Single Sign On SSO là gì

Single Sign On viết tắt là SSO hay Đăng Nhập Một Lần là dịch vụ xác thực phiên và người dùng cho phép người dùng sử dụng một bộ thông tin xác thực đăng nhập, ví dụ như tên và mật khẩu để truy cập nhiều ứng dụng. Single sign on có thể được sử dụng bởi các doanh nghiệp, tổ chức nhỏ và cá nhân để dễ dàng quản lý các tên người dùng và mật khẩu.

Trong dịch vụ SSO web cơ bản, module tác nhân trên máy chủ ứng dụng truy xuất thông tin xác thực cụ thể cho người dùng cá nhân từ máy chủ chính sách SSO chuyên dụng, đồng thời xác thực người dùng dựa trên kho lưu trữ người dùng, chẳng hạn như thư mục Giao Thức Truy Cập Thư Mục Nhẹ (LDAP) . Dịch vụ xác thực người dùng cuối cho tất cả các ứng dụng mà người dùng đã được cấp quyền và loại bỏ các lời nhắc mật khẩu trong tương lai cho các ứng dụng riêng lẻ trong cùng một phiên.

Cách thức hoạt động của Single Sign On

SSO là một sắp xếp quản lý danh tính liên kết (FIM) và việc sử dụng hệ thống này được gọi là liên kết danh tính. OAuth, viết tắt của Open Authorization là khuôn khổ cho phép các dịch vụ của bên thứ ba, chẳng hạn như Facebook, sử dụng thông tin tài khoản của người dùng cuối mà không làm lộ mật khẩu của người dùng.

OAuth đóng vai trò trung gian thay mặt người dùng cuối bằng cách cung cấp cho dịch vụ mã thông báo truy cập cho phép chia sẻ thông tin tài khoản cụ thể. Khi người dùng cố gắng truy cập một ứng dụng từ nhà cung cấp dịch vụ, nhà cung cấp dịch vụ sẽ gửi yêu cầu đến nhà cung cấp danh tính để xác thực. Sau đó, nhà cung cấp dịch vụ sẽ xác minh xác thực và đăng nhập người dùng.

Các loại cấu hình SSO

Một số dịch vụ Single Sign On sử dụng các giao thức như Kerberos và Ngôn ngữ đánh dấu xác nhận bảo mật (SAML).

SAML là một tiêu chuẩn ngôn ngữ đánh dấu có thể mở rộng (XML) tạo điều kiện thuận lợi cho việc trao đổi dữ liệu xác thực và ủy quyền của người dùng trên các domain an toàn. Các dịch vụ SSO dựa trên SAML liên quan đến thông tin liên lạc giữa người dùng, nhà cung cấp danh tính duy trì danh bạ người dùng và nhà cung cấp dịch vụ.

Trong thiết lập dựa trên Kerberos, khi thông tin xác thực của người dùng được cung cấp, một phiếu cấp vé (TGT) sẽ được phát hành. TGT tìm nạp các phiếu dịch vụ cho các ứng dụng khác mà người dùng muốn truy cập mà không yêu cầu người dùng nhập lại thông tin đăng nhập.

Single Sign On dựa trên thẻ thông minh sẽ yêu cầu người dùng cuối sử dụng thẻ có thông tin xác thực đăng nhập cho lần đăng nhập đầu tiên. Sau khi thẻ được sử dụng, người dùng sẽ không phải nhập lại tên người dùng hoặc mật khẩu. Thẻ thông minh SSO sẽ lưu trữ chứng chỉ hoặc mật khẩu.

Rủi ro bảo mật và SSO

Mặc dù đăng nhập một lần là một tiện ích cho người dùng, nhưng nó tiềm ẩn những rủi ro đối với bảo mật doanh nghiệp. Kẻ tấn công giành được quyền kiểm soát thông tin đăng nhập Single Sign On của người dùng sẽ được cấp quyền truy cập vào mọi ứng dụng mà người dùng có quyền, làm tăng mức độ thiệt hại tiềm ẩn. Để tránh truy cập độc hại, điều cần thiết là mọi khía cạnh của việc triển khai SSO phải được kết hợp với quản trị danh tính. Các tổ chức cũng có thể sử dụng xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) với Single Sign On để cải thiện bảo mật.

Single Sign On xã hội

Google, LinkedIn, Twitter và Facebook cung cấp các dịch vụ SSO phổ biến cho phép người dùng cuối đăng nhập vào ứng dụng của bên thứ ba bằng thông tin xác thực phương tiện truyền thông xã hội của họ. Mặc dù đăng nhập một lần trên mạng xã hội là một tiện ích cho người dùng, nhưng nó có thể tiềm ẩn những rủi ro về bảo mật vì nó tạo ra một điểm lỗi duy nhất có thể bị kẻ tấn công lợi dụng.

Nhiều chuyên gia bảo mật khuyến cáo người dùng cuối không sử dụng các dịch vụ SSO xã hội bởi vì, một khi kẻ tấn công giành được quyền kiểm soát đối với thông tin đăng nhập SSO của người dùng, họ sẽ có thể truy cập vào tất cả các ứng dụng khác sử dụng cùng thông tin đăng nhập đó.

Apple gần đây đã tiết lộ dịch vụ đăng nhập một lần của riêng mình và đang định vị nó như một giải pháp thay thế riêng tư hơn cho các tùy chọn Single Sign On được cung cấp bởi Google, Facebook, LinkedIn và Twitter. Dịch vụ mới, sẽ được gọi là Đăng nhập với Apple, dự kiến ​​sẽ giới hạn dữ liệu mà các dịch vụ của bên thứ ba có thể truy cập. SSO của Apple cũng sẽ tăng cường bảo mật bằng cách yêu cầu người dùng sử dụng 2FA trên tất cả các tài khoản Apple ID để hỗ trợ tích hợp với Face ID và Touch ID trên thiết bị iOS.

SSO doanh nghiệp

Các sản phẩm và dịch vụ phần mềm đăng nhập một lần (eSSO) dành cho doanh nghiệp là trình quản lý mật khẩu với các thành phần máy khách và máy chủ đăng nhập người dùng để nhắm mục tiêu các ứng dụng bằng cách phát lại thông tin đăng nhập của người dùng. Những thông tin đăng nhập này hầu như luôn là tên người dùng và mật khẩu; các ứng dụng đích không cần phải sửa đổi để hoạt động với hệ thống eSSO.

Ưu điểm và nhược điểm của Single Sign On

Ưu điểm của SSO bao gồm:

Nó cho phép người dùng nhớ và quản lý ít mật khẩu và tên người dùng hơn cho mỗi ứng dụng.

Nó hợp lý hóa quá trình đăng nhập và sử dụng ứng dụng, không cần nhập lại mật khẩu.

Nó làm giảm cơ hội lừa đảo.

Nó dẫn đến ít phàn nàn hoặc rắc rối hơn về mật khẩu cho bộ phận trợ giúp CNTT.

Nhược điểm của SSO bao gồm:

Nó không đề cập đến các mức độ bảo mật nhất định mà mỗi lần đăng nhập ứng dụng có thể cần.

Nếu tính khả dụng bị mất, thì người dùng sẽ bị khóa khỏi nhiều hệ thống được kết nối với SSO.

Nếu người dùng trái phép có quyền truy cập, thì họ có thể có quyền truy cập vào nhiều ứng dụng.