SSO: Що таке одиничний вхід (Single Sign On)? Універсальний сервіс SSO для підприємств
Зміст
Що означає SSO і як він працює
Переваги і недоліки одиничного входу
Універсальний сервіс SSO від Hideez
Приклад налаштування ASA AnyConnect VPN до сервера Hideez Enterprise через SAML
Налаштування ASA для SAML через CLI
Додати постачальника послуг до HES
Під час роботи з додатком або веб-сайтом, можливо, ви бачили опцію увійти за допомогою Facebook або Google. І наступне, ви вже магічно увійшли на сторонній веб-сайт, навіть не створюючи облікового запису.
Це не магія, це технологія одиничного входу, або SSO. Що це таке, як вона працює і чому багато сучасних організацій використовують її з міркувань безпеки?
Що означає SSO і як він працює
Одиничний вхід (Single Sign-On) – це процес аутентифікації користувача, який дозволяє користувачам отримувати доступ до різних застосунків за допомогою одного набору логіну та пароля. Це означає, що після входу користувач не повинен знову і знову входити для кожного застосунку, пов'язаного з цією системою.
Фактично одиничний вхід є федеративним управлінням ідентичністю між трьома сутностями:
- Користувачі — Індивідуальні особи, яким потрібно отримати доступ до різних послуг. Вони повинні мати змогу управляти особистою інформацією, такою як їхні логіни або паролі, і вони повинні бути однозначно ідентифіковані.
- Постачальники послуг (SP) — Зазвичай це веб-сайти і додатки, до яких користувачі хочуть отримати доступ, але вони можуть включати всілякі продукти та послуги, такі як доступ до WiFi, ваш телефон або пристрої "Інтернету речей".
- Постачальники ідентичності (IdP) — Бази даних, що зберігають ідентичність користувачів, яка потім може бути федерована до різних ІТ-ресурсів. Вони також можуть зберігати багато екземплярів ідентичності користувача, які містять інформацію, таку як логіни, паролі, SSH-ключі, біометричні дані та інші атрибути. Один з найпопулярніших постачальників ідентичності на сьогоднішній день - Microsoft Active Directory, який був розроблений для управління іменами користувачів і паролями Windows та підключення їх до внутрішніх ресурсів Windows.
Для роботи SSO, більшість додатків покладаються на відкриті стандартні протоколи, що визначають, як постачальники послуг та постачальники ідентичності можуть обмінюватися інформацією про ідентичність та аутентифікацію один з одними. Найпоширеніші протоколи – це SAML, OAuth та OpenID Connect (OIDC), які безпечно дозволяють одному сервісу отримувати доступ до даних з іншого.
Сьогодні ми спостерігаємо тенденцію, що компанії починають розуміти: робота з дому означає, що більше користувачів мають увійти в свої облікові записи через Інтернет, щоб отримати доступ до важливої інформації. І це новий світ потенційних векторів атак. Злочинці вже це знають і використовують. Тому все більше компаній починають враховувати ці нові загрози, впроваджуючи рішення SSO.
Переваги і недоліки одиничного входу
Основна перевага SSO - це чудовий користувацький досвід та зручність, яку він надає користувачам. Вони мають мінімальну кількість паролів, які потрібно запам'ятати, спрощує процес входу та зменшує ймовірність підлоги.
SSO особливо корисний для бізнесів, які працюють віддалено через COVID-19, оскільки сервіси одиничного входу забезпечують найбільш безпечну та зручну аутентифікацію для віддалених входів. Використання SSO також може бути частиною інтегрованої системи управління доступом для швидкого надання та позбавлення користувачів.
З іншого боку, SSO має ризики, оскільки він створює єдину точку входу, яку можуть використовувати атакувальники для отримання доступу до інших додатків. Крім того, як і багато ІТ-інструментів, для SSO потрібна реалізація та налаштування, які можуть бути досить дорогими.
Багато постачальників SSO стягують плату за кожну функцію окремо, тому витрати швидко накопичуються і можуть стати важким тягарем для бюджету малих або середніх підприємств.
В будь-якому випадку ми вважаємо, що зручність SSO варта всіх його недоліків.
Приклади одиничного входу
Типовим і хорошим прикладом одиничного входу є Google. Будь-який користувач, який ввійшов в один з сервісів Google, автоматично увійде в інші сервіси, такі як Gmail, Google Drive, Youtube, Google Analytics та інші.
