Šiandien vieno prisijungimo sistema (angl. „Single Sign-On“, SSO) yra aktualesnė nei bet kada anksčiau. Daugelis svetainių siūlo naudotojams galimybę prisijungti su „Google“, „Apple“ ar kitomis platformomis. Greičiausiai net šiandien arba bent per pastarąją savaitę buvote prisijungę prie tam tikrų paslaugų per vieno prisijungimo sistemą. Tačiau ar žinote, kas ji yra, kaip veikia ir kodėl naudojama? Šiame straipsnyje išsamiai paaiškinsime viską, kas susiję su vieno prisijungimo sistema.
Kas yra SSO?
Vieno prisijungimo sistema – tai prisijungimo būdas ir autentifikacijos paslauga, kuri leidžia naudotojui gauti prieigą prie skirtingų svetainių ar programėlių naudojant tą patį prisijungimo duomenų, t. y. naudotojo vardo ir slaptažodžio, derinį. Kitaip tariant, SSO suteikia naudotojams galimybę prisijungti prie internetinių paskyrų įvairiose platformose su tuo pačiu naudotojo vardu ir slaptažodžiu, kad būtų patogiau naršyti kibernetinėje erdvėje. Pagal savo pirminę paskirtį SSO yra identifikacijos sistema, kuri leidžia svetainėms ir programėlėms naudoti duomenis iš kitų patikimų tinklaviečių, kad būtų galima patvirtinti naudotojo tapatybę, kai jis prisijungia ar kuriasi paskyrą.
Iš esmės naudojant SSO nebelieka reikalo įsiminti ir įvesti begalės skirtingų slaptažodžių. SSO leidžia išvengti ir nuolatinio slaptažodžių perkūrimo, kai juos pamirštate.
Be to, SSO puikiai tinka verslui, nes didina produktyvumą, optimizuoja prieigos teisių valdymą ir užtikrina saugumo kontrolę. Naudodami vieną saugos atpažinimo ženklą (naudotojo vardą ir slaptažodį), IT specialistai gali suteikti arba panaikinti darbuotojo prieigą prie daugelio sistemų. Kai kuriais atvejais tai sumažina kibernetinio saugumo rizikas.
Tačiau kaipgi veikia ši magiška sistema?
Kaip veikia SSO?
Vienas prisijungimas (angl. „single sign-on“, SSO) – tai centralizuoto elektroninės tapatybės valdymo komponentas, pagrįstas jungtiniu tapatybės duomenų tvarkymu (angl. „federated identity management“, FIM). FIM veikia kaip sistema, kuri leidžia naudoti tą patį tapatybės patvirtinimo būdą prisijungiant prie įvairių programėlių ir paslaugų internete. Keli pagrindiniai FIM procesai:
Autentifikacija
Autorizavimas
Apsikeitimas naudotojo atributais
Naudotojų valdymas
Kalbant apie vieno prisijungimo metodą, svarbu suprasti, kad pirmiausia jis yra susijęs su FIM sistemos autentifikacijos dalimi. Jis leidžia atpažinti naudotojo tapatybę, o tada pasidalyti šia informacija su kita platforma, kuriai reikia šių duomenų.
Pabandysime paprastai paaiškinti vieno prisijungimo procesą:
Apsilankote svetainėje.
Spustelėjate, pavyzdžiui, „Prisijungti su „Apple“.
Svetainė nukreipia jus į „Apple“ prisijungimo puslapį.
Jei jau esate prisijungę, svetainė iškarto gauna jūsų duomenis.
Jei nesate, prisijungiate prie savo „Apple“ paskyros.
„Apple“ patvirtina jūsų tapatybę, kad gautumėte prieigą prie tos svetainės.
Kai tapatybė patvirtinama, svetainė inicijuoja prisijungimo seansą ir jus prijungia.
Techniškai kalbant, kai naudotojas pirmą kartą prisijungia per bet kurią SSO sistemą, ji sukuria autentifikacijos slapuką, kuris prisimena, kad šio naudotojo tapatybė yra patvirtinta. Autentifikacijos slapukas yra kodo dalis, kuri saugoma naudotojo naršyklėje arba SSO paslaugos serveriuose. Kitą kartą, kai naudotojas prisijungia prie tos pačios programėlės arba svetainės naudodamas SSO, sistema perduoda naudotojo autentifikacijos slapuką tai platformai, kad ji galėtų suteikti jam prieigą. Svarbu pabrėžti, kad SSO sistema neidentifikuoja konkretaus naudotojo, nes nesaugo naudotojo tapatybės duomenų.
