Enkel inloggning

Enkel inloggning ( SSO ) är ett autentiseringsschema som gör att en användare kan logga in med ett enda ID till något av flera relaterade, men ändå oberoende, mjukvarusystem.

Sann enkel inloggning gör att användaren kan logga in en gång och komma åt tjänster utan att behöva ange autentiseringsfaktorer igen.

Det bör inte förväxlas med same-sign on (Directory Server Authentication), ofta med hjälp av Lightweight Directory Access Protocol (LDAP) och lagrade LDAP-databaser på (katalog)servrar.

En enkel version av enkel inloggning kan uppnås över IP-nätverk med hjälp av cookies , men bara om webbplatserna delar en gemensam DNS-överordnad domän.

För tydlighetens skull görs en skillnad mellan katalogserverautentisering (samma inloggning) och enkel inloggning: katalogserverautentisering avser system som kräver autentisering för varje applikation men använder samma referenser från en katalogserver, medan enkel inloggning hänvisar till till system där en enda autentisering ger åtkomst till flera applikationer genom att sömlöst skicka autentiseringstoken till konfigurerade applikationer.

Omvänt är enkel utloggning eller enkel utloggning ( SLO ) egenskapen där en enda åtgärd för att logga ut avslutar åtkomsten till flera programvarusystem.

Eftersom olika applikationer och resurser stöder olika autentiseringsmekanismer måste enkel inloggning internt lagra de autentiseringsuppgifter som används för initial autentisering och översätta dem till de autentiseringsuppgifter som krävs för de olika mekanismerna.

Andra delade autentiseringssystem, som OpenID och OpenID Connect , erbjuder andra tjänster som kan kräva att användare gör val under en inloggning till en resurs, men kan konfigureras för enkel inloggning om dessa andra tjänster (som användarens samtycke) är inaktiverade. Ett ökande antal federerade sociala inloggningar, som Facebook Connect , kräver att användaren anger samtyckesval vid första registreringen med en ny resurs, och är därför inte alltid enkel inloggning i strikt mening.

Fördelar

Fördelarna med att använda enkel inloggning inkluderar:

• Minska risken för åtkomst till tredje parts webbplatser ("federerad autentisering") eftersom användarlösenord inte lagras eller hanteras externt
• Minska lösenordströtthet från olika användarnamn och lösenordskombinationer
• Minska tiden som ägnas åt att skriva in lösenord igen för samma identitet
• Minska IT-kostnaderna på grund av lägre antal IT- helpdesksamtal om lösenord
• Enklare administration. SSO-relaterade uppgifter utförs transparent som en del av normalt underhåll, med samma verktyg som används för andra administrativa uppgifter.
• Bättre administrativ kontroll. All nätverkshanteringsinformation lagras i ett enda arkiv. Detta innebär att det finns en enda auktoritativ lista över varje användares rättigheter och privilegier. Detta gör att administratören kan ändra en användares privilegier och veta att resultaten kommer att spridas över hela nätverket.
• Förbättrad användarproduktivitet. Användare fastnar inte längre av flera inloggningar, och de behöver inte heller komma ihåg flera lösenord för att komma åt nätverksresurser. Detta är också en fördel för Helpdesk-personal, som behöver skicka färre förfrågningar om glömda lösenord.
• Bättre nätverkssäkerhet. Att eliminera flera lösenord minskar också en vanlig källa till säkerhetsintrång – användare skriver ner sina lösenord. Slutligen, på grund av konsolideringen av nätverkshanteringsinformation, kan administratören med säkerhet veta att när han inaktiverar en användares konto är kontot helt inaktiverat.
• Konsolidering av heterogena nätverk. Genom att ansluta sig till olika nätverk kan administrativa ansträngningar konsolideras, vilket säkerställer att administrativa bästa praxis och företagssäkerhetspolicyer tillämpas konsekvent.

SSO delar centraliserade autentiseringsservrar som alla andra applikationer och system använder för autentiseringsändamål och kombinerar detta med tekniker för att säkerställa att användare inte aktivt behöver ange sina autentiseringsuppgifter mer än en gång.

Kritik

Termen reducerad inloggning (RSO) har använts av vissa för att återspegla det faktum att enkel inloggning är opraktisk för att tillgodose behovet av olika nivåer av säker åtkomst i företaget, och som sådan kan mer än en autentiseringsserver vara nödvändig .

