Az egyszeri bejelentkezési technológia ( angol. Single Sign-On ) egy olyan technológia, amelyben a felhasználó a portál egyik szakaszáról a másikra vagy egyik rendszerről a másikra lép, anélkül, hogy az első rendszerhez kapcsolódna, és nem történik meg újrahitelesítés .
Például, ha a webes portálon több kiterjedt, egymástól független szakasz található ( fórum , chat , blog stb.), akkor az egyik szolgáltatásban a hitelesítési eljárást követően a felhasználó automatikusan hozzáfér az összes többihez, ami ment attól, hogy ismételten megadja adatait.
Az egyszeri bejelentkezés az egyszeri bejelentkezési technológiák két fő típusára osztható:
Sikeres elsődleges hitelesítés után a Kulcselosztó Központ (KDC) kiadja a felhasználó elsődleges identitását a hálózati erőforrásokhoz való hozzáféréshez, a Ticket Granting Ticket-et (TGT). Később, amikor az egyes hálózati erőforrásokhoz hozzáfér, a felhasználó a TGT-t bemutatva megkapja a KDC-től egy azonosítót egy adott hálózati erőforrás eléréséhez - Service Ticket (TGS). A Kerberos protokoll megvalósítására példaként megemlíthető a tartomány felhasználói hitelesítése a Microsoft operációs rendszerekben, a Windows 2000-től kezdve [1] .
A kezdeti bejelentkezéskor egy intelligens kártyát és egy tokent kell csatlakoztatnia . Az intelligens kártyákon és tokeneken alapuló egyszeri bejelentkezési technológia ezekre a kulcsokra írt tanúsítványokat vagy jelszavakat használ.
A Windows integrált hitelesítés olyan Microsoft -termékre utal, amely SPNEGO , Kerberos és NTLMSSP protokollokat használ . Ez a kifejezés leggyakrabban a Microsoft Internet Information Services és az Internet Explorer közötti interakció során fellépő hitelesítésre utal .
A SAML (security assertion markup language) egy XML -alapú jelölőnyelv . Nyílt szabvány a hitelesítési és engedélyezési adatok cseréjére a résztvevők között, elsősorban identitásszolgáltató és szolgáltató között. A felhasználó hozzáférést kér a szolgáltató által védett erőforráshoz. A szolgáltató a felhasználó azonosítása érdekében hitelesítési kérelmet küld az azonosító szolgáltatónak. Az identitásszolgáltató ellenőrzi, hogy a felhasználónak van-e aktív munkamenete, ha nincs, akkor hitelesíti a felhasználót, és választ generál a felhasználó adataival.
A megvalósításra példaként megemlíthetjük az Elektronikus Kormányzatban megvalósított, Egységes Azonosító és Hitelesítési Rendszeren alapuló egyszeri beléptető rendszert . A SAML-t SSO célokra használó identitásszolgáltató például az Oracle Identity Federation és a Blitz Identity Provider .
Nyílt szabványú decentralizált hitelesítési rendszer , amely lehetővé teszi a felhasználó számára, hogy egyetlen fiókot hozzon létre a hitelesítéshez számos független internetes erőforráson harmadik féltől származó szolgáltatások használatával.
Az egyszeri bejelentkezési technológia fő előnyei a következők:
Az egyszeri bejelentkezési technológia más alkalmazások és rendszerek által használt központi hitelesítési kiszolgálókat használ, amelyek biztosítják, hogy a felhasználó csak egyszer adja meg hitelesítő adatait.
Egyes szakértők megjegyzik, hogy az egyszeri bejelentkezési technológia fő hátránya az egyetlen jelszó növekvő jelentősége, amelynek kézhezvétele után a támadó egyetlen bejelentkezést használva hozzáfér a felhasználó összes erőforrásához. A jelszókezelő gyártók arra is rámutatnak, hogy a különböző információforrásokhoz különböző jelszavakat használnak, mint az egyszeri bejelentkezési technológiánál biztonságosabb megoldást.
A vállalati SSO (Enterprise SSO) mechanizmusa nem nyújt magas szintű biztonságot, mivel a végrendszerekben a hitelesítés jelszóval történik. Ezenkívül ez a mechanizmus speciális ügynökök telepítését igényli, nem minden eszköz és operációs rendszer támogatott.
https://www.anti-malware.ru/analytics/Market_Analysis/enterprise-single-sign-on