Kas yra SSO prieigos raktas?
SSO prieigos raktas yra skaitmeninis vienetas, apimantis duomenis apie konkretų naudotoją, pavyzdžiui, el. pašto adresą. Prieigos raktas skirtas naudotojo informacijai iš vienos sistemos į kitą perkelti atliekant vieno prisijungimo procedūrą. Siekiant užtikrinti gavėjui prieigos rakto patikimumą, šaltinis patvirtinamas skaitmeniniu parašu.
SSO sistema sukuria prieigos raktą, kai tik naudotojas prie jos prisijungia. Prieigos raktas yra tarsi laikina asmens tapatybės kortelė, kuri padeda identifikuoti jau patvirtintą naudotoją. Prisijungiant prie tam tikros programėlės, SSO sistema perduoda naudotojo autentifikacijos raktą tai programėlei, kad ji suteiktų naudotojui prieigą.
Kiek kainuoja vieno prisijungimo paslauga
Kadangi daugelis šiuo metu rinkoje siūlomų SSO sprendimų yra paremti debesijos technologija, dažniausiai naudojamas mėnesinės prenumeratos modelis. Smulkioms ir vidutinėms įmonėms skirti debesija paremti SSO sprendimai kainuoja nuo 1 $ iki 10 $ vienam naudotojui per metus.
Tačiau didelėms organizacijoms pritaikyti SSO sprendimai kainuoja kur kas daugiau arba reikia sumokėti nemažą pradinį prisijungimo mokestį. Korporacijos lygio sprendimai pasižymi didele įvairove ir dažnai paslaugų teikėjams reikia adaptuoti savo produktą pagal konkrečius kliento poreikius ir reikalavimus. Tai lemia ir kainų skirtumus.
Ar saugu prisijungti per SSO?
Taip. SSO protokolas yra saugus, jei tinkamai taikomas, valdomas ir naudojamas kartu su kitomis kibernetinio saugumo priemonėmis.
Pagrindinis privalumas, kurį naudotojams suteikia vieno prisijungimo sistema kibernetinio saugumo požiūriu, yra tas, kad ji leidžia naudoti vieną prisijungimo duomenų derinį įvairioms paslaugoms, o turint mažiau prisijungimo duomenų, mažėja ir jų praradimo ar vagystės rizika. Kol serveris yra saugus ir laikomasi organizacijoje nustatytų prieigos valdymo taisyklių, mažai tikėtina, kad piktavalis naudotojas ar įsilaužėlis galėtų padaryti kokios nors žalos.
Tačiau su šiuo privalumu susijusi ir tam tikra rizika. Kadangi SSO iš karto suteikia prieigą prie įvairių paskyrų per vieną galinį punktą, įsilaužėliui gavus prieigą prie autentifikuotos SSO paskyros, jis taip pat galės patekti į visas susietas naudotojo paskyras programėlėse, svetainėse, platformose ir kitose internetinėse aplinkose.
Šią riziką sumažinti padeda papildomas saugos sluoksnis, vadinamoji kelių veiksnių autentifikacija (angl. „Multi-Factor Authentication“, MFA) Apjungę SSO ir MFA paslaugos teikėjai gali patvirtinti konkretaus naudotojo tapatybę, tuo pačiu užtikrindami lengvą prieigą prie programėlių ar internetinių platformų.
SSO nauda
Mažesnis slaptažodžių nuovargis
SSO sistema eliminuoja būtinybę įsiminti begales slaptažodžių, todėl naudotojams tampa kur kas paprasčiau gyventi. Vadinamasis „slaptažodžių nuovargis“ yra realus ir pavojingas reiškinys. SSO skatina naudotojus sugalvoti vieną stiprų slaptažodį, užuot naudojus lengvai įsimenamus slaptažodžius kiekvienai paskyrai. Taip pat ši sistema padeda išvengti nesibaigiančio pamirštų slaptažodžių perkūrimo.
Didesnis darbuotojų produktyvumas
Naudojama verslo aplinkoje, SSO sistema gali sutaupyti daugybę laiko. Remiantis neseniai atlikto tyrimo ataskaita, žmonės sugaišta 16,3 milijardo valandų per metus įsimindami, įvesdami ar perkurdami slaptažodžius. O versle juk svarbi kiekviena minutė. Pasitelkus SSO naudotojams nebereikia užsibūti prisijungimo puslapiuose ar perkurti pamirštų slaptažodžių. Vietoj to, jie gali skirti visą dėmesį užduotims atlikti.
