Vieno prisijungimo sistema: kas ji yra ir kaip veikia?

Kas yra SSO?

Vieno prisijungimo sistema – tai prisijungimo būdas ir autentifikacijos paslauga, kuri leidžia naudotojui gauti prieigą prie skirtingų svetainių ar programėlių naudojant tą patį prisijungimo duomenų, t. y. naudotojo vardo ir slaptažodžio, derinį. Kitaip tariant, SSO suteikia naudotojams galimybę prisijungti prie internetinių paskyrų įvairiose platformose su tuo pačiu naudotojo vardu ir slaptažodžiu, kad būtų patogiau naršyti kasdien. Pagal savo pirminę paskirtį SSO yra identifikacijos sistema, kuri leidžia svetainėms ir programėlėms naudoti duomenis iš kitų patikimų tinklaviečių, kad būtų galima patvirtinti naudotojo tapatybę, kai jis prisijungia ar kuriasi paskyrą.

Iš esmės naudojant SSO nebelieka reikalo įsiminti ir įvesti begalės skirtingų slaptažodžių. SSO leidžia išvengti ir nuolatinio slaptažodžių perkūrimo, kai juos pamirštate.

Be to, SSO puikiai tinka verslui, nes didina produktyvumą, optimizuoja prieigos teisių valdymą ir užtikrina saugumo kontrolę. Naudodami vieną saugos atpažinimo ženklą (naudotojo vardą ir slaptažodį), IT specialistai gali suteikti arba panaikinti darbuotojo prieigą prie daugelio sistemų. Kai kuriais atvejais tai sumažina kibernetinio saugumo rizikas.

Tačiau kaipgi veikia ši magiška sistema?

Kaip veikia SSO?

Vienas prisijungimas (angl. „Single Sign-On“, SSO) – tai centralizuoto elektroninės tapatybės valdymo komponentas, pagrįstas susietosios tapatybės valdymu (angl. „Federated identity management“, FIM). FIM veikia kaip sistema, kuri leidžia naudoti tą patį tapatybės patvirtinimo būdą prisijungiant prie įvairių programėlių ir paslaugų internete. Keli pagrindiniai FIM procesai:

• Autentifikacija

• Autorizavimas

• Apsikeitimas naudotojo atributais

• Naudotojų valdymas

Kalbant apie vieno prisijungimo metodą, svarbu suprasti, kad pirmiausia jis yra susijęs su FIM sistemos autentifikacijos dalimi. Jis leidžia atpažinti naudotojo tapatybę, o tada pasidalyti šia informacija su kita platforma, kuriai reikia šių duomenų.

Pabandysime paprastai paaiškinti vieno prisijungimo procesą:

• Apsilankote svetainėje.

• Spustelėjate „Prisijungti su „Apple“ arba pasirenkate kitą paslaugą.

• Svetainė nukreipia jus į „Apple“ prisijungimo puslapį.

• Jei jau esate prisijungę, svetainė iškarto gauna jūsų duomenis.

• Jei nesate, prisijungiate prie savo „Apple“ paskyros.

• „Apple“ patvirtina jūsų tapatybę, kad gautumėte prieigą prie tos svetainės.

• Kai tapatybė patvirtinama, svetainė inicijuoja prisijungimo seansą ir jus prijungia.

Techniškai kalbant, kai naudotojas pirmą kartą prisijungia per bet kurią SSO sistemą, ji sukuria autentifikacijos slapuką, kuris prisimena, kad šio naudotojo tapatybė yra patvirtinta. Autentifikacijos slapukas yra kodo dalis, kuri saugoma naudotojo naršyklėje arba SSO paslaugos serveriuose. Kitą kartą, kai naudotojas prisijungia prie tos pačios programėlės arba svetainės naudodamas SSO, sistema perduoda naudotojo autentifikacijos slapuką tai platformai, kad ji galėtų suteikti jam prieigą. Svarbu pabrėžti, kad SSO sistema neidentifikuoja konkretaus naudotojo, nes nesaugo naudotojo tapatybės duomenų.

Kas yra SSO prieigos raktas?

