Sannvottun á móti SSO

Subway of Life 8/52 / Dennis Skley

Auðkenning. Samtök. Stakur skilti (SSO). Ég hef nefnt þessi hugtök margoft. Ég hef í raun ekki skilgreint formlega hvað hvert af þessum hugtökum þýðir þó að ég hafi notað þetta margoft í skrifum mínum - þessi hugtök eru náskyld.

Auðkenning: ferli einingar (aðalmaðurinn) sem sannar hver annarri einingin (kerfið) er.

Single Sign On (SSO): einkenni auðkenningarkerfis sem snýr að sjálfsmynd notandans sem notuð er til að veita aðgang milli margra þjónustuaðila.

Samtök: sameiginlegir staðlar og samskiptareglur til að stjórna og kortleggja auðkenni notenda milli persónuskilríkja milli stofnana (og öryggissvæða) með samskiptum við traust (venjulega stofnað með stafrænum undirskriftum, dulkóðun og PKI).

Í fyrsta lagi er Identity and Access Management (IAM) stjórnun á sjálfsmyndaráhyggjum innan upplýsingatæknifyrirtækja. Hugtakið, IAM, getur átt við teymið eða ábyrgð liðsins. Helst er IAM miðstýrt teymi, en vegna sögu, stjórnmála eða skipulags sem ekki er alltaf mögulegt. Næsti besti kosturinn er að hafa miðlæga teymi sem er tileinkað hverju fyrirtæki sem snýr að fyrirtæki (B2B), fyrirtæki til neytenda (B2C) og fyrirtæki til starfsmanna (B2E). Allt of oft sinnir hver hópur sínum eigin IAM-skyldum - þetta skapar viðbótar hindranir við að taka upp Samtök og SSO þvert á samtök. IAM getur falið í sér sannvottun notenda og kerfis, heimild fyrir þá notendur og kerfi, útvegun notenda, úttekt á auðkenniskerfum, stjórnun notendageymslu (hugsaðu LDAP eða Active Directory), lykilorðsstefnur og aðrar áhyggjur.

Auðkenning

Að veita staðfestingarþjónustu er grunnábyrgð IAM. Auðkenning er samheitalyf þriggja hugtaka sem getið er um í pósttitlinum. Í fyrri færslu á thinkmiddleware.com gaf ég eftirfarandi til að skilgreina staðfestingu. Auðkenning er ferli einingar (aðalmaðurinn) sem sannar hver annarri einingin (kerfið) er. Skólastjórinn gæti verið tölvuforrit (hópvinnsla, til dæmis í gangi í bakgrunni), notandi (manneskja), tölvukerfi, vélbúnaður, farsími eða aðrir framandi hlutir. Kerfið er í okkar tilgangi hvert tölvukerfi sem krefst þess að sá sem hringir sé auðkenndur áður en aðgangur er veittur - oft verður þetta kerfi á netþjóni, stundum er það á tæki (farsími, skrifborð, fartölvu, spjaldtölva), stundum mun það vera í vafra. Skólastjórinn veitir kerfinu skilríki sem verður að staðfesta af kerfinu með því að nota einhvers konar auðkenniskerfi (þar með talið User Repository, Federation Server eða annað). Persónuskilríki eru viðkvæmar upplýsingar sem bera kennsl á viðskiptavininn og geta komið á marga vegu:

  • Notendanafn og lykilorð
  • Stafræn undirskrift
  • X509v3 viðskiptavinaskírteini
  • pin # + handahófsnúmer frá FOB, Google Authenticate eða svipaðri tækni.

Til að fullnægja, geymsla notanda inniheldur upplýsingar um notendur (skólastjóra), skilríki þeirra, hópa, hópaðild og aðra eiginleika notenda. LDAP netþjón eða Active Directory er dæmigert dæmi um notendageymslu. Nánari lýsingar á þessum hugtökum er að finna hér. Ég skilgreindi áður Federation Server og Identity Provider í fyrri færslu.

