Парольная аутентификация — настоящая проблема для администраторов, пользователей и самих компаний. Еще в 2009 году Positive Technologies написала документ с разбором всех недостатков такого подхода, включая утечки паролей, халатное отношение к безопасности и т.д. Более надежный вариант для входа в информационные системы и программы — Single Sing-On — единая аутентификация для корпоративных приложений.
В этой статье разберем, как работает данная технология, какие протоколы используются, а также сделаем краткий обзор основных Single Sign-On решений.
Что такое Single Sign-On
SSO — технология аутентификации пользователя, позволяющая человеку входить в корпоративные информационные системы и приложения с одним набором данных, т.е. она предполагает жесткую централизацию и предельное упрощение
Главная задача Single Sign-On — устранение многократного входа в различные системы
Особенности технологии единого входа
Единая аутентификация для корпоративных приложений — относительно безопасная технология. Она будет действительно эффективной, если инженеры выполнят корректную настройку, а компания будет правильно использовать SSO. Внедряя технологию следует учитывать, что:
- Требуется сверхнадежный пароль для входа в единую учетную запись
- Настройка SSO требует значительно больше времени и ресурсов, чем стандартная аутентификация по логину и паролю
- Технология действительно эффективна, если провайдер SSO или администратор корпоративного облачного сервера обеспечивает надежную защиту для баз данных
Разберем несколько направлений использования NLP, хотя на этом возможности ИИ, конечно, не заканчиваются
Возможности технологии SSO
Единая аутентификация для корпоративных приложений стала популярным инструмент для обеспечения корпоративной безопасности. Она упрощает работу сотрудников с онлайн-сервисами и приложениями и при этом не ограничивает ИБ-специалистов в выборе методов авторизации и управления доступом.
Технология единой аутентификации в приложениях поддерживает:
- Цифровые сертификаты
- Биометрию
- Системы IDM и т.д
Если в компании используют парольную защиту для входа в основную учетную запись, то также рекомендуется внедрить многофакторную аутентификацию. Из-за того что система отличается жесткой централизацией, хакер получит доступ ко всем корпоративным программам, данным в случае взлома аккаунта .
Несмотря на наличие такой уязвимости нельзя отрицать, что SSO — один из лучших способов предотвратить инциденты, связанные со взломом учетных записей сотрудников. Данная технология защищает от таких проблем, как:
- Утечка конфиденциальных данных
- Кража паролей учетных записей
- Неразрешенное изменение данных
Если же произойдет такой инцидент, то можно моментально закрыть брешь в защите. Достаточно изменить пароль пользователя в единой системе авторизации, а не в 20+ инструментах.
Как работает Single Sing-On
Если не углубляться в особенности разных видов технологий и сервисов, SSO работает следующим образом:
- Онлайн-сервис или приложение проверяет, пользователь вошел в учетную запись KeyCloak (или другого сервиса). Если нет, то человека перенаправляют на корпоративный SSO, где его попросят войти в аккаунт
- При получении положительного ответа сервис и SSO обмениваются данными
- Если у пользователя есть допуск к информационной системе или приложению, SSO отправляет подтверждение аутентификации и атрибуты пользователя, необходимые для входа в учетную запись
- Поставщик услуг проверяет данные и подтверждает их
Особенность данной системы заключается в том, что при каждом переходе в онлайн-сервисе или программе запускает процедуру проверки.
Какие протоколы и стандарты используются
Разработчики реализуют технологию SSO с использованием разных протоколов. Они определяют методы передачи токенов между клиентской и серверной частями. Отметим, что SAML — это лучший выбор для корпоративных SSO-решений, а OAuth и OpenID Connect — для веб-приложений
SAML (Security Assertion Markup Language)
Данный стандарт основан на XML. Он работает следующим образом:
- SP (поставщик) отправляет запрос на аутентификацию в IdP (единую систему)
- IdP проверяет пользователя и отправляет клиентскому сервису подтверждение авторизации и атрибуты
- SP проверяет утверждение и предоставляет человеку доступ
Преимущество данного подхода — стандартный формат данных. Компании не придется учитывать совместимость платформ и реализаций поставщиков. XML-файлы нормально принимаются любыми сервисами
OAuth (Open Authorization)
OAuth — это протокол, предназначенный для организации доступа клиентских приложений к данным пользователя на стороннем сервисе. С его помощью компании обеспечивают безопасный доступ к платформам.