SSO prieigos raktas yra skaitmeninis vienetas, apimantis duomenis apie konkretų naudotoją, pavyzdžiui, el. pašto adresą. Prieigos raktas skirtas naudotojo informacijai iš vienos sistemos į kitą perkelti atliekant vieno prisijungimo procedūrą. Siekiant užtikrinti gavėjui prieigos rakto patikimumą, šaltinis patvirtinamas skaitmeniniu parašu.

SSO sistema sukuria prieigos raktą, kai tik naudotojas prie jos prisijungia. Prieigos raktas yra tarsi laikina asmens tapatybės kortelė, kuri padeda identifikuoti jau patvirtintą naudotoją. Prisijungiant prie tam tikros programėlės, SSO sistema perduoda naudotojo autentifikacijos raktą tai programėlei, kad ji suteiktų naudotojui prieigą.

Ar saugu prisijungti naudojant SSO?

Taip. SSO protokolas yra saugus, jei tinkamai taikomas, valdomas ir naudojamas kartu su kitomis kibernetinio saugumo priemonėmis.

Pagrindinis privalumas, kurį naudotojams suteikia vienkartinio prisijungimo sistema kibernetinio saugumo požiūriu, yra tas, kad ji leidžia naudoti vieną prisijungimo duomenų derinį įvairioms paslaugoms, o turint mažiau prisijungimo duomenų, mažėja ir jų praradimo ar vagystės rizika. Kol serveris yra saugus ir laikomasi organizacijoje nustatytų prieigos valdymo taisyklių, mažai tikėtina, kad piktavalis naudotojas ar įsilaužėlis galėtų padaryti kokios nors žalos.

Tačiau su šiuo privalumu susijusi ir tam tikra rizika. Kadangi SSO iš karto suteikia prieigą prie įvairių paskyrų per vieną galinį punktą, įsilaužėliui gavus prieigą prie autentifikuotos SSO paskyros, jis taip pat galės patekti į visas susietas naudotojo paskyras programėlėse, svetainėse, platformose ir kitose internetinėse aplinkose.

Šią riziką sumažinti padeda papildoma apsauga, vadinamasis kelių veiksnių autentifikavimas (angl. „Multi-Factor Authentication“, MFA). Drauge naudodami SSO ir MFA, paslaugos teikėjai gali patvirtinti konkretaus naudotojo tapatybę, taip pat užtikrinti lengvą prieigą prie programėlių ar internetinių platformų.

Geriausi vienkartinio prisijungimo sistemos sprendimai

Kai kurios SSO paslaugos yra populiaresnės ir jomis labiau pasitikima, daugumą jų galima naudoti prisijungiant prie įvairių platformų, įskaitant „NordPass“. Apžvelkime dažniausiai naudojamas SSO parinktis, pažiūrėkime, ar jas galima nustatyti „NordPass“ naudojimui ir išsiaiškinkime, kaip jas sukonfigūruoti.

„Microsoft Entra ID“

„Microsoft Entra ID“ – su debesimi veikiantis „Microsoft“ tapatybės patvirtinimo ir prieigos sprendimas, kuriame veikia SSO funkcija. Be to, jame veikia ataskaitų teikimo, saugumo analizės ir kelių veiksnių autentifikavimo (MFA) funkcijos, skirtos organizacijoms apsaugoti. Tad tiek mažai įmonei, tiek didžiulei bendrovei pritaikomas įrankis „MS Entra ID“ yra puikus pasirinkimas, jei įmonė naudoja „Microsoft Azure“ debesį.

„NordPass“ veikia su „Microsoft Entra ID“ SSO funkcija, kad organizacijos nariai galėtų greitai ir saugiai prisijungti naudodami „MS Azure“ prisijungimo duomenis. Norėdami įjungti šią SSO parinktį, tiesiog sukonfigūruokite ją administratoriaus lange. Prireikus pagalbos, skaitykite mūsų pagalbos centro straipsnį , kuriame sužinosite išsamias instrukcijas.