Stakur skilti á

Single Sign On (SSO) er einkenni á staðfestingarkerfi sem snýr að sjálfsmynd notandans sem notuð er til að veita aðgang milli margra þjónustuaðila. SSO gerir kleift að nota eitt sannvottunarferli (stjórnað af einum auðkennisveitanda, skráarmiðlara eða öðrum staðfestingarkerfum) í mörgum kerfum (þjónustuaðilum) innan einnar stofnunar eða yfir margar stofnanir. Þessi einn staðfestingarkerfi gæti verið:

  • LDAP netþjón, Active Directory, gagnagrunn eða svipaðan netþjón
  • kerfi sem býr til og sendir traustan tákn í forrit í þeim tilgangi að auðkenna.
  • Stundum er hugtakið SSO notað til að lýsa innskráningu á forrit með lykilorðsstjóra.
  • Fyrir 2005, SSO gæti hafa verið notað til að þýða sameiginlegt sett af persónuskilríkjum voru notuð í mörgum kerfum (líklega með einhvers konar ósamstilltu lykilorðssamstillingarkerfi), en notandinn þurfti að láta í té þessi skilríki til að skrá sig inn í hvert sérstakt kerfi - í sumt samhengi, þetta er líklega ennþá tilfellið.
  • Samtök eins og lýst er hér að neðan.

Single Sign On (SSO) fjallar um sannvottun og tæknilega samvirkni leikaranna sem taka þátt til að veita sameiginleg innskráningarskilríki þvert á kerfin.

SSO-lausn sem byggir á netþjóninum fyrir mörg forrit lítur út eins og eftirfarandi skýringarmynd.

SSO í gegnum sameiginlega skráamiðlara

Annað dæmi um SSO er N Service Providers (SPs) innan stofnunar sem treystir einum Identity Provider (IdP) lítur út eins og eftirfarandi (þetta er í raun persónusambandsríki, sjá næsta kafla).

N SP eru að treysta á eitt IdP

Samtök

Federated Identity Management er undirgrein IAM, en venjulega taka sömu teymi þátt í að styðja það. Samtök eru tegund SSO þar sem leikararnir spanna mörg samtök og öryggislén.

Frá WS-Federation sérstakinum (ein fjölmargra SSO-samskiptareglna sem gera kleift sambandsríki) höfum við, „Markmið sambandsríkisins er að leyfa persónuskilríkjum og eiginleikum öryggismála að deila yfir traustarmörk samkvæmt settum stefnum.“ Þetta er góð lýsing á sambandsríki almennt; það felur í sér að hafa sameiginlega staðla og samskiptareglur til að stjórna og kortleggja auðkenni notenda milli persónuskilríkja milli stofnana (og öryggissvæða) með samskiptum við traust (venjulega stofnað með stafrænum undirskriftum, dulkóðun og PKI). Samtök eru það traust samband sem er milli þessara samtaka; það lýtur að því hvar persónuskilríki notandans eru geymd og hvernig treystir þriðju aðilar geta sannreynt á móti þessum skilríkjum án þess að sjá þau í raun.

Samband sambandsríkisins er hægt að ná með einni af nokkrum mismunandi samskiptareglum, þ.mt (en, ekki takmörkuðu við):

  • SAML1.1
  • SAML2
  • WS-Samtökin
  • OAuth2
  • OpenID Connect
  • WS-Traust
  • Ýmsar sérsamskiptareglur

Samtök geta tekið margar myndir. Innan stofnunar (deildir, rekstrareiningar) gætu mynstrið litið út eins og:

  • N þjónustuaðilar (SPs) innan stofnunar sem treystir einum auðkennisaðila (IdP) - sjá skýringarmynd í síðasta hlutanum.
  • N SPs yfir margar stofnanir sem treysta einum IdP þriðja aðila
N SPs yfir margar stofnanir sem treysta einum IdP þriðja aðila
  • N kennitölur innan stofnunar sem einn SP treystir.
N kennitölur innan stofnunar sem einn SP treystir
  • N IdPs innan stofnunar sem treystir einum IdP
N IdPs innan stofnunar sem treystir einum IdP
  • N SPs (við skulum kalla þá API veitendur) yfir margar stofnanir sem treysta einum IdP sem er síðan treyst af sameiginlegu kerfi (svo sem API Gateway)
N SPs yfir margar stofnanir sem treysta einni IdP, sem aftur treystir af sameiginlegu kerfi (API Gateway)
  • Identity Broker (IdP stýrir tengslum á milli) við N SPs og N IdPs sem spannar mörg samtök með samtengd sambandsríki.
Auðkenni miðlara með N SP og N IdP

Árið 2017 og fram eftir því ætti öll sannvottun notenda að fela í sér stakan skráningu með velþekktri vöruþjónustuaðila í fyrirtækjasvæðinu. Sama er að mestu leyti einnig í öðrum samhengi. Sömuleiðis, í fyrirtækjarýminu, ætti SSO með leikurum utan samtakanna að taka til sambandsríkja. Nota ætti sambandssambönd milli kerfa innan ólíkra stofnana þar sem það er skynsamlegt.

Mynd: Subway of Life 8/52 / Dennis Skley