Данный вариант обычно используют разработчики социальных сетей и облачных сервисов. К примеру, при регистрации на сайте через ВК пользователь привязывает персональную страницу. Если произойдет утечка, то данные, размещенные во ВКонтакте останутся в безопасности. Такое же преимущество предлагают SSO-решения на OAuth.
Как работает протокол:
- В системе с OAuth пользователь дает приложению токен доступа
- Сервис использует данный токен для создания запросов к серверу при авторизации и выполнении определенных действий
Преимущество OAuth — возможность в любой момент отозвать токен. Эта функция пригодится, если возникнет угроза для безопасности корпоративной SSO-системы
OpenID Connect
OpenID Connect — это не полноценный протокол, а слой идентификации, созданный на базе OAuth 2.0. С его помощью клиентская сторона проверяет идентичность конечного пользователя на основе аутентификации в IdP.
Слой расширяет возможности протокола авторизации OAuth 2.0. Благодаря OpenID Connect появляется дополнительная проверка подлинности и актуальности данных. Если пользователь изменит, например, фамилию в профиле, то на всех платформах, использующих OIDC, она также актуализируется.
SSO-решения для бизнеса
Рассмотрим 3 популярных решения для внедрения SSO в рабочие процессы.
Avanpost FAM
Это кроссплатформенная система аутентификации, которая работает с десктопными, мобильными приложениями и онлайн-сервисами. Она соответствует современным стандартам безопасности и позволяет организовать авторизацию практически на любых платформах, поскольку поддерживает все протоколы SSO — OpenID Connect, OAuth, SAML.
Аутентификация осуществляется с использованием:
- Физических средств — ключевые носители, биометрические сканеры, считыватели меток
- Одноразовых паролей — SMS, TOTP, HOTP
- Информации о среде — сетевое окружение, СКУД
- Электронной подписи
- Домена (SPNEGO)
Стоит отметить, что ИТ-решение вошло в единый реестр российского ПО. Оно подходит среднему и крупному бизнесу, государственным учреждениям.
Мультифактор
Это решение для многофакторной аутентификации для сайтов, корпоративных сервисов, рабочих устройств, панелей администраторов и других платформ.
С помощью Мультифактора компании могут объединить все пользовательские учетные записи под единым провайдером (например, Active Directory) и получить следующие преимущества:
- Исключение мультипликации аккаунтов
- Снижение расходов на ИТ
- Повышение уровня безопасности информационных систем
Keycloak
Keycloak — это open-source решение для управления авторизацией и контроля доступа, предназначенное для использования в информационных системах
Внедрив его, компания получит такие функции, как:
- Брокерская идентификация.
- Социальный вход в систему.
- Пользовательская федерация.
- Администраторская консоль.
- Панель управления учетными записями и уровнями доступа.
Хотя ИТ-решение доступно бесплатно и распространяется с открытым исходным кодом, оно активно поддерживается разработчиком. В феврале 2024 году вышли сразу 2 обновления данной системы — 23.0.6 и 23.0.7.
Преимущества аутентификации SSO для компании
Хотя Single Sign-On с технической точки зрения сложнее стандартной авторизации по логину и паролю, данная технология предлагает ряд преимуществ, которые перекрывают стартовые сложности. Среди них:
- Удобство для сотрудников. Пользователь должен запомнить только один пароль
- Централизованный контроль доступа. После увольнения сотрудника можно быстро ограничить доступ к рабочим инструментам. Требуется заблокировать только один аккаунт
- Снижение расходов. Компании не нужен сотрудник, который будет заниматься паролями и контролем доступа. Эти процессы легко автоматизируются с помощью SSO. Участие человека требуется только при создании аккаунта и изменении данных
Однако следует помнить, что SSO представляет угрозу для безопасности всей инфраструктуры. Если хакер проникнет в единую учетную запись, то получит доступ ко многим приложениям и сервисам. Поэтому важно использовать сложные пароли и 2FA для авторизации в Keycloak или другом приложении.
Заключение
Единый вход — это отличная технология, которая сильно упрощает работу с учетными записями, особенно если в компании работают сотни людей. Вручную контролировать столько аккаунтов на различных платформах сложно и ненадежно. Однако нужно понимать, что SSO — неидеальное решение. Чтобы создать надежную систему безопасности для ИС и корпоративных приложений, также нужно внедрить систему контроля разрешений, журналы активности и другие меры ИБ.