Patogesnis naudojimas
Vienas iš labiausiai vertinamų SSO privalumų yra geresnė naudotojų patirtis. Kadangi nebereikia kaskart įvedinėti naujų prisijungimo duomenų, naudotojai gali kur kas patogiau naršyti skaitmeninėje erdvėje. Tai reiškia, kad vieno prisijungimo sistema tampa vis patrauklesnė naudotojams. Be SSO sunkiai išsiverstų bet kuris komercinių internetinių paslaugų teikėjas.
Centralizuotas prieigos valdymas
Organizacijoms SSO suteikia galimybę centralizuotai valdyti prieigą prie įmonės sistemų. Verslo aplinkoje SSO galima naudoti suteikiant naujiems darbuotojams įvairaus lygio prieigos teises prie skirtingų sistemų. Taip pat galima nustatyti vieną prisijungimo duomenų (naudotojo vardo ir slaptažodžio) derinį, su kuriuo darbuotojas galėtų pasiekti visus reikiamus išteklius.
Geriausi vieno prisijungimo sistemos sprendimai
„Microsoft Azure AD“
„Microsoft Azure AD“ apima „Active Directory“ susiejimo paslaugą (AD FS) kaip priedą prie SSO. „Azure AD“ taip pat pasižymi ataskaitų kūrimo, saugumo analizės ir kelių veiksnių autentifikacijos funkcijomis. Ši sistema puikiai tiks bet kokio dydžio įmonei, kuri naudoja „Microsoft Azure“ debesų technologijos platformą.
„Okta Identity Cloud“ el. tapatybės valdymo platforma
„Okta“ – plačiai pripažintas SSO sprendimas. Tai atvirojo kodo SSO sistema, kuri pirmauja rinkoje dėl lankstaus ir paprasto naudojimo. „Okta“ siūlo pagal įmonės poreikius pritaikomą atvirojo pobūdžio tapatybės valdymo realiuoju laiku sistemą ir dviejų veiksnių autentifikaciją bei slaptažodžių nustatymo iš naujo paslaugą. „Okta“ sistema gali būti pritaikoma įvairių sektorių reikmėms – nuo švietimo iki ne pelno organizacijų, nuo finansinių paslaugų iki vyriausybinių organizacijų.
„OneLogin“ vieningos prieigos administravimo platforma
„OneLogin“ – tai atvirojo kodo SSO sistema, kuri dažnai naudojama norint suteikti darbuotojams prieigą prie debesų technologija grįstų įmonės programų. „OneLogin“ tinka įvairaus pobūdžio IT administravimo reikmėms, nes gali realiuoju laiku taikyti IT politiką. Be to, ji gali būti perkonfigūruota atsiradus pokyčiams, pavyzdžiui, kai darbuotojas palieka įmonę.
„Idaptive“ taikomųjų programų paslaugos
„Idaptive“ pirmiausia skirta mažoms ir vidutinėms įmonėms. „Idaptive“ vienu metu gali aptarnauti daug naudotojų dėl naujosios debesų kompiuterijos struktūros. Ši sistema taip pat apima pagal poreikius pritaikomą kelių veiksnių autentifikaciją ir įmonės mobilumo valdymo bei naudotojų elgesio analizės įrankius – viskas viename pakete.
„Ping Identity“ el. tapatybės išmanioji platforma
„Ping“ teikia paslaugas didelėms korporacijoms. Šis sprendimas tiks bet kokiai verslo aplinkai, kuri apima nuo kelių šimtų iki kelių milijonų naudotojų. „Ping“ siūlo tiek darbo vietoje įdiegiamas, tiek debesų technologija grįstas paslaugas. Taip pat taikoma kelių veiksnių autentifikacija.
Ar „NordPass“ teikia SSO paslaugą?
Taip, NordPass iš tiesų suteikia galimybę naudoti vieno prisijungimo autentifikaciją! Ji nustatoma „NordPass“ administratoriaus lange ir leidžia naudotojams prisijungti prie „NordPass“ programėlės su „Microsoft Azure“, „Google Workspace“ arba „Okta“ prisijungimo duomenimis.
Tai reiškia, kad, jei įjungsite „Microsoft“ sistemą „Azure Active Directory“ (AD), „Google“ vieno prisijungimo sistemą arba „Okta“ vieno prisijungimo sistemą ir pakviesite naujų narių, kurie naudoja kurią nors iš šių SSO sistemų (arba jas visas), šie naudotojai galės prisijungti su savo „Azure AD“, „Google“ arba „Okta“ SSO sistemos prisijungimo duomenimis. Paprasta ir patogu!