Одиничний вхід зазвичай використовує центральний сервіс, який оркеструє одиничний вхід між кількома клієнтами, як у випадку з Google - це облікові записи Google.
Переходячи до питань корпоративної безпеки, на сьогоднішній день існує багато продуктів та сервісів одиничного входу для бізнесу. Зазвичай це менеджери паролів з клієнтськими та серверними компонентами, які увійшли в систему за допомогою авторизаційних даних користувача.
Служба автентифікації Hideez - це один з таких прикладів безпечних рішень SSO. Однією з унікальних переваг Hideez SSO є можливість комбінувати базові методи аутентифікації (логін/пароль + одноразовий пароль) з повністю безпарольними входами (токени FIDO2 або мобільний додаток).
Так як працює одиничний вхід Hideez?
Крок 1. Користувач отримує доступ до будь-якого постачальника послуг, наприклад, додатка з підтримкою протоколів SAML або OpenID;
Крок 2. Постачальник послуг надсилає запит SAML/OIDC на сервер Hideez, і користувач автоматично перенаправляється на сервер Hideez;
Крок 3. Користувачу пропонується заповнити дані для входу або вибрати один із доступних методів автентифікації: апаратний ключ безпеки (Yubikey, багатофункціональний Hideez Key або будь-який інший фізичний токен безпеки), або мобільний додаток Hideez Authenticator;
Крок 4. Сервер Hideez надсилає результат автентифікації на постачальника послуг і перенаправляє користувача назад до початкового додатка.
Крок 5. Користувач автентифікується, і ймовірно, не помічає нічого, окрім кількох перенаправляючих викликів у строковому рядку його браузера.
Універсальна служба SSO від Hideez
Служба одиничного входу Hideez - це постачальник ідентичності SAML (IdP), який додає SSO до Windows Active Directory, використовуючи федерацію SAML 2.0. Адміністратори можуть налаштувати одиничний вхід до будь-якого веб-або мобільного додатка, який підтримує стандарти OpenID Connect або SAML. І на вершині цього ми робимо SSO повністю безпарольним!
На відміну від SSO з традиційними входами за паролем, SSO Hideez може уникнути паролів і замінити їх на FIDO2/Мобільний додаток безпарольний досвід, де це можливо. Навіть якщо деякі з ваших додатків не підтримують стандарти SAML або OIDC і не можуть бути повністю безпарольними, ви можете використовувати Hideez Key як апаратний менеджер паролів і автоматично заповнювати дані для входу за допомогою кнопки.
Ви можете вибрати найзручніший аутентифікаційний фактор для своїх співробітників:
- Смартфони. Hideez Authenticator - це додаток SSO для Android та iOS, який може перетворити смартфони користувачів на безпарольні апаратні токени, які замінюють їх імена користувачів та паролі на безпечні вхід, заснований на одноразових QR-кодів з використанням біометричної верифікації або верифікації PIN-коду в смартфоні кінцевого користувача
- Апаратні токени безпеки. Hideez Key - це багатофункціональні пристрої Bluetooth/NFC/USB, захищені PIN-кодом. Ви можете використовувати їх для входу в послуги без паролів на основі стандарту FIDO2, зберігати облікові дані для входу за паролем, генерувати одноразові паролі для двофакторної автентифікації, а також блокувати або розблоковувати комп'ютери з Windows на основі близькості пристрою.
Hideez Enterprise Server інтегрується з Microsoft Active Directory, Azure Active Directory та системами ідентифікації LDAP для спрощення процесу включення в систему та управління користувачами. Ваші співробітники можуть просто використовувати одне додаток SSO для доступу до всього, що є, що робить Hideez SSO Service супер зручним для користувача. Не кажучи вже про те, що вам не потрібно пам'ятати дані для входу або думати про запобігання фішингу та крадіжок ідентичності.
Hideez випереджає всіх поточних конкурентів у зручності та ціні, пропонуючи повне відповідність найсильнішим стандартам аутентифікації, таким як GDPR, NIST, PSD2, PSI-DSS та HIPAA. Попередньо вжиті заходи дозволять вам заощадити чимало грошей та часу в майбутньому.
Заплануйте демонстрацію або отримайте безкоштовну пробний період у 30 днів служби Hideez SSO і перехопіть майбутнє безпарольної безпеки!