„Google Workspace“

„Google Workspace“ siūlo vieną populiariausių SSO paslaugų. Ji sklandžiai integruojama su daugybe programėlių ir gali padėti IT komandoms lengvai tvarkyti naudotojų prieigas ir leidimus. Tai yra „Google“ produktas, tad naudotojams ypatingai lengva pasiekti populiarius „Google“ įrankius, pvz., „Gmail“, „Google Drive“ ir „Google Meet“. Lygiai taip pat sklandžiai jie prisijungs ir prie trečiųjų šalių programėlių.

Geras pavyzdys yra „NordPass“, kuri visiškai palaiko „Google Workspace“ SSO būdą. Tad, jei jūsų įmonėje naudojamos „Google Workspace“ ir „NordPass“, galite sukonfigūruoti taip, kad darbuotojai prisijungtų prie „NordPass“ naudodami savo „Google“ prisijungimo duomenis. Išsamių instrukcijų, kaip tai padaryti, ieškokite mūsų pagalbos centro straipsnyje.

„Okta Identity Cloud“ el. tapatybės valdymo platforma

„Okta“ puikiai žinoma SSO sprendimų pasaulyje ir dėl savo pritaikomumo bei paprasto naudojimo yra atvirojo kodo SSO lyderė. „Okta“ siūlo pagal įmonės poreikius pritaikomą atvirojo pobūdžio tapatybės valdymo realiuoju laiku sistemą ir dviejų veiksnių autentifikavimą bei slaptažodžių nustatymo iš naujo paslaugą. „Okta“ sistema gali būti pritaikoma įvairių sektorių reikmėms – nuo švietimo iki ne pelno organizacijų, nuo finansinių paslaugų iki vyriausybinių organizacijų.

„NordPass“ veikia su „Okta“ SSO, tad jūsų komanda gali naudoti savo „Okta“ prisijungimo duomenimis, kad sklandžiai prisijungtų prie „NordPass“ ir nereikėtų naudoti naudotojo slaptažodžio. Skaitykite mūsų pagalbos centro straipsnį ir sužinokite, kaip greitai nustatyti šią SSO parinktį visiems organizacijos nariams.

Kiti sprendimai

Be plačiai naudojamų SSO sprendimų, pvz., „Google Workspace“, „Okta“ ir „MS Azure“, galima naudoti ir kitus variantus. Nors jie siūlo stiprias saugumo funkcijas, kai kuriems trūksta plačių integravimo galimybių, kurias teikia minėti pagrindiniai įrankiai. Štai keletas pavyzdžių.

„OneLogin“ vieningos prieigos administravimo platforma „OneLogin“ – tai atvirojo kodo SSO sistema, kuri dažnai naudojama norint suteikti darbuotojams prieigą prie debesų technologija grįstų įmonės programų. „OneLogin“ tinka įvairaus pobūdžio IT administravimo reikmėms, nes gali realiuoju laiku taikyti IT politikas. Be to, ji gali būti perkonfigūruota atsiradus pokyčiams, pavyzdžiui, kai darbuotojas palieka įmonę.

„Idaptive“ taikomųjų programų paslaugos „Idaptive“ pirmiausia skirta mažoms ir vidutinėms įmonėms. „Idaptive“ vienu metu gali teikti paslaugą daug naudotojų dėl naujosios debesų kompiuterijos struktūros. Ši įmonė viename įrankyje teikia pagal poreikius pritaikomą kelių veiksnių autentifikavimą (MFA), įmonės mobilumo valdymo (EMM) bei naudotojų elgesio analizės įrankius (UBA).

„Ping“ el. tapatybės išmanioji platforma „Ping“ teikia paslaugas didelėms korporacijoms. Šis sprendimas tiks bet kokiai verslo aplinkai, kuri apima nuo kelių šimtų iki kelių milijonų naudotojų. „Ping“ siūlo tiek darbo vietoje įdiegiamas, tiek debesų technologija grįstas paslaugas. Taip pat teikiamas kelių veiksnių autentifikavimas.