Eftersom enkel inloggning ger åtkomst till många resurser när användaren först har autentiserats ("nycklar till slottet"), ökar det den negativa effekten i fall att referenserna är tillgängliga för andra människor och missbrukas. Därför kräver enkel inloggning ett ökat fokus på skyddet av användaruppgifterna, och bör helst kombineras med starka autentiseringsmetoder som smarta kort och engångslösenordstoken .

Enkel inloggning gör också autentiseringssystemen mycket kritiska; en förlust av deras tillgänglighet kan resultera i nekad åtkomst till alla system som är förenade under SSO. SSO kan konfigureras med funktioner för sessionsfel för att upprätthålla systemets funktion. Icke desto mindre kan risken för systemfel göra enkel inloggning oönskad för system till vilka åtkomst alltid måste garanteras, såsom säkerhets- eller anläggningsgolvsystem.

Dessutom kan användningen av enkel-inloggningstekniker som använder sociala nätverkstjänster som Facebook göra tredje parts webbplatser oanvändbara inom bibliotek, skolor eller arbetsplatser som blockerar sociala medier av produktivitetsskäl. Det kan också orsaka svårigheter i länder med aktiva censurregimer , såsom Kina och dess " Golden Shield Project ", där tredje parts webbplats kanske inte aktivt censureras, men blockeras effektivt om en användares sociala inloggning blockeras.

säkerhet

I mars 2012 rapporterade en forskningsartikel om en omfattande studie om säkerheten för sociala inloggningsmekanismer . Författarna fann 8 allvarliga logiska brister i högprofilerade ID-leverantörer och förlitande parts webbplatser, såsom OpenID (inklusive Google ID och PayPal Access), Facebook , Janrain , Freelancer , FarmVille och Sears.com . Eftersom forskarna informerade ID-leverantörer och förlitande parters webbplatser innan de offentliggjordes om upptäckten av bristerna, korrigerades sårbarheterna och inga säkerhetsbrott har rapporterats.

avslöjades en sårbarhet som heter Covert Redirect . Det rapporterades först om "Dold omdirigeringssårbarhet relaterad till OAuth 2.0 och OpenID" av dess upptäckare Wang Jing, en matematisk doktorand från Nanyang Technological University, Singapore. Faktum är att nästan alla ^{[ weasel words ]} Single sign-on-protokoll påverkas. Covert Redirect drar fördel av tredjepartsklienter som är mottagliga för en XSS eller Open Redirect.

I december 2020 upptäcktes brister i federerade autentiseringssystem för att ha använts av angripare under 2020 års dataintrång i den amerikanska federala regeringen .

På grund av hur enkel inloggning fungerar, genom att skicka en begäran till den inloggade webbplatsen för att få en SSO-token och skicka en begäran med token till den utloggade webbplatsen, kan token inte skyddas med HttpOnly-cookieflaggan och därmed kan bli stulen av en angripare om det finns en XSS-sårbarhet på den utloggade webbplatsen, för att göra sessionskapning . Ett annat säkerhetsproblem är att om sessionen som används för SSO blir stulen (som kan skyddas med HttpOnly-cookie-flaggan till skillnad från SSO-token), kan angriparen komma åt alla webbplatser som använder SSO-systemet.

Integritet

Som ursprungligen implementerat i Kerberos och SAML, gav enkel inloggning inte användarna några val om att lämna ut sin personliga information till varje ny resurs som användaren besökte. Detta fungerade tillräckligt bra inom ett enda företag, som MIT där Kerberos uppfanns, eller stora företag där alla resurser var interna webbplatser. Men i takt med att federerade tjänster som Active Directory Federation Services ökade , skickades användarens privata information ut till anslutna webbplatser som inte var under kontroll av företaget som samlade in data från användaren. Eftersom integritetsbestämmelserna nu skärps med lagstiftning som GDPR , har de nyare metoderna som OpenID Connect börjat bli mer attraktiva; till exempel MIT, upphovsmannen till Kerberos, stöder nu OpenID Connect .

E-postadress

Single sign-on i teorin kan fungera utan att avslöja identifierande information som e-postadresser till den förtroende parten (referenskonsumenten), men många autentiseringsleverantörer tillåter inte användare att konfigurera vilken information som skickas vidare till referenskonsumenten. Från och med 2019 kräver inte Google och Facebook-inloggning att användarna delar e-postadresser med användaren. " Logga in med Apple " introducerad i iOS 13 tillåter en användare att begära en unik relä-e-postadress varje gång användaren registrerar sig för en ny tjänst, vilket minskar sannolikheten för kontolänkning av referenskonsumenten.

