Single Sign-on) SSO ) احراز هویت یکپارچه چیست؟
سامانه SSO یک سرویس متمرکز تایید هویت است که در آن کاربر تنها با استفاده از یک حساب کاربری (نام کاربری و رمز عبور) می تواند به چندین برنامه یا سایت دسترسی داشته باشد. SSO می تواند توسط مشاغل، سازمان های کوچک و افراد برای سهولت مدیریت نام های کاربری و رمزهای عبور مختلف استفاده شود.
به عنوان مثال وقتی که به یکی از سرویس های گوگل مانند Gmail وارد می شوید، دسترسی به سایر سرویس ها مانند یوتیوب، گوگل درایو، گوگل داکز و … برای شما فعال خواهد شد. یکی از ویژگی های اصلی این سرویس ایجاد یک مسیر امنیتی میان کامپیوتر کاربر و سرور مرکزی است که باعث میشود اطلاعات محرمانه کاربران، تحت پروتکل های امنیتی جابجا شوند.
به طور مشخص SSO چگونه کار می کند؟
هنگام ورود به سامانه یا برنامه های کاربردی در یک سیستم SSO مراحل زیر انجام می شود:
- سامانه یا برنامه مورد نظر ابتدا هویت شما را بررسی می کند که آیا قبلا از طریق SSO تایید شده است یا خیر؟. در صورت اینکه تایید شود امکان دسترسی به شما داده می شود، در غیر این صورت شما را به درگاه ورود SSO برمیگرداند تا شما از طریق نام کاربری و رمز عبور واحدی که برای ورود به سامانه های مورد نظر استفاده می کنید را وارد کنید.
- سامانه Single Sign On درخواست تایید هویت کاربران را به دایرکتوری کاربران سازمان فرستاده و در صورت تایید، ورود کاربر در سامانه SSO انجام می شود.
- SSO داده های تایید هویت کاربر را به سرویس گیرنده منتقل کرده و کاربر به آن سامانه باز می گردد.
- پس از ورود، سرویس گیرنده اطلاعات تایید هویت کاربر را در قالب یک توکن به مرورگر شما انتقال می دهد تا هر بار که به صفحات جدید مراجعه می کنید اعتبار شما تایید گردد.
درک تفاوت میان ورود با رمزعبور و ورود از طریق سامانه SSO اهمیت زیادی دارد. هیچوقت تصور اینکه با ورود رمز عبور یکسان در تمامی سامانه ها وارد شوید و نتیجه مشابهی در مقابل ورود از طریق SSO به دست می آورید، کاملا تصور اشتباهی است.
چرا که در صورتی که هر یک از این سامانه ها به علت ضعف در پیاده سازی لایه امنیتی مورد حمله قرار بگیرد و اطلاعات هویتی شما افشا شود، هکر می تواند به تمامی سامانه های شما دسترسی داشته باشد. به علاوه با استفاده از Single Sign On دیگر
نیازی به وارد کردن مجدد رمز عبور به ازای ورود به هر سامانه نیست و صرفا کافی است یک بار نام کاربری و رمز عبور خود را فقط در درگاه سامانه SSO وارد نمایید.
در نبود SSO احراز هویت چگونه انجام می شود؟
هر سامانه پایگاه داده ای به صورت جداگانه از نام های کاربری و رمزهای عبور کاربران خود را نگه داری می کند. وقتی می خواهید وارد برنامه یا سامانه ای شوید مراحل زیر اجرا می شود:
- ابتدا سایت یا برنامه مورد نظر بررسی می کند که آیا هویت شما پیش از این تصدیق شده است یا خیر. در صورتی که این اتفاق افتاده باشد به شما اجازه دسترسی به سایت یا برنامه مورد نظر داده می شود.
- در صورتی که این اتفاق نیفتاده باشد از شما خواسته می شود که نام کاربری و رمز عبور خود را وارد کنید. در این صورت اطلاعات کاربری وارد شده با اطلاعات کاربری موجود در پایگاه داده مقایسه و صحت آن بررسی می شود.