SSO nauda

Mažesnis slaptažodžių keliamas nuovargis

Naudojant SSO, naudotojams reikia įsiminti tik vieną slaptažodį, tad gyvenimas gerokai palengvėja. Vadinamasis „slaptažodžių nuovargis“ yra realus ir pavojingas reiškinys. SSO skatina naudotojus sugalvoti vieną stiprų slaptažodį, užuot naudojus lengvai įsimenamus slaptažodžius kiekvienai paskyrai. Taip pat ši sistema padeda išvengti nesibaigiančio pamirštų slaptažodžių perkūrimo.

Didesnis darbuotojų ir IT produktyvumas

Naudojama verslo aplinkoje, SSO sistema gali sutaupyti daugybę laiko. Remiantis naujausia ataskaita, žmonės sugaišta 16,3 milijardo valandų per metus įsimindami, įvesdami ar perkurdami slaptažodžius. O versle juk svarbi kiekviena minutė. Pasitelkus SSO naudotojams nebereikia užsibūti prisijungimo puslapiuose ar perkurti pamirštų slaptažodžių, tad jie gali sutelkti dėmesį į užduotis.

Patogesnis naudojimas

Vienas iš labiausiai vertinamų SSO privalumų yra geresnė naudotojų patirtis. Kadangi nebereikia kaskart įvedinėti naujų prisijungimo duomenų, naudotojai gali kur kas patogiau naršyti skaitmeninėje erdvėje. Tai reiškia, kad vienkartinio prisijungimo sistema tampa vis patrauklesnė naudotojams. Be SSO sunkiai išsiverstų bet kuris komercinių internetinių paslaugų teikėjas.

Centralizuotas prieigos valdymas

Organizacijoms SSO suteikia galimybę centralizuotai valdyti prieigą prie įmonės sistemų. Verslo aplinkoje SSO galima naudoti suteikiant naujiems darbuotojams įvairaus lygio prieigos teises prie skirtingų sistemų. Taip pat galima nustatyti vieną prisijungimo duomenų (naudotojo vardo ir slaptažodžio) derinį, su kuriuo darbuotojas galėtų pasiekti visas įmonės sistemas.

Kiek kainuoja vienkartinio prisijungimo paslauga

Kadangi daugelis šiuo metu rinkoje siūlomų SSO sprendimų yra paremti debesų technologija, dažniausiai naudojamas mėnesinės prenumeratos modelis. Smulkioms ir vidutinėms įmonėms skirti debesimis paremti SSO sprendimai kainuoja nuo 1 $ iki 10 $ vienam naudotojui per metus.

Tačiau didelėms organizacijoms pritaikyti SSO sprendimai kainuoja kur kas daugiau arba reikia sumokėti nemažą pradinį prisijungimo mokestį. Korporacijos lygio sprendimai pasižymi didele įvairove ir dažnai paslaugų teikėjams reikia adaptuoti savo produktą pagal konkrečius kliento poreikius ir reikalavimus. Tai lemia ir kainų skirtumus.

Ar gerai yra naudoti SSO slaptažodžių tvarkyklei?

If your company uses a secure and reliable SSO solution like „Google Workspace“, „Okta“arba „Microsoft Azure“, logging in to a password manager such as „NordPass“ , su tais pačiais prisijungimo duomenimis, kuriuos naudojate įmonės paskyrai, gali būti visai naudinga.

Pirmiausia, nereikia atsiminti ir įvesti paskyros slaptažodžio kaskart prireikus prisijungto prie slaptažodžių tvarkyklės. Kadangi nereikia prisiminti slaptažodžio, slaptažodžių kiekis sumažėja, tad sumažėja ir tikimybė, kad slaptažodžių tvarkyklei ar kitoms paskyroms naudosite silpną slaptažodį arba slaptažodį naudosite pakartotinai. Tai jau laimėjimas.

IT administratoriams SSO gerokai palengvina naudotojų prieigos ir leidimų tvarkymą. Taip lengviau užtikrinti, kad būtų laikomasi įmonės saugumo politikų ir taisyklių. Tad, jei svarstote, ar naudoti SSO su slaptažodžių tvarkykle, pvz., „NordPass“ (tinkamai ją nustačius), manome, kad sprendimas yra geras.