Vanliga konfigurationer

Kerberos-baserad

• Första inloggningen ber användaren om autentiseringsuppgifter och får en Kerberos ticket-granting ticket ( TGT).
• Ytterligare mjukvaruapplikationer som kräver autentisering, såsom e-postklienter , wikis och revisionskontrollsystem , använder biljettbeviljande biljetten för att skaffa tjänstebiljetter, bevisa användarens identitet till e-postservern/wikiservern/etc. utan att uppmana användaren att ange autentiseringsuppgifter igen.

Windows- miljö - Windows-inloggning hämtar TGT. Active Directory -medvetna applikationer hämtar servicebiljetter, så användaren uppmanas inte att autentisera på nytt.

Unix / Linux -miljö - Inloggning via Kerberos PAM- moduler hämtar TGT. Kerberiserade klientprogram som Evolution , Firefox och SVN använder servicebiljetter, så användaren uppmanas inte att autentisera sig på nytt.

Smartkortsbaserad

Första inloggningen uppmanar användaren att ange smartkortet . Ytterligare mjukvaruapplikationer använder också smartkortet, utan att användaren uppmanas att ange autentiseringsuppgifter igen. Smartkortbaserad enkel inloggning kan antingen använda certifikat eller lösenord som lagras på smartkortet.

Integrerad Windows-autentisering

Integrerad Windows-autentisering är en term som associeras med Microsoft- produkter och hänvisar till SPNEGO- , Kerberos- och NTLMSSP -autentiseringsprotokollen med avseende på SSPI- funktionalitet som introducerats med Microsoft Windows 2000 och som ingår i senare Windows NT -baserade operativsystem. Termen används oftast för att referera till de automatiskt autentiserade anslutningarna mellan Microsoft Internet Information Services och Internet Explorer . Cross-platform Active Directory- integreringsleverantörer har utökat paradigmet för integrerad Windows-autentisering till Unix (inklusive Mac) och Linux-system.

Security Assertion Markup Language

Security Assertion Markup Language (SAML) är en XML -baserad metod för att utbyta användarsäkerhetsinformation mellan en SAML-identitetsleverantör och en SAML-tjänsteleverantör . SAML 2.0 stöder W3C XML-kryptering och tjänsteleverantörsinitierade webbläsare för enkel inloggning. En användare som använder en användaragent (vanligtvis en webbläsare) kallas ämnet i SAML-baserad enkel inloggning. Användaren begär en webbresurs som skyddas av en SAML-tjänsteleverantör. Tjänsteleverantören, som vill veta användarens identitet, utfärdar en autentiseringsbegäran till en SAML-identitetsleverantör genom användaragenten. Identitetsleverantören är den som tillhandahåller användaruppgifterna. Tjänsteleverantören litar på användarinformationen från identitetsleverantören för att ge åtkomst till dess tjänster eller resurser.

Nya konfigurationer

Mobila enheter som åtkomstuppgifter

En nyare variant av autentisering med enkel inloggning har utvecklats med mobila enheter som åtkomstuppgifter. Användarnas mobila enheter kan användas för att automatiskt logga in dem på flera system, såsom system för åtkomstkontroll av byggnader och datorsystem, genom användning av autentiseringsmetoder som inkluderar OpenID Connect och SAML, i kombination med en X.509 ITU-T kryptograficertifikat som används för att identifiera den mobila enheten till en åtkomstserver.

En mobil enhet är "något du har", till skillnad från ett lösenord som är "något du vet" eller biometri (fingeravtryck, näthinneskanning, ansiktsigenkänning, etc.) som är "något du är." Säkerhetsexperter rekommenderar att du använder minst två av dessa tre faktorer ( multifaktorautentisering) för bästa skydd.

Se även

• Kontoförkapning
• Central autentiseringstjänst
• Identitetshantering
• Identitetshanteringssystem
• Lista över implementeringar av enkel inloggning
• Lösenordshanteraren
• Security Assertion Markup Language
• Användbarhet av webbautentiseringssystem

externa länkar

• Single sign-on intro med diagram