- پس از ورود به سامانه به هنگام مراجعه به هر یک از بخش های دیگه متصل به آن سامانه مجددا هویت شما توسط سامانه بررسی و نیاز به ورود مجدد نام کاربری و رمز عبور می باشد.
- داده های مربوط به تایید هویت معمول در قالب نشست ها یا توکن ها ارسال می شوند و توسط سامانه جهت اعطای دسترسی به صفحات مختلف مورد بررسی قرار می گیرند.
مزایای SSO :
- به کاربران اجازه می دهد تا رمزهای عبور و نام کاربری کمتری را برای هر برنامه به خاطر بسپارند و مدیریت کنند.
- سامانه SSO با یکپارچه سازی اطلاعات هویتی و اعتبارنامه های کاربر مدیریت دسترسی به انواع منابع سازمانی از جمله پلتفرم ها و برنامه های کاربردی را سهولت می بخشد.
- فرآیند ورود به سیستم و استفاده از برنامه ها را ساده می کند – دیگر نیازی به وارد کردن مجدد رمز عبور نیست
- سامانه SSO ، امنیت شبکه ها و برنامه های کاربردی را افزایش می دهد SSO می تواند با استفاده از مدرن ترین استانداردهای امنیتی موجود، کاربر را به صورت منحصر به فرد شناسایی کرده و اطلاعات او را به صورت رمزگذاری شده در سراسر شبکه به سامانه های سرویس گیرنده ارائه دهد.
- سامانه SSO با جلوگیری از وقفه های ناشی از درخواست گذرواژه برای دسترسی به سامانه ها و برنامه های کاربردی تجربه کاربر را بهبود می بخشد. کاربر پس از یک بار احراز هویت اجازه دسترسی به تمام منابع مجازرا پیدا می کند.
قابلیت های سامانه احراز هویت یکپارچه آیدال IDALL :
آیدال یک سامانه احراز هویت یکپارچه (Identity Provider and Single Sign-On) در بستر وب و موبایل است که براساس پروتکل OAuth 2.0 و OpenID Connect پیاده سازی شده است.
- زیرساخت مناسب
قابلیت ورود یکپارچه در آیدال در قالب پروتوکل ها و استاندارد های جهانی ٢/٠ OAuth و Connect OpenID ارائه می شود تا سرویس گیرندگان و توسعه دهندگان نرم افزاری با هر پلتفرم و زبان برنامه نویسی بتوانند به سهولت از این سرویس استفاده نمایند..
- سهولت در استفاده کاربران
هدف این سرویس فراهم آوردن قابلیت ورود آسان ، سریع ، امن و بدون نیاز به حفظ رمز عبور و نام کاربری با رویکرد ورود بدون رمز با بهره گیری از فناوری های بیومتریک مانند : تشخیص اثر انگشت ، چهره و صدا می باشد..
- امنیت بالا
احراز هویت، اولین گام در فرایند کنترل دسترسی است. از آنجایی که استفاده از نام کاربری و رمز عبور به تنهایی ریسک ربوده شدن اطلاعات و آسیب پذیری در برابر حملات را بالا می برد، سامانه احراز هویت یک روش موثر برای افزایش امنیت است.
- احراز هویت نوین
آیدال بر اساس رویـکرد احراز هویت بدون رمــز (Passwordless authentication ) طراحـی شــده اسـت. بدیـن شکل که در هـر بار اقـدام کاربـر بـرای ورود، یک رمز یکبـار مصـرف کوتاه و ساده برای او پیامک می شود.
- عدم نیاز به ثبت نام جداگانه
کاربران پلتفرم ها و سامانه های مختلف در صورت استفاده از آیدال برای ورود نیاز به ثبت نام جداگانه نداشته و براساس رویکرد احراز هویت بدون رمز از شماره موبایل آن ها به عنوان نام کاربری استفاده خواهد شد.
- عدم نیاز به حفظ رمز عبور
رویکرد آیدال بکارگیری مناسب مکانیزم های بدون رمز (password less) جهت سهولت کاربران هنگام ورود (Login) سامانه می باشد تا نیازی به حفظ کردن نام کاربری (username) یا کلمه عبور (password) نباشد.