Движение единого народного действия
- 1 year ago
- 0
- 0
Технология единого входа ( англ. Single Sign-On ) — технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации .
Например, если на веб-портале существует несколько обширных независимых разделов ( форум , чат , блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
Single Sign-On можно разделить на два основных вида технологий единого входа:
После успешной первичной аутентификации центр распределения ключей (Key Distribution Center, KDC) выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT). В дальнейшем, при обращении к отдельным ресурсам сети, пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Service Ticket (TGS). В качестве примера реализации протокола Kerberos можно отметить доменную аутентификацию пользователей в операционных системах Microsoft, начиная с Windows 2000 .
При первоначальном входе требуется подключить смарт-карту и токен . Технология единого входа, основанная на смарт-картах и токенах , использует либо сертификаты, либо пароли, записанные на этих ключах.
Под встроенной аутентификацией Windows понимается продукт Microsoft , использующий протоколы , Kerberos , и . Чаще всего этим термином обозначают аутентификацию, происходящую при взаимодействии Microsoft Internet Information Services и Internet Explorer .
SAML (security assertion markup language — язык разметки утверждений безопасности) — язык разметки, основанный на языке XML . Открытый стандарт обмена данными аутентификации и авторизации между участниками, главным образом между поставщиком идентификации (англ. identity provider) и поставщиком услуг (англ. service provider). Пользователь запрашивает доступ к ресурсу, защищенному поставщиком услуг. Поставщик услуг, чтобы провести идентификацию пользователя, направляет запрос на проведение аутентификации в адрес поставщика идентификации. Поставщик идентификации проверяет наличие у пользователя активной сессии, если она отсутствует, то проводит аутентификацию пользователя, и формирует ответ с данными пользователя.
В качестве примера реализации можно привести систему единого входа, реализованную в Электронном правительстве на основе Единой системы идентификации и аутентификации . Примером поставщика идентификации, использующего SAML в целях обеспечения единого входа, является и .
Открытый стандарт децентрализованной системы аутентификации , предоставляющей пользователю возможность создать единую учётную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов , используя услуги третьих лиц. На основе данного протокола построены такие ID системы как Tinkoff ID, Sber ID, Yandex ID и прочие провайдеры сервиса аутентификации .
К основным преимуществам технологии единого входа относятся:
В технологии единого входа применяются централизованные серверы аутентификации, используемые другими приложениями и системами, которые обеспечивают ввод пользователем своих учётных данных только один раз.
Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа.
Механизм корпоративного SSO (Enterprise SSO) не обеспечивает высокого уровня защищенности, поскольку в конечных системах аутентификация происходит по паролю. Кроме того, этот механизм требует установки специальных агентов, поддерживаются не все устройства и операционные системы.