On یا همان SSO یک راه حل هویتی را توصیف میکند که به چندین برنامه اجازه میدهد تا از یک مرحله احراز هویت استفاده نمایند، بنابراین از ورود تکراری کاربر اجتناب میشود. شرکتها اغلب SSO را در سازمان خود به عنوان بخشی از استراتژی دسترسی ایمن به منابع مهم پیاده سازی میکنند و توکن احراز هویت را در برنامه قرار می دهند.
اگر میخواهید بدانید سامانه SSO چیست و چگونه یک ورود به سیستم، احراز هویت را ساده میکند؛ تجربه کاربر را بهبود میبخشد؛ و امنیت را تقویت میکند تا انتهای این مقاله از یگانه سافت با ما همراه باشید.
سامانه SSO چیست؟
سامانه SSO یا Single Sign On در حقیقت به عنوان یک سرور است که به شناسایی هویت کمک میکند. نام دیگر این سامانه احراز هویت یکپارچه بوده و یک سرویس متمرکز تأیید هویت است که در آن کاربر تنها با استفاده از یک حساب کاربری دارای نام کاربری و رمز عبور، میتواند به چندین برنامه یا سایت دسترسی داشته باشد.
معمولاً سرویسهای وابسته به این سرور اعتماد کامل دارند و هنگامی که بگوید فلانی احراز هویت شده است، سرویسهای مورد نظر به کاربر اجازه میدهند که بدون احتیاج به رمز عبور و پسورد وارد شده و از امکانات آنها بهره مند شود. میتوانید نمونه واقعی شناسایی یگانه را در دموهای بسیاری از شرکتها مشاهده کنید. هنگامی که شما بخواهید با استفاده از حساب کاربری فیسبوک یا جیمیل خود وارد سایتی بشوید.
در اکثر سایتهایی که به فیسبوک اطمینان دارند و آن را به عنوان یک سرور شناسایی یگانه میشناسند، بدون احتیاج داشتن به رمز کاربری و پسورد لاگین یا وارد خواهید شد. البته باید بدانید که سرویس SSO تنها برای اینترنت به کار نمیرود و شما در شبکههای داخلی نیز میتوانید آن را مشاهده کنید. سامانه SSO یا احراز هویت یکپارچه در تولید نرم افزارهای اداری از جمله نرم افزار اتوماسیون اداری و نرم افزار بایگانی اسناد کاربردهای بسیاری دارد.
سامانه SSO چگونه کار میکند؟
قبل از اینکه بخواهید بدانید مزیتها و ساز و کار سامانه SSO چیست، لازم است با نحوه کارکرد آن آشنا شوید. این سرور احراز هویت به جای اینکه بر روی یوزر یا نام کاربری و پسورد تکیه کند، ساختار خود را بر اعتماد میان دامنهها و نرم افزارها استوار کرده است. عملکرد در این شیوه به گونهای است که پسورد به وسیله کاربر یا نرم افزار وارد نمیگردد. در این شیوه احراز هویت کاربران فقط بر مبنای اعتبار ارائه کننده احراز هویت انجام میگیرد.
شناسایی یگانه یا Single Sign-on به عنوان یک سرور احراز هویت از وبسایت یا اپلیکیشن مورد نظر که به عنوان ارائه دهنده سرویس یا خدمت شناخته میشود؛ جهت احراز هویت از یک ارائه کننده هویت، نظیر گوگل، استعلام را دریافت میکند.
SSO مورد نظر یک گواهینامه را که شبیه به توکن است، ارسال مینماید. این گواهینامه حاوی اطلاعات مربوط به شناسایی کاربر است و برای ارائه کننده سرویس یا خدمات مورد نظر ارسال میشود تا مقصد مورد نظر به هویت کاربر اطمینان داشته باشد. شیوه ساز و کار این سرویس در عمل به این شکل است که کاربران برای احراز هویت در یک نرم افزار یا سایت فقط کافی است یکبار یوزر و پسورد خود را وارد کنند. سرویس SSO اطلاعات وارد شده از طرف کاربر را به وسیله مخزن اطلاعاتی کاربران و با استفاده از قرارداد دسترسی سبک وزن راهنما یا پروتکل آل دپ مقایسه و نسبت به احراز هویت آن اقدام میکند. سپس در صورت تأیید، اطلاعات کاربر در سیستم شناسایی یگانه قرار میگیرد.
نحوه پیاده سازی سامانه SSO چگونه است؟
پیاده سازی سرویس شناسایی یگانه مراحل مختلفی دارد. اولین گام برای پیاده سازی این سامانه استفاده از دایرکتوری مرکز برای دسترسی به Authentication میباشد. در گام بعدی باید صحت اطلاعات کاربران تأیید شود. پس از انجام این مرحله لازم است مجوزهای کاربران بر اساس Credentialهای مورد نظر مشخص گردند. لازم به ذکر است، این سامانه در اتوماسیون اداری یگانه سافت به صورت یک ماژول در اختیار شما قرار دارد.
پیاده سازی Single Sign-On به دو شیوه مختلف انجام میشود. در روش اول از اسکریپت استفاده میشود. به این شکل که اسکریپت مربوط به اطلاعات حساب کاربر به شکل رمزگذاری شده به سرویس تشخیص هویت ارسال میگردد. بعد از اینکه هویت کاربر مورد تأیید قرار گرفت، امکان ورود به سیستم را دارد.
روش دوم استفاده از کوکیها است. در این شیوه کوکیهایی مربوط به سیستم کاربر به سروری ارسال میگردد که کاربر قصد دارد به آن وارد شود. در حقیقت سیستمهای نرم افزاری که تحت وب قرار دارند و دامین آن شبیه به هم هستند و بر روی چند سرور قرار دارند، برای اینکه بتوانند فرایند تشخیص هویت کاربر را انجام دهند، از کوکیها کمک میگیرند. این کوکیها به شکل رمزگذاری شده هستند و بر روی سیستم کاربران قرار دارند. به این شکل است که هویت کاربران در همه سرورها مورد تأیید قرار میگیرد.
انواع روشهای احراز هویت با سامانه SSO چیست؟
احراز هویت با Single Sign-On به روشهای مختلفی انجام میگیرد. ضعیفترین روش احراز هویت همانطور که شما میدانید، با استفاده از رمز و پسورد انجام میگیرد. احراز هویت با توکن یکی از روشهایی است که با استفاده از این سرویس انجام میشود. توکنها به شکل فیزیکی هستند و انواع مختلفی دارند. آنها در سایزهای مختلفی مانند مموری، فلش و کارتهای هوشمند هستند. این دستگاهها به عنوان مولد پسورد شناخته میشوند که باید آن را همیشه به همراه داشته باشید.
احراز هویت با SSO به کمک عوامل بیومتریک با توجه به ویژگیها و فیزیولوژی و خصایص رفتاری برای هر فرد منحصر به فرد است. بیومتریک به عنوان یک سیستم اتوماتیک است که افراد را بر اساس ویژگیهای فیزیولوژیکی آنها و رفتارهایشان شناسایی میکند. در این نوع سیستمها نوعی پایگاه وجود دارد که در آنها تصاویر و ویژگیهای افراد مانند داده وجود دارد. این پایگاه به محض درخواست احراز هویت، تصاویر مورد نظر را با تصویر و ویژگیهای فرد مقایسه مینماید. سپس اقدام به احراز هویت میکند.
مزایای سامانه SSO چیست؟
SSO علاوه بر اینکه برای کاربران بسیار سادهتر و راحتتر است، به طور گستردهای امنتر خواهد بود. این امر ممکن است در نگاه اول غیر منطقی به نظر برسد؛ چگونه میتوان یک بار ورود با یک رمز عبور، به جای چندین بار با چندین رمز عبور، ایمنتر باشد؟ طرفداران این سامانه به شما خواهند گفت که مزایای سامانه SSO چیست:
رمزهای عبور قویتر:
از آنجایی که کاربران فقط باید از یک رمز عبور استفاده کنند، SSO ایجاد، به خاطر سپردن و استفاده از رمزهای عبور قویتر را برای آنها آسانتر میکند. چه چیزی رمز عبور را “قوی” میکند؟ یک رمز عبور قوی به راحتی قابل حدس زدن نیست و به اندازه کافی تصادفی است که احتمال موفقیت آمیز بودن یک حمله brute force در آن وجود ندارد. به عنوان مثال، w7:g”5h$G@ یک رمز عبور نسبتاً قوی است، نه پسورد 123.
عدم تکرار رمز عبور:
زمانی که کاربران مجبور هستند گذرواژههای چندین برنامه و سرویس مختلف را به خاطر بسپارند، وضعیتی به نام «خستگی رمز عبور» را تجربه خواهند کرد. کاربران از رمزهای عبور در همه سرویسها استفاده مجدد میکنند. استفاده از رمز عبور یکسان در چندین سرویس یک خطر امنیتی بزرگ است، زیرا به این معنی است که همه سرویسها تبدیل به سرویسی با ضعیفترین محافظت از رمز عبور خواهند شد. اگر پایگاه داده رمز عبور آن سرویس در معرض خطر قرار گیرد، مهاجمان میتوانند از رمز عبور برای هک کردن تمام اطلاعات کاربر استفاده کنند. خدمات دیگر سامانه SSO این سناریو را با از بین بردن رمز یکسان کاهش خواهد داد.
اجرای بهتر خط مشی رمز عبور:
سامانه SSO با یک مکان برای ورود رمز عبور، راهی را برای تیمهای فناوری اطلاعات فراهم میکند تا به راحتی قوانین امنیتی رمز عبور را اعمال نمایند. برای مثال، برخی از شرکتها از کاربران میخواهند که رمز عبور خود را به صورت دورهای بازنشانی کنند. با SSO، بازنشانی رمز عبور آسانتر است. کاربران به جای بازنشانی مداوم رمز عبور در تعدادی از برنامهها و سرویسهای مختلف، فقط یک رمز عبور برای بازنشانی دارند.
احراز هویت چند عاملی:
احراز هویت یکپارچه چند عاملی یا MFA به استفاده از بیش از یک عامل هویت برای احراز هویت یک کاربر اشاره دارد. به عنوان مثال، کاربر علاوه بر وارد کردن نام کاربری و رمز عبور، ممکن است مجبور باشد یک دستگاه USB وصل کند یا کدی را وارد کند که در تلفن هوشمندش ظاهر میشود. داشتن این شیء فیزیکی دومین “عامل” است که کاربر را مشخص میکند که او چه کسی است. MFA بسیار امنتر از اتکا به رمز عبور است. SSO امکان فعال کردن MFA را در یک نقطه واحد به جای نیاز به فعال کردن آن برای سه، چهار یا چند ده برنامه امکان پذیر میکند، که ممکن است امکان پذیر نباشد.
اجازه برای اعمال ورود مجدد رمز عبور:
مدیران میتوانند پس از مدت زمان معینی اعتبارنامهها را مجدداً وارد کنند تا مطمئن شوند که همان کاربر همچنان در دستگاه وارد شده به سیستم فعال است. با سامانه SSO، آنها یک مکان مرکزی برای انجام این کار برای همه برنامههای داخلی دارند، به جای اینکه مجبور باشند آن را در چندین برنامه مختلف اعمال کنند، که ممکن است برخی از برنامهها از آن پشتیبانی نکنند.
مدیریت اعتبار داخلی به جای حافظه خارجی:
معمولاً رمزهای عبور کاربر از راه دور توسط برنامهها و سرویسها به روشی مدیریت نشده ذخیره میشوند؛ ممکن است این برنامهها و سرویسها از بهترین شیوههای امنیتی پیروی نکنند. اما رمزها با سامانه SSO، به صورت داخلی در محیطی ذخیره میشوند که تیم فناوری اطلاعات کنترل بیشتری روی آنها دارد.
اتلاف زمان کمتر برای بازیابی رمز عبور:
این سامانه علاوه بر مزایای امنیتی فوق، زمان تلف شده را برای تیمهای داخلی نیز کاهش میدهد. تیم IT باید زمان کمتری را صرف کمک به کاربران برای بازیابی یا بازنشانی رمز عبور دهها برنامه کند و کاربران زمان کمتری را صرف ورود به برنامههای مختلف برای انجام کارهای خود میکنند. این ویژگی پتانسیل افزایش بهره وری کسب و کار را دارد.
آیا امنیت سامانه احراز هویت یکپارچه کافی است؟
براساس مقاله وبسایت Onelogin پاسخ به این سؤال این است که “بستگی دارد”. دلایل زیادی وجود دارد که چرا SSO میتواند امنیت را بهبود بخشد. یک راه ورود به سیستم میتواند مدیریت نام کاربری و رمز عبور را هم برای کاربران و هم برای مدیران ساده کند. کاربران دیگر نیازی به پیگیری مجموعههای مختلف حساب کاربری و رمز عبور را ندارند و میتوانند به سادگی یک رمز عبور پیچیدهتر را به خاطر بسپارند. SSO اغلب کاربران را قادر میسازد تا به برنامههای خود بسیار سریعتر دسترسی پیدا کنند.
این سامانه همچنین میتواند مدت زمانی را که واحد IT برای کمک به کاربران با رمزهای گمشده صرف میکند کاهش دهد. مدیران میتوانند الزاماتی مانند پیچیدگی رمز عبور و احراز هویت چند عاملی (MFA) را به صورت متمرکز کنترل کنند. همچنین هنگامی که یک کاربر سازمان را ترک میکند، مدیران میتوانند با سرعت بیشتری امتیازات ورود او به سیستم در سراسر اتوماسیون اداری سازمان خود را لغو نمایند.
با این حال، Single Sign-On دارای اشکالاتی است. برای مثال، ممکن است برنامههایی داشته باشید که بخواهید آنها را کمی بیشتر قفل کنید. به همین دلیل، مهم است که یک راه حل SSO را انتخاب کنید که به شما این امکان را میدهد که مثلاً قبل از ورود کاربر به یک برنامه خاص، به یک فاکتور تأیید هویت اضافی نیاز داشته باشد یا از دسترسی کاربران به برنامههای خاص جلوگیری کند، مگر اینکه به یک برنامه ایمن متصل شوند.
تفاوت SSO با مکانیزم Central Authentication service (CAS) چیست؟
Single Sign-On به عنوان یک سیستم شناسایی در هنگام ورود کاربران تنها یک بار فرایند احراز هویت را انجام میدهد. صرف نظر از اینکه بعد از ورود نخست بخواهند به چه تعداد سرویس و سرور دسترسی داشته باشند. این سیستم به شکل اساسی هویت و اطلاعات کاربر را به خاطر میسپارد و در هر شرایطی که کاربر قصد دارد به یک منبع دسترسی داشته باشد از آن استفاده میکند. اما در سیستم CAS یا احراز هویت به شکل متمرکز شرایط متفاوت است. در این سیستم ورود کاربر به اکثر نرم افزارها و سایتها به شکل اتوماتیک انجام نمیگیرد. بلکه کاربر برای اینکه بخواهد به هر سایت جدیدی وارد شود، باید اطلاعات مربوط به احراز هویت خود را دوباره وارد کنند.
در عین حال مزیت استفاده از این روش اینست که نیاز به اطلاعات کاربری یکسان دارد. با توجه به این امر یعنی سیستم CAS تنها به حل یک مشکل میپردازد. کاربران در این شیوه مجبور نیستند چند مجموعه از اطلاعات مربوط به احراز هویت را به خاطر بسپارند.
سؤالات متداول
چرا به Single Sign-on نیاز داریم؟
این سامانه مدیریت چندین نام کاربری و رمز عبور را در حسابها و سرویسهای مختلف آسان میکند.
چگونه SSO در یک استراتژی مدیریت دسترسی قرار میگیرد؟
SSO تنها یکی از جنبههای مدیریت دسترسی کاربر است. باید با کنترل دسترسی، کنترل مجوز، گزارشهای فعالیت، و سایر اقدامات برای ردیابی و کنترل رفتار کاربر در سیستمهای داخلی سازمان ترکیب شود. با این حال، SSO یک عنصر حیاتی در مدیریت دسترسی است. اگر سیستمی نداند کاربر کیست، هیچ راهی برای اجازه یا محدود کردن اعمال آن کاربر وجود ندارد.
مثالی از سامانه SSO چیست؟
بهترین نمونه از سامانه SSO اجرای Google و محصولات آن است. به عنوان مثال، اگر به Gmail وارد شوید، به طور خودکار به سایر محصولات Google مانندYouTube ، Google Drive ، Google Photos و غیره دسترسی پیدا میکنید.
چگونه یک سامانه امن SSO انتخاب کنیم؟
سامانه SSO شما باید نیازهای اساسی برای پشتیبانی از نیازهای فناوری اطلاعات را برآورده کند. این به معنای یک راه حل پایدار و بسیار کاربردی است. امروزه، تحول دیجیتال به بستری برای مدیریت هویت و دسترسی مشتری (CIAM) متکی است که شامل SSO و ابزارهای دیگر